Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hace unos días me di cuenta de que tenía un virus porque en cuanto iniciaba mi seción "algo" trataba de conectarse a internet además se cambiaba la página de inicio de todas las seciones de la PC a una tal 3w.findthewebsiteyouneed.com . Descubrí qué era, dos virus o malware o spyware llamados: timessquare y drsmartload, busqué en internet qué era y tuyé. Pasé el Spybot S&D los borró pero no solucionó el problema. Además me bajé la version trial del NOD32 porque al AVG free me detectaba los archivos antes mencionados como archivos del sistema "ok". ¡¿Pueden creerlo?!. Lo borré al carajo.
El NOD sí me encontró estos archivos y otros mas, además de varios troyanos, especialmente un tal NewHeur_PE que supuestamente también borró. Pero ahora pasando el hijackthis me dí cuenta de que no todos está totalmente borrado. En una de esas búsquedas me encontré con el foro de ustedes y sus consejos sobre el Hijackthis, tengo ciertos conocimientos de reparación de PC y el regedit, pero no muucho sobre estos nuevos archivos intrusos así que les pego a continuación el log que me creó el hijackthis para que me aconsejen sobre qué borrar y qué no, todavía no entiendo porqué no puedo adjuntar pero ya lo voy a averiguar.

Logfile of HijackThis v1.99.1
Scan saved at 09:06:16 p.m., on 03/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\NOD32\nod32krn.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\UAService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\winamp.exe
C:\Archivos de programa\NOD32\nod32kui.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\Instaladores\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\system32\winamp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\NOD32\nod32kui.exe" /WAITSERVICE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\NOD32\nod32krn.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINNT\system32\UAService.exe

muchichisimas gracias.

Hola Drunk in Public, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga estas herramientas, pero no las ejecutes aun.

• AboutBuster 6.0
• Spy Sweeper 4.5
• 023Fix.exe

Paso 3- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 4- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe (file missing)



Paso 5- Sin reiniciar con el programa "KillBox" elimina estos archivos:

c:\\drsmartloadb.exe
C:\WINNT\MSmedia.exe

Paso 6- Descomprimí, actualiza y ejecuta estos programas de a uno.

• AboutBuster 6.0
• 023Fix.exe
• Spy Sweeper 4.5

Paso 7- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Paso 8- Hacele un escaneo online con "Ewido Scanner Online"

Reinicia y nos contas los resultados.

Salu2

Muchisimas gracias por la tan pronta respuesta, pero antes de seguir los pasos tengo que aclarar que yo tengo el windows2000pro, no sé si está ni donde buscar la opcion "Restaurar el sistema". Una vez que me aclaren esa duda me dispondré a seguir con los otros pasos.

gracias

Hola, no el Win 2k no tiene esa opcion por lo que segui con el resto de los pasos.

Salu2

Bueno, ustedes lo pidieron así que les cuento como terminó la desinfección.

- Con el Hijackthis me fué bien, pude borrar las entradas que me dijeron.
- Con el KillBox no pude borrar esos dos archivos que tenía que borrar porque no estaban, para asegurarme los busqué con el "buscar" de windows. Así que bien, creo.
- El AboutBuster me tiró un error 372, comctl32.ocx desactualizado, no lo actualizé porque no se bien qué es, tengo que averiguar.
- El 023Fix.exe creo que se me colgó porque empesó a escanear y en un momento dado quedó y no se movió mas, así que lo cerré con ATL+CTRL+SUPR.
- El Spy Sweeper, bueno, ese andaba bien pero tenía mucho sueño y tardaba mucho en escanearme la PC
- El Disk Cleaner hiso bien lo suyo y el Regseeker también, puede ser que haya limpiado 700 entradas incorrectas, le hice backup y la máquina anda bien, tadavía prende y los programas andan, así que bien.
- No hice el escaneo online con Ewido Scanner Online porque tardaba muchichisimo, pero me fui al modo seguro y pasé el Spybot S&D y no me encontró nada ésta vez, y el NOD32 tampoco.

Por ahora la PC está funcionando bien, no se trata de conectar mas y no se me cambia la página principal. además internet anda mucho mas rápida.

Quiero aprovechar para preguntarles qué barra anti pop-ups y qué firewall me recomiendan, y si éste último es recomendable que lo instale teniendo en cuenta que tengo un disco rígido de 6 G, w2000pro y conexión telefónica.

Además quiero agradecerles por la ayuda. Por las dudas después de hacer todo pasé el hijackthis y lo dejo para que lo vean por si hay algo raro.

Logfile of HijackThis v1.99.1
Scan saved at 10:54:16 p.m., on 04/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\NOD32\nod32krn.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\UAService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\winamp.exe
C:\Archivos de programa\NOD32\nod32kui.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Instaladores\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\system32\winamp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\NOD32\nod32kui.exe" /WAITSERVICE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\NOD32\nod32krn.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINNT\system32\UAService.exe


Adios y muchas gracias nuevamente

Hola, muy bien tu log esta limpio y si todo funciona bien, damos el tema por solucionado.

Como barra Anti-popus te recomendó directamente usar un navegador mas seguro y con Anti-Popups incluido como es Firefox

Como Firewall, esto los tendrías que probar vos ya que el que para mi me puede funcionar bien con mi sistema puede que en el tuyo no, de ACA te podes bajar algunos y todos tienen periodos de prueba gratuitos y otros directamente son gratis.

Salu2