Hola a todos.
Ayer ejecuté un exe que debía contener una ****** bien gorda... me instaló el Spy Sheriff y un montón de virus, o por lo que sé ahora puede que sea un trojan downloader.

En fin, he pasado el Spybot, Ad Aware de Lavasoft (detectaba el coolsearch y command service o algo así), he quitado bastantes troyanos con el Hijack (adtech2006, uuooa.exe, uooom.exe, mm.exe, winstal..exe, ... etc etc) Tengo instaldo el AntiVir Guard (el del paraguas rojo).

Lo he dejado bastante limpio.
Ya con el Ad Aware no me me sale nada malo. Pero con el Spybot sí.

Llevo 3 o 4 veces con el Spybot: Lo paso, me detecta 4 o 5, elimino, se queda alguno por eliminar. Me dice que reinicie. Reinicio, lo paso de nuevo y otra vez 4 o 5 mierdas.

Suelen ser fijos:
Windows.ActiveDesktop
Command Service
y aparte 2 o 3 más que van variando.

El único síntoma que persiste aún es: me sale publicidad, y cada 30 segundos se conecta automáticamente a algúna página de publicidad. Es desssssesperante.
Alguna ayuda. Please.. estoy mareado ya. Estoy aquí dandole al F5.. espero vuestras repuestas. Thankyou

Descarga, instala y actualiza el Ewido Security Suite y el Spy Sweeper, haz un chequeo con estos programas siguiento estas indicaciones


De igual forma, haz un chequeo con 2 scaners online (Kaspersky y Ewido)

En caso de que el problema persista coloca en este mismo mensaje un log de Hijackthis



Salu2

__________________
Linux User #399288 != 1337 || Ub3|2

Gracias.
He hecho en parte lo que me dijiste, pero te pongo ya el listado Hijackthis
Por ahora solo he descargado el Ewido (es que ha tardado 5 horas en escanear todos los discos duros) y actualizado. Escaneo completo en modo a prueba de fallos.

Ha eliminado:
C:\Program Files\Common Files\uooo\uoood\uoooc.dll -> Downloader.Small : Cleaned with backup
C:\Program Files\Common Files\uooo\uoool.exe -> Downloader.TSUpdate.p : Cleaned with backup
C:\WINDOWS\system32\mecomput.dll -> Spyware.Look2Me : Cleaned with backup
C:\WINDOWS\system32\pkvaw.dat -> Downloader.Qoologic.at : Cleaned with backup
y un montón de cookies.

He reiniciado, y he vuelto a hacer un escaneo rápido. Este es el informe:

[1696] C:\WINDOWS\system32\kxdlv1.dll -> Spyware.Look2Me : Error during cleaning
[212] C:\WINDOWS\system32\kxdlv1.dll -> Spyware.Look2Me : Error during cleaning
C:\WINDOWS\system32\fdcsjjj.exe -> Trojan.Pakes : Cleaned with backup
C:\WINDOWS\system32\fwlek.dll -> Downloader.Small : Cleaned with backup
C:\WINDOWS\system32\pkvaw.dat -> Downloader.Qoologic.at : Cleaned with backup

y el informe de ahora mismo del Hijack This es éste:


Logfile of HijackThis v1.99.1
Scan saved at 21:05:41, on 09/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\eSnips\ClientGW.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Common Files\VCClient\VCClient.exe
C:\Program Files\Common Files\VCClient\VCMain.exe
C:\Program Files\Kerio\WinRoute Firewall\WrCtrl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\DLExpert\DLExpert.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Google Desktop Extreme\Google Desktop Extreme.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Kerio\WinRoute Firewall\winroute.exe
C:\Program Files\ewido\security suite\SecuritySuite.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Fenix\Desktop\SW\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: eSnips - {ED1184DA-E57E-4480-99D0-A16809037F54} - C:\Program Files\eSnips\SnipBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 3082
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eSnips] "C:\Program Files\eSnips\ClientGW.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [WrCtrl] "C:\Program Files\Kerio\WinRoute Firewall\WrCtrl.exe"
O4 - Startup: Google Desktop Extreme.lnk = ?
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DLExpert.lnk = C:\Program Files\DLExpert\DLExpert.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: xjih.exe
O8 - Extra context menu item: &Download by DLExpert (Faster) - C:\Program Files\DLExpert\get.htm
O8 - Extra context menu item: Download &All by DLExpert (Faster) - C:\Program Files\DLExpert\getall.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Snip to my eSnips account - C:\Program Files\eSnips\res\SnipIt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: DLExpert - {4AB89EA8-E2B8-11d4-AE71-00D00925CF52} - C:\Program Files\DLExpert\DLExpert.exe
O9 - Extra 'Tools' menuitem: &DLExpert - {4AB89EA8-E2B8-11d4-AE71-00D00925CF52} - C:\Program Files\DLExpert\DLExpert.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128683729476
O17 - HKLM\System\CCS\Services\Tcpip\..\{C78D3709-2D14-42D4-B3D1-672F3F731ECE}: NameServer = 194.179.1.100,194.179.1.101
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\l4r00e9meh.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Kerio WinRoute Firewall (WinRoute) - Kerio Technologies - C:\Program Files\Kerio\WinRoute Firewall\winroute.exe

Todo lo que pone eSnips es algo que he yo he instaldo, no es adware.

Voy a hacer ahora los escaneos online... y si sigue igual, descargaré el Spy Sweper también.
Muchas gracias.

Descarga las siguientes herramientas:

Regseeker

Disk Cleaner


Sigue los pasos de este enlace para eliminar al look2me

También pudes recurrir al Killbox para eliminar los archivos infectados, para hacer esto:

Apaga restaurar sistema

Configura el sistema para ver todos los archivos ocultos

Reinicia el sistema en modo a prueba de fallos (modo seguro) y desde allí usas el killbox para eliminar los archivos:

C:\WINDOWS\system32\kxdlv1.dll

C:\WINDOWS\system32\fdcsjjj.exe

C:\WINDOWS\system32\fwlek.dll

C:\WINDOWS\system32\pkvaw.dat


Ahora bien, estando aún en modo a prueba de fallos haz lo siguiente:

Paso 1:

Ejecuta el hijackthis sin tener ningún otro programa abierto y dale FixChecked a las siguientes entradas:

O4 - Global Startup: xjih.exe

O20 - Winlogon Notify: policies - C:\WINDOWS\system32\l4r00e9meh.dll

Paso 2

Ejecuta el killbox para eliminar los siguientes archivos:

C:\WINDOWS\system32\l4r00e9meh.dll

Ubica dentro del sistema el siguiente archivo xjih.exe y elimínalo con el killbox

Limpia el registro de windows con el regseeker (pásalo varias veces hasta que no quede nada por limpiar) y los temporales y cookies con el Disk Cleaner

Reinicia el sistema en modo normal y haz un chequeo con 2 scaners online


Pega un nuevo log y nos cuentas los resultados



Salu2

__________________
Linux User #399288 != 1337 || Ub3|2

Se terminó. Ya no me salen más. Ni en Ewido, ni en kapersky Online.

Estuve haciendo algunas cosas pero me seguían saliendo archivos infectados.

Fue bajar el Spy Sweeper y después de escanear, borrar y reiniciar (para que terminara de borrar)... los aniquiló a todos.

1:00: Quarantining All Traces: icannnews
1:00: icannnews is in use. It will be removed on reboot.
1:00: C:\WINDOWS\system32\kidpl.dll is in use. It will be removed on reboot.
1:00: C:\WINDOWS\system32\en0ql1d51.dll is in use. It will be removed on reboot.
1:00: Quarantining All Traces: look2me
1:01: look2me is in use. It will be removed on reboot.
1:01: en0ql1d51.dll is in use. It will be removed on reboot.
1:01: k4260efseh260.dll is in use. It will be removed on reboot.
1:01: kidpl.dll is in use. It will be removed on reboot.
1:01: Quarantining All Traces: trojan-backdoor-zubox
1:01: Quarantining All Traces: trojan-backdoor-superbgirlz
1:01: Quarantining All Traces: command
1:01: Quarantining All Traces: dollarrevenue
1:01: Quarantining All Traces: elitemediagroup-mediamotor
1:01: Quarantining All Traces: targetsaver
1:01: Quarantining All Traces: trojan-backdoor-bxproxy

Él solo se los cargó a todos ellos. Se merece un 5 estrellas en vuestro listado de programas.

Gracias Acron por todo. Este post va dedicado para ti.
Un abrazo.

Pues en nombre de todo el equipo infospyware y del foro, gracias por tu amable gesto que te podemos decir



PD: Este tema se dará como solucionado




Salu2

__________________
Linux User #399288 != 1337 || Ub3|2