 |
| |||||||
| Temas Solucionados Casos de HijackThis y Malwares resueltos. (Solo lectura) |
 |
| | Herramientas |
 | 
22/12/05, 14:31:11
|  |
| |||
 variante de psguard o spyshriff? (solucionado) Mi problema es que mientras navegaba se me instalo un malware que le modifico el desktop a mi portatil, por un documento html y pone este texto: SPYWARE INFECTION Your system is infected with spyware. Windows recommends you to use a spyware removal tool to prevent loss of important data and increase system prefomance. Using this PC before having it cleaned from spyware threats is highly discouraged. (aqui lo pongo para que lo vean, http://mx.geocities.com/vr_x3r0/desktop.html ) y no permite cambiar el wallpaper; ademas de que en la parte inferior izquierda de la pantalla aparesen 2 iconos rojos, con una X y constantemente desplegan un el siguiente texto: ----------------------------------------- Your computer is infected! Windows has detected spyware infection! It is recommended to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you. Click here to protect your computer from spyware. ---------------------------------------------- pero en realidad lo de "click here" no sirve para ir a ningun sitio. (aqui pongo una captura de mi escritorio y el menu de propiedades http://mx.geocities.com/vr_x3r0/sintomas.JPG ) supuse que puede ser psguard o spysheriff por los sintomas ya mensionados y por que encontre manualmente los siguentes archivos: -desktop.html -winstal.exe intente limpiar mi ordenador con los manuales que aparesen en este foro, pero al intentar descargar Delpsguard.zip y Tz-kill me aparsen como que tienen errores de comprecion. me baje el ewido anti malware y me quito algunos "bichos" pero el fondo de pantalla sige igual... bueno pues aqui va mi log de hijack: Logfile of HijackThis v1.99.1 Scan saved at 11:25:00 a.m., on 22/12/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe C:\Archivos de programa\ewido anti-malware\ewidoguard.exe C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe C:\Archivos de programa\Norton AntiVirus\navapsvc.exe C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe C:\Archivos de programa\QuickTime\qttask.exe C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\imgrt.scr C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\ZoneLabs\vsmon.exe C:\Archivos de programa\Norton AntiVirus\SAVScan.exe C:\Documents and Settings\TJ\Escritorio\mtn\software\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\ARCHIV~1\STARDO~1\SDIEInt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [dark] C:\WINDOWS\System32\imgrt.scr O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - Startup: iew.lnk = D:\Telmex.exe O8 - Extra context menu item: Download with Star Downloader - C:\Archivos de programa\Star Downloader\sdie.htm O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Movies Extractor Scout LITE - {1FE2E931-E953-41E0-8539-EB655A950E02} - C:\Archivos de programa\Movies Extractor Scout LITE\flashextract.exe O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Movies Extractor Scout LITE - {9651D7AE-9546-4FFA-9F59-AF2B1A9FE735} - C:\Archivos de programa\Movies Extractor Scout LITE\flashextract.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{15AC1FCE-F8D1-4D1C-8FAB-DF319F40657A}: NameServer = 85.255.115.46,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{6CEA3314-9365-43D1-8CF9-5DC3917C654F}: NameServer = 85.255.115.46,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{8916B2BB-4B1C-4D70-8F08-F21EB7AD30EA}: NameServer = 85.255.115.46,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDB22695-38EF-4B9A-8005-AAAA254FBE82}: NameServer = 85.255.115.46,85.255.112.159 O17 - HKLM\System\CS1\Services\Tcpip\..\{15AC1FCE-F8D1-4D1C-8FAB-DF319F40657A}: NameServer = 85.255.115.46,85.255.112.159 O17 - HKLM\System\CS2\Services\Tcpip\..\{15AC1FCE-F8D1-4D1C-8FAB-DF319F40657A}: NameServer = 85.255.115.46,85.255.112.159 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe y de antemano gracias. Última edición por motrix fecha: 22/12/05 a las 14:33:42.      |
|
22/12/05, 15:11:22
| |
| ||||
| Re: variante de psguard o spyshriff? Hola motrix, te doy la bienvenida al Foro de InfoSpyware. Es muy importante que descargues la herramienta DelPSGuard unicamente desde el final del enlace que te doy ya que esta no tiene ningun problema. Paso 1- Apaga el "Restaurar Sistema" Paso 2- Descarga el programa DelPSGuard.zip, y ejecútalo con todos los programas cerrados, pero cuando termine no reinicies. Paso 3-Con todos los programas cerrados ejecuta HijackThis y dale  a estas entradas, si todavía están. O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe O4 - HKCU\..\Run: [dark] C:\WINDOWS\System32\imgrt.scr O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe Paso 4- Sin reiniciar con el programa "KillBox" elimina estos archivos: (puede que alguno no este) C:\winstall.exe C:\WINDOWS\System32\hgqhp.exe C:\WINDOWS\System32\imgrt.scr Paso 5- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro) Paso 6- Con todos los programas cerrados ejecuta nuevamente la herramienta DelPSGuard Paso 7- Usar el Disk Cleaner para limpiar cookies y temporales. Paso 8- Realiza un escaneo online con "Ewido Security Online." Reinicia y nos contas los resultados. Salu2 Esperando la "Tormenta Tropical FAY" Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
23/12/05, 16:00:51
| |
| |||
| Re: variante de psguard o spyshriff? PUES MUXAS GRACIAS, DE VERDAD FUNSIONO(O PORLOMENOS ESO PARESE)  QUISIERA SAVER DE QUE ESTABA INFECTADO? MIENTRAS TANTO AQUI DEJO UN NUEVO LOG DE HIJACKTHIS(PA' VER SI ESTOY LIMPIO) Y FELIX NAVIDAD  Logfile of HijackThis v1.99.1 Scan saved at 12:52:49 p.m., on 23/12/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe C:\Archivos de programa\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe C:\Archivos de programa\QuickTime\qttask.exe C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Archivos de programa\Norton AntiVirus\SAVScan.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\ARCHIV~1\IZArc\IZArc.exe C:\DOCUME~1\TJ\CONFIG~1\Temp\ARC3\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: iew.lnk = D:\Telmex.exe O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Movies Extractor Scout LITE - {1FE2E931-E953-41E0-8539-EB655A950E02} - C:\Archivos de programa\Movies Extractor Scout LITE\flashextract.exe O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Movies Extractor Scout LITE - {9651D7AE-9546-4FFA-9F59-AF2B1A9FE735} - C:\Archivos de programa\Movies Extractor Scout LITE\flashextract.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{15AC1FCE-F8D1-4D1C-8FAB-DF319F40657A}: NameServer = 85.255.115.46,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{6CEA3314-9365-43D1-8CF9-5DC3917C654F}: NameServer = 85.255.115.46,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{8916B2BB-4B1C-4D70-8F08-F21EB7AD30EA}: NameServer = 85.255.115.46,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDB22695-38EF-4B9A-8005-AAAA254FBE82}: NameServer = 85.255.115.46,85.255.112.159 O17 - HKLM\System\CS1\Services\Tcpip\..\{15AC1FCE-F8D1-4D1C-8FAB-DF319F40657A}: NameServer = 85.255.115.46,85.255.112.159 O17 - HKLM\System\CS2\Services\Tcpip\..\{15AC1FCE-F8D1-4D1C-8FAB-DF319F40657A}: NameServer = 85.255.115.46,85.255.112.159 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
23/12/05, 21:34:06
| |
| ||||
| Re: variante de psguard o spyshriff? Bien tu log esta limpio y si no hay mas problemas damos el tema por solucionado Lo que tenias principalmente era un infección del spyware del momento PSGuard con alguna de sus tantas variantes y aparte un par de troyanitos como Trojan.Flush.F y Troj/Bancban-DV Esto fue lo que salio cuando scane tu sistema  Salu2 Esperando la "Tormenta Tropical FAY" Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
|
|
| 
Temas Similares | |
| Tema | Autor | Foro | Respuestas | Último mensaje |
| Que le pasa al ordenador?? (solucionado) | Lidia | Temas Solucionados | 10 | 11/09/05 13:18:27 |
| Barra Azesearch Controla Mi Pc - [solucionado] | ajijena | Temas Solucionados | 4 | 30/08/05 20:02:47 |
| no he podido con algunos troyanos y demas | vavito | Foro Oficial de HijackThis en español | 1 | 27/08/05 22:35:01 |
| No consigo eliminar CWS (solucionado) | Verdu | Temas Solucionados | 8 | 23/06/05 13:16:50 |
| Lista de puntos a comprobar de la configuración de Windows XP | Rocha | Foro de Windows | 0 | 20/04/05 15:13:18 |
Todas las horas son GMT -4. La hora es 18:23:38.
