Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, desde hace una semana, siempre que abro la aplicación de firefox o de i.explorer, se me abren pestañas alternativas, siempre de publicidad y de antivirus, siempre son las mismas y me tiene loco, pensé en formatear el ordenador pero tengo muchos archivos de valor y de tamaño, ¿Me pueden ayudar sin tener que formatear? Muchas gracias a todos.

Hola an_can46. Por favor, sigue estos pasos:

( Si algun paso no puedes hacer, saltèalo y trata de seguir con los otros.
Para mayor comodidad, IMPRIME ESTA HOJA)

1.- DESCARGA LO SIGUIENTE:

CCLEANER y su MANUAL

Manual de CCleaner

ALWAREBYTE y su MANUAL Lo instalas y actualizas (pero no lo ejecutes aun)

Manual de Malwarebytes' Anti-Malware

2.- EJECUTA CCLEANER usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

3.- Apaga RESTAURAR SISTEMA (SYSTEM RESTORE), muestra los ARCHIVOS OCULTOS e inicia EN MODO A PRUEBA DE ERRORES

Listado de procedimientos

4.- EJECUTA MALWAREBYTE, seleccionas hacer un "escaneo completo" y una vez finalizado si te detecta algo clicas " quitar lo seleccionado ", si te pide reiniciar lo haces y después te vas a la pestaña de "registros" para copiar
y pegar el reporte generado en este tema.

5.- Pasas CCLEANER nuevamente

6.- INICIA en modo normal, prende EL restaurar sistema, oculta los archivos

8.- Realiza un KASPERSKY ONLINE SCANNER y pega su reporte aquì

Manual de Kaspersky Online Scanner

TE VA A LLEVAR TIEMPO, pero es necesario que lo hagas. Espero tu respuesta.

el ccleaner no lo puedo instalar, pero me he instalado y limpiado con el disk cleaner

este es el reporte de malware:

Malwarebytes' Anti-Malware 1.30
Versión de la Base de Datos: 1306
Windows 5.1.2600

24/11/2008 20:11:18
mbam-log-2008-11-24 (20-11-18).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 74663
Tiempo transcurrido: 24 minute(s), 5 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 3
Claves del Registro Infectadas: 11
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 5
Carpetas Infectadas: 1
Ficheros Infectados: 19

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
C:\XP\system32\nobupize.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\XP\system32\filawuzo.dll (Trojan.Agent) -> Delete on reboot.
c:\XP\system32\susonuno.dll (Trojan.vundo) -> Delete on reboot.

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnopixw (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{9b3f4d68-cf75-4b08-adf5-03619311a0f5} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9b3f4d68-cf75-4b08-adf5-03619311a0f5} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\386e1555 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\negududiza (Trojan.Agent) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Agent) -> Data: c:\xp\system32\filawuzo.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Agent) -> Data: system32\filawuzo.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.vundo) -> Data: c:\xp\system32\susonuno.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.vundo) -> Data: c:\xp\system32\susonuno.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.vundo) -> Data: system32\susonuno.dll -> Quarantined and deleted successfully.

Carpetas Infectadas:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\XP\System32\nnnoPIxW.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\XP\system32\cegfbawq.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\XP\system32\qwabfgec.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\XP\system32\nakakoye.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\XP\system32\eyokakan.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\XP\system32\nobupize.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\XP\system32\ezipubon.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\XP\system32\hegiguve.dll (Trojan.BHO.H) -> Delete on reboot.
c:\XP\system32\filawuzo.dll (Trojan.Agent) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\XP\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\XP\system32\fihiyota.dll (Trojan.Agent) -> Delete on reboot.
C:\XP\system32\cbXPhecb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\XP\system32\byXRihEv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\XP\system32\hgGywVLC.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\XP\system32\iifgEtuv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\XP\system32\mlJDsRki.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\XP\system32\yayyVpqq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\XP\system32\susonuno.dll (Trojan.vundo) -> Delete on reboot.

UPAAAAA, una enciclopedia de malwares..

Módulos en Memoria Infectados: 3
Claves del Registro Infectadas: 11
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 5
Carpetas Infectadas: 1
Ficheros Infectados: 19

Me parece que tenemos trabajo para rato aquí. Falta el reporte de KASPERSKY ONLINE.

Espero por el...

en estos momentos estoy haciendo el scan online de kaspersky, lleva una hora y va por el 31%, ya te aviso, gracias por todo, aunque tambien te tengo que decir que ahoramismo no me pasa el problema (lo de abrir ventanas el firefox) gracias por tu ayuda

ahí va el ultimo reporte

KASPERSKY ONLINE SCANNER INFORME
lunes, 24 de noviembre de 2008 22:03:31
Sistema operativo: Microsoft Windows XP Professional, (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 24/11/2008
Registros en la base antivirus: 1265130
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
G:\
Estadísticas
Número de objeros analizados 39125
Virus encontrados 1
Objetos infectados 2 / 0
Objetos sospechosos 0
Duración del análisis 01:22:18

Bombre del objeto infectado Nombre del virus Última acción
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\BIU1.txt Object is locked saltado
C:\XP\system32\config\system Object is locked saltado
C:\XP\system32\config\system.LOG Object is locked saltado
C:\XP\system32\config\software.LOG Object is locked saltado
C:\XP\system32\config\default.LOG Object is locked saltado
C:\XP\system32\config\SECURITY Object is locked saltado
C:\XP\system32\config\SAM Object is locked saltado
C:\XP\system32\config\SAM.LOG Object is locked saltado
C:\XP\system32\config\SECURITY.LOG Object is locked saltado
C:\XP\system32\config\AppEvent.Evt Object is locked saltado
C:\XP\system32\config\SecEvent.Evt Object is locked saltado
C:\XP\system32\config\SysEvent.Evt Object is locked saltado
C:\XP\system32\config\SOFTWARE Object is locked saltado
C:\XP\system32\config\DEFAULT Object is locked saltado
C:\XP\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\XP\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\XP\system32\h323log.txt Object is locked saltado
C:\XP\system32\bwuupoop.dll Infectados: Trojan.Win32.Agent.aptx saltado
C:\XP\system32\dpwgft.dll Infectados: Trojan.Win32.Agent.aptx saltado
C:\XP\Debug\PASSWD.LOG Object is locked saltado
C:\XP\Debug\oakley.log Object is locked saltado
C:\XP\SchedLgU.Txt Object is locked saltado
C:\XP\Sti_Trace.log Object is locked saltado
C:\XP\wiaservc.log Object is locked saltado
C:\XP\wiadebug.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\Yo\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Yo\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Temp\~DF1E95.tmp Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Temp\~DF1EC9.tmp Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Temp\~DF24FD.tmp Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Temp\~DF250E.tmp Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Temp\etilqs_1npcbau09re9ktRKDCro Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Temp\WCESLog.log Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Historial\History.IE5\MSHist0120081124200811 25\index.dat Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\an_can333@hotmail.com\real\members.stg Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\an_can333@hotmail.com\shadow\members.stg Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\Yo\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \urlclassifier3.sqlite Object is locked saltado
C:\Documents and Settings\Yo\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \parent.lock Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \permissions.sqlite Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \cert8.db Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \key3.db Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \places.sqlite-journal Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \places.sqlite Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \search.sqlite Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \formhistory.sqlite Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \cookies.sqlite Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \content-prefs.sqlite Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\Mozilla\Firefox\Profiles\ni15g09f.default \downloads.sqlite Object is locked saltado
C:\Documents and Settings\Yo\Datos de programa\$_hpcst$.hpc Object is locked saltado
Análisis completado.

Bueno, vamos muy bien. Unos pasos mas y lo terminamos:

Utiliza OTMoveit 3

lo descargas desde aquì:

Manual de OTMoveit

* Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.

* Asegurate que este marcado "Unregister Dll's and Ocx's".

* Copia el texto que se encuentra en el cuadrado más abajo, y lo pegas en el marco de izquierdo de OTMoveIt2 nombrado "Paste instruccions for items to be moved "..



* Te pedira Reiniciar. Eliges YES (Este paso es muy importante).

Si no te pide reiniciar, hazlo igual al terminar la tarea.

Envía el informe (reporte) de OTMoveIt2 situado sobre C: \ _ OTMoveIt\MovedFiles.

Ya casi lo tenemos.......


Comenta como va tu pc.....

========== FILES ==========
DllUnregisterServer procedure not found in C:\XP\system32\bwuupoop.dll
C:\XP\system32\bwuupoop.dll NOT unregistered.
C:\XP\system32\bwuupoop.dll moved successfully.
DllUnregisterServer procedure not found in C:\XP\system32\dpwgft.dll
C:\XP\system32\dpwgft.dll NOT unregistered.
C:\XP\system32\dpwgft.dll moved successfully.

OTMoveIt3 by OldTimer - Version 1.0.7.1 log created o






hechale un vistazo mientras reinicio, gracias

MISION CUMPLIDA CAMPEON. Todos los bichos están en su lugar ( o sea, fuera de tu pc).

Si está todo bién, coméntame y daremos por terminado este tema....

Acabo de reiniciar y no me abre publi, pero al iniciar windows me sale un error, pone una cosa tal que asi

RUNDLL

error al carga archivo c:xp/systems.filawuzo.dll

Bueno an_can46, ya casi está....

Utilizarás ahora ADVANCED SYSTEMCARE 3, que descargas desde aquí:

Herramientas - Info Spyware

Lo instalas y ejecutas sus dos opciones LIMPIEZA DE WINDOWS y PREVENCION Y MEJORA

Reinicias y comenta como va eso...