Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Esta mañana me ha entrado lo que parece ser un spyware al saltarme un pop-up. Los síntomas son los siguientes:

- En la barra de tareas me aparece el símbolo de Windows Update intermitente con una cruz blanca sobre fondo rojo y una burbuja que me dice permanentemente "Your computer is infected!" y a continuación un mensaje en inglés que varía pero que siempre avisa de una supuesta infección. También aparece en la barra un triángulo amarillo de advertencia.

- La página de inicio de Internet Explorer me ha cambiado a www.updatesystempage.com e, incluso, si hago click sobre el link que tengo en favoritos de la página de inicio (Google) me sigue apareciendo. También me apareció una barra que pude eliminar con el SpyBot.

- Me instala un programa llamado Spyaxe que borro tanto con el SpyBot como con el Antispyware de Microsoft pero me vuelve a aparecer cuando reinicio o si estoy en modo normal al poco rato.

- Y lo habitual con los spyware: me aparecen pop-ups sin ton ni son, mensajes de advertencia y accesos directos en el escritorio.


Tengo el antivirus PC-Cillin, pero desde hace unos días no me funciona. He seguido todos los protocolos que pone en la página aunque algunos antispyware y antivirus on-line me saltan por incompatibilidad con el firewall de BlackIce que tengo instalado, pero me da miedo desinstalarlo porque es el que me está impidiendo que alguno de estos programas accedan a la red. De todas formas, sí pude ejecutar el SpyBot y el DiskClean, aunque no desaparece el problema y algunos de los objetos que elimino con el SpyBot vuelven a aparecer.

Aquí os dejo el log. Espero que me podáis ayudar porque dependo muchísimo del ordenador y realmente me asusta que me pueda quedar sin él:

Logfile of HijackThis v1.99.1
Scan saved at 20:53:23, on 04/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Free Surfer\fs20.exe
C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 2.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.ex e
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Network ICE\BlackICE\blackice.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Delux\PS2 Keyboard English Edition 2.0\kb_2k.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe
C:\Archivos de programa\Network ICE\BlackICE\blackd.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Network ICE\BlackICE\rapapp.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.telepolis.com/cgi-bin/web/BUSCADORCANAL?query=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpD3BB.tmp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [freesurfer] C:\Archivos de programa\Free Surfer\fs20.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Archivos de programa\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DataLayer] C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Archivos de programa\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Creative Detector] C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.ex e /R
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: LyricsAMP Auto-Update!.lnk = C:\Archivos de programa\Windows Media Player\Plugins\LyricsAMP\WiseUpdt.EXE
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Archivos de programa\Network ICE\BlackICE\blackice.exe
O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PS2 Keyboard English Edition 2.0.lnk = ?
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Archivos de programa\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Archivos de programa\Free Surfer\FS20.exe
O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Archivos de programa\Free Surfer\FS20.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://www.uam.es/cd_matricula/creditos/msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6BD5C28-B0F4-4019-BB1C-61B6E79EB583}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Archivos de programa\Network ICE\BlackICE\blackd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\hpbpro.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\hpboid.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Archivos de programa\Network ICE\BlackICE\rapapp.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe (file missing)
O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe (file missing)

Hola , te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Descarga estas herramientas pero no las ejecutes aun:

• DelPSGuard
• Ewido Anti-Malware 3.5

Paso 2- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 3- Con todos los programas cerrados ejecuta HijackThis y dale "FIX Cheked" a estas entradas:

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpD3BB.tmp


Paso 4- Ejecuta las herramientas de a una:

• DelPSGuard.exe
• Ewido Anti-Malware 3.5

Paso 5- Reinicia y hacele un escaneo online con "Panda ActiveScan Online"

Paso 6- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2
PS//Es importante que te bajes la ultima versión disponible de DelPSGuard que hasta el momento es la 2.1.0

Muchas gracias por la ayuda y por la rapidez. Parece que ya va funcionando todo bien aunque ahora después de la limpieza hay algunos programas que me piden que los reconfigure. Eso sí, no pude pasar el Panda Online y utilicé el Kaspersky. Parece que todo esta limpio de este spyware, pero quedan restos de otros en la carpeta de Java. ¿Cómo puedo eliminarlos? Este fue el informe:

--------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, January 05, 2006 14:38:06
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 5/01/2006
Kaspersky Anti-Virus database records: 158982
--------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 89495
Number of viruses found: 6
Number of infected objects: 6
Number of suspicious objects: 2
Duration of the scan process: 3851 sec

Infected Object Name - Virus Name
C:\Archivos de programa\HJT\backups\backup-20060104-220514-975.dll Infected: Trojan-Downloader.Win32.Zlob.dx

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Altnet11.zip/asmend.exe Suspicious: Password-protected-EXE

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Altnet11.zip Suspicious: Password-protected-EXE

C:\Documents and Settings\user\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \msjld.jar-5fa973e1-160ad091.zip/GetAccess.class Infected: Trojan.Java.ClassLoader.c

C:\Documents and Settings\user\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \msjld.jar-5fa973e1-160ad091.zip/InsecureClassLoader.class Infected: Exploit.Java.ByteVerify

C:\Documents and Settings\user\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \msjld.jar-5fa973e1-160ad091.zip/Dummy.class Infected: Trojan.Java.ClassLoader.Dummy.a

C:\Documents and Settings\user\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \msjld.jar-5fa973e1-160ad091.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.v

C:\Documents and Settings\user\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \msjld.jar-5fa973e1-160ad091.zip Infected: Trojan-Downloader.Java.OpenConnection.v

Scan process completed.


Muchas gracias de nuevo.

Lo que te muestra Kaspersky son todos falsos positivos por lo que no habria mayor problema y si todo funciona bien damos el tema por solucionado.

Salu2

Solucionada la cosa entonces . Gracias.