Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola gente del foro.
Como digo en el título se me coló esa barra en el Explorer y no la puedo sacar.
Estoy corriendo WinMe y tengo instalados: regseeker, Spibot S&D 1.3 y Lavasoft Ad-aware 6. Según muchos comentarios, son muy buenos, pero cuando los corro para eliminar esa maldita barra, los tres se cuelgan.
También parece que tengo tomado el explorer (6.0). Corriendo otro programa, el CodeStuff Starter, veo que trata de conectarse sin estar corriendo. Lo detecto cuando veo la pantalla del ZoneLab 6. Con CodeStuff, puedo matar el proceso, pero no puedo eliminarlo.
Así que me decidí a instalar HijackThis.

Este el el LOG que obtuve:

Logfile of HijackThis v1.99.1
Scan saved at 11:44:22 p.m., on 08/12/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\PGPSDKSERV.EXE
C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\PGP FOR WINDOWS ME\PGPSERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTTRAYAPP.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.03.0000.1005\ES-LA\MSNAPPAU.EXE
C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\PGP FOR WINDOWS ME\PGPTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
C:\ARCHIVOS DE PROGRAMA\Q-TYPE\MAGICKEY.EXE
C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\Monwow.exe
C:\ARCHIVOS DE PROGRAMA\Q-TYPE\OSD.EXE
C:\PROGRAMAS\ESPECIALES\ARCHIVOS TEMPORALES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ARCHIVOS DE PROGRAMA\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\ARCHIV~1\FRESHD~1\FRESHD~1\FDCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES-LA\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\POMBN.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES-LA\MSNTB.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ARCHIVOS DE PROGRAMA\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\POMBN.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.03.0000.1005\es-la\msnappau.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\SYSTEM\hgqhp.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [PGPSDKSVC] C:\WINDOWS\SYSTEM\PGPsdkServ.exe
O4 - HKLM\..\RunServices: [PGPSERVICE] C:\Archivos de programa\Network Associates\PGP for Windows ME\PGPservice.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [GhostStartService] C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\SYSTEM\IDEMLOG.EXE
O4 - HKCU\..\Run: [UnSpyPC] "C:\Archivos de programa\UnSpyPC\UnSpyPC.exe"
O4 - Startup: Smart Sweep-Internet Sweep de CleanSweep.lnk = C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Q-type2.2.lnk = C:\Archivos de programa\Q-Type\Magickey.exe
O4 - Global Startup: PGPtray.lnk = C:\Archivos de programa\Network Associates\PGP for Windows ME\PGPtray.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\ARCHIVOS DE PROGRAMA\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\ARCHIV~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\ARCHIV~1\ICQ\ICQ.exe
O9 - Extra button: Turbo Memory Charger - {ECC5778A-6E89-BFCE-13CE-81F134789E7B} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra 'Tools' menuitem: Turbo Memory Charger - {ECC5778A-6E89-BFCE-13CE-81F134789E7B} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Archivos de programa\Free Surfer\FS20.exe
O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Archivos de programa\Free Surfer\FS20.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .mov: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin2.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = telpin.com.ar
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.115.108,85.255.112.12

Hola Grim Reaper, te doy la bienvenida al Foro de InfoSpyware.

El tema es que estas usando versiones muy viejas de los Antispyware, por lo que te recomiendo que te descargues SpyBot 1.4 y Adware SE.

Paso 1- Inicia en modo normal.

Paso 2- Descarga el programa Ewido Security Suite 3.5 , Actualízalo pero no lo ejecutes aun.

Paso 3- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\POMBN.DLL

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\POMBN.DLL

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\SYSTEM\hgqhp.exe

O4 - HKCU\..\Run: [desktop] C:\WINDOWS\SYSTEM\IDEMLOG.EXE



Paso 4- Sin reiniciar con el programa "KillBox" elimina estos archivos:

C:\WINDOWS\SYSTEM\POMBN.DLL
C:\WINDOWS\SYSTEM\hgqhp.exe
C:\WINDOWS\SYSTEM\IDEMLOG.EXE

Paso 5- Ejecuta Ewido Security Suite 3.5

Paso 6- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2

Piedra, muchas por las instrucciones.
Voy a seguirlas al pie de la letra y después cuento cual es el resultado.

También encontré dos programas que me parecen sospechosos:

UnSpyPC.exe
Yaemu.exe
¿Qué hago con ellos?

Acá estoy de vuelta.
Seguí las instrucciones y pude eliminar la barra.
Utilicé Killbox y HijackThis, pero no pude intalar la Ewido security suite. En el momento de la instalación, apareció un cartel en alemán. Decía algo de Windows 2000. Así que no puedo saber si corre en W-Me.
También instalé las últimas versiones de Regseeker y Spybot y por las dudas también las actualicé.
Spybot parece que funciona bien, pero Regseeker se bloquea al inicio del análisis en ROOT.
Ahora voy a hacer una investigación más profunda, así que necesito ayuda en dos cosas:

1ª ¿hay alguna manera de entrar a Windows sin programas en memorias? ¿sin tener que entrar en "Modo a prueba de fallos"?

2ª ¿Existe algún programa que me permita revisar los otros programas instalados y ver todo lo relacionado con ellos y sus dll y las entradas del registro?

Saludos.
Grim Reaper

Hola Grim,

Si no me di cuenta que tenias Win Me y el Ewido no trabaja con este, pero si le podes hacer un escaneo con el pero online "Ewido Scanner Online"

Los archivos UnSpyPC.exe y Yaemu.exe pertenecen a diferentes malwares por lo que tenes que eliminarlos manualmente o con KillBox.

El RegSeeker hay veces que no funciona en modo a prueba de fallos, solo en modo normal.

Respecto a tus consultas:

1.- Si la hay no la conozco.

2.- mmmm si San Google

Confírmanos que todo este funcionado bien para dar el tema por solucionado.

Salu2

Hago una nueva comprobación y paso el informe.
Saludos.
GR



Respecto a tus consultas:

1.- Si la hay no la conozco.

2.- mmmm si San Google

Confírmanos que todo este funcionado bien para dar el tema por solucionado.

Salu2[/QUOTE]