Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos del Foro Spyware. Mi nombre es Mariano y hace poco me registré en su página para obtener ayuda acerca de cómo eliminar los spyware.

Les cuento que como empezó mi problema: en primer lugar se me instaló el spysheriff, el cual pude eliminar con el Delpsguard que me recomendó un amigo. Después me apareció un fondo rojo que decía Azesearch y se me instaló una barra en el internet explorer con ese mismo nombre; para solucionar esto seguí los pasos por uds. Descriptos en una respuesta a un usuario que había tenido el mismo problema pero con “razespyware”, es decir instalé el spy sweeper, lo pasé en modo normal y en modo a prueba de fallos junto con el Delpsguard, le hice un scanner con Ewido Scanner Online y le pasé el Regseeker y el Diskcleaner. Como resultado de esto se me solucionó el problema del internet explorer (que andaba bastante mal ya que se cerraba y cuando lo abría me mostraba siempre la página en blanco); el fondo rojo también desapareció pero me quedó en el escritorio un fondo blanco que titila y el cual no puedo eliminar. Este fondo no me permite acceder a las propiedades del escritorio haciendo clic derecho y no me permite ver el fondo de pantalla.

Por otra parte les cuento que seguí los pasos del tutorial de spyware que uds. Muestran en su página antes de pegar el log del hijackthis. Lo único que me faltó fue pasar el Microsoft Antispyware (no me anda, no se por qué) y el Spysweeper, ya que lo pasé antes pero ahora ya expiró la versión trial.

Aquí les mando mi log del Hijackthis y los resultados de algunos de los programas que le pasé a la pc.

Logfile of HijackThis v1.99.1
Scan saved at 12:21:19, on 03/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN0 3.EXE
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Rosso\Mis documentos\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {A9501B39-DB56-0500-CCB4-9659D7C64186} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [mmtask] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN0 3.EXE /P22 "EPSON Stylus COLOR 480" /O5 "LPT1:" /M "Stylus COLOR 480"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 3.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\WINDOWS\system32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\WINDOWS\system32\shdocvw.dll (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

__________________________________________________
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Spyware.Cookie.Doubleclick
Path: C:\Documents and Settings\Rosso\Cookies\rosso@doubleclick[1].txt
Risk: Medium

Name: Spyware.CoolWebSearch
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\SE
Risk: High

Name: Spyware.CoolWebSearch
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\SW
Risk: High

Name: Spyware.ISTBar
Path: HKU\S-1-5-21-1275210071-1202660629-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}
Risk: High

Name: Spyware.CoolWebSearch
Path: HKU\S-1-5-21-1275210071-1202660629-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{7FE16BED-1E1A-0F9A-E962-90627CF19B7B}
Risk: High

Name: Trojan.Agent.jh
Path: C:\Documents and Settings\Rosso\Menú Inicio\Programas\WinRAR\WinRAR34x_genericCrack.exe
Risk: High

Name: Dropper.Agent.aed
Path: C:\install.exe
Risk: High

Name: Hijacker.VB.kc
Path: C:\WINDOWS\adtech2006a.exe
Risk: High

Name: Downloader.VB.qr
Path: C:\WINDOWS\drsmartload95a.exe
Risk: High

Name: Downloader.PassAlert.d
Path: C:\WINDOWS\loadadv728.exe
Risk: High

Name: Trojan.Dialer.mi
Path: C:\WINDOWS\x.exe
Risk: High

---------------------------------------------------------
ewido anti-malware - Report de exploración
---------------------------------------------------------

+ Creado en: 17:16:23, 02/01/2006
+ Report-Checksum: E18F41D6

+ Scan result:

[484] VM_00DB0000 -> Downloader.Agent.uj : Error durante limpieza
[508] VM_00C40000 -> Downloader.Agent.uj : Error durante limpieza
[1192] VM_00A20000 -> Downloader.Agent.uj : Error durante limpieza
[1492] VM_003F0000 -> Downloader.Agent.uj : Error durante limpieza
[1508] VM_009F0000 -> Downloader.Agent.uj : Error durante limpieza
[1544] VM_009C0000 -> Downloader.Agent.uj : Error durante limpieza
[1564] VM_00930000 -> Downloader.Agent.uj : Error durante limpieza
[1592] VM_003D0000 -> Downloader.Agent.uj : Error durante limpieza
[1612] VM_00910000 -> Downloader.Agent.uj : Error durante limpieza
[1628] VM_00920000 -> Downloader.Agent.uj : Error durante limpieza
[1652] VM_00A40000 -> Downloader.Agent.uj : Error durante limpieza
[1664] VM_009D0000 -> Downloader.Agent.uj : Error durante limpieza
::Fin Report

PANDA ACTIVESCAN (02/01/2006)
Incidencia Estado Elemento

Adware:adware/azesearch No desinfectado C:\WINDOWS\SYSTEM32\azebar.xml
Adware:adware/ideskbar No desinfectado C:\WINDOWS\SYSTEM32\idesk.conf
Adware:adware/popupsandbanners No desinfectado C:\WINDOWS\teller2.chk
Adware:adware/cws.searchmeup No desinfectado C:\WINDOWS\tool1.exe
Adware:adware/cws No desinfectado C:\Documents and Settings\Rosso\Favoritos\Shop


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, January 02, 2006 18:11:56
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 2/01/2006
Kaspersky Anti-Virus database records: 158470
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 19446
Number of viruses found: 3
Number of infected objects: 10
Number of suspicious objects: 0
Duration of the scan process: 968 sec

Infected Object Name - Virus Name
C:\WINDOWS\desktop_1877.exe Infected: Trojan-Clicker.Win32.Spywad.j
C:\WINDOWS\_default.pif:fmxftt:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\_default.pif:igtdrr:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\_default.pif:ijobn:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\WINDOWS\_default.pif:jbvpjn:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\_default.pif:mxvyfe:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\_default.pif:otxgjc:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\_default.pif:vxhsiv:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\_default.pif:xnikve:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\WINDOWS\_default.pif:zurgr:$DATA Infected: Trojan-Downloader.Win32.Agent.td

Scan process completed.

Desde ya les agradezco la ayuda que sin querer me han proporcionado y me gustaría que me dieran una solución para este problema. Espero una respuesta y ante cualquier duda contáctenme, mi nombre de usuario en su sitio web es “mamo”, y mi e-mail es "editado"hotmail.com.

Hola mamo, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Descarga el programa DelPSGuard.exe pero no los ejecutes aun.

Paso 2- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro) y ejecuta el programa DelPSGuard.exe

Paso 3- Hacele un escaneo online con "Panda ActiveScan Online"

Paso 4- Reinicia en modo normal, eh Ir a Mi Pc > Panel de Control > Pantalla y entonces en Propiedades de Pantalla > Escritorio > Personalizar Escritorio > Web

Ahi donde veas tu pagina de inicio actual seguramente mas abajo tenes algo como "info3 - Security" o similar (o incluso tu misma pagina) la borras y le das Aplicar y Aceptar

Reinicia, y nos contas los resultados.

Salu2

Muchas Gracias!!!!

Pude eliminar el fondo blanco siguiendo los pasos que me dijeron ustedes.

Los unicos problemas que tuve fueron los siguientes:
1) No puedo conectarme a internet en el modo seguro con funciones de red, por lo tanto tuve que hacer el análisis en el modo normal,

2) No se por que el panda on line no me anduvo, me daba un error de descarga, como si algo andara mal con el ActiveX, así que le hice un análisis con Ewido on line scanner, éste último detectó una infección la cual eliminó.

De todas formas muchas gracias de nuevo y si necesito hacer algo más (o si ustedes necesitan que les envíe otra respuesta) notifíquenme.