Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, buenas tardes.

Hace unos días se me instaló en el ordenador el programa spysherrif, tras pasar varios programas antispyware conseguí eliminarlo, pero desde entonces no paran de salirme ventanas de internet explorer, y de instalárseme spys y cosas raras. Paso mil antivirus online, regseeker, ewido, ad-aware, disk cleaner, windows antispyware, spyware blaster, spybot search and destroy ... y nada. Me los eliminan, me vuelven a aparecer, lo hago a prueba de fallos, en modo normal y nada. Siempre me aparece algo, como el command service, el look2me... ya no se me ocurre que más hacer.

Utilizo windows XP Home, el firewall de windows y antivirus online (ninguno en el propio ordenador). Si tengo muchas herramientas antispyware y de ayuda contra todos esos bichos que circulan por ahí, y que utilizo con regularidad, aunque no me han servido de mucho esta vez. Si necesitais más información pedírmela por favor.

Podeis ayudarme, por favor. Gracias de antemano por la ayuda que aporta vuestra web.

Un saludo:

Iván P.

PD: También me sale constantemente un bloqueo del antispyware de windows diciéndome que bloquea host adwave.com IP address 127.0.0.1.

Buenasss

Te comento que usar el Firewall del SP2 no es de lo mas recomendable, ya que no proporciona una gran seguridad. Te recomiendo que lo desactives e instales un Firewall de estos.

Con respecto a tu infección, descarga el Ewido Anti-Malware 3.5, realiza un escaneo en modo seguro primero y en normal despues.

Peganos el reporte del escaneo en modo normal para ver que tan infectado estas, y asi pensar en una propicia solución.

Saludos

Hola de nuevo. Perdón por el retraso, estoy liadísimo. Ahí mando el reporte que me pedisteis del ewido, a ver si esto tiene solución. Gracias:

---------------------------------------------------------
ewido anti-malware - Report de exploración
---------------------------------------------------------

+ Creado en: 1:53:45, 10/01/2006
+ Report-Checksum: BC680096

+ Scan result:

[572] C:\windows\system32\xhsp2res.dll -> Spyware.Look2Me : Error durante limpieza
[1820] C:\windows\system32\xhsp2res.dll -> Spyware.Look2Me : Error durante limpieza
C:\WINDOWS\Temp\Cookies\iván@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup


::Fin Report


Explico: En el escaneo a prueba de fallos me encontró nueve, y en modo normal sólo tres. cada vez que lo paso me encuentra un número diferente, o eso creo, porque ya no lo sé. Sorry, jajaja... Thanks:

Iván P.

Buenasss

-Sigue al pie de la letra este tutorial

-Pasa el DiskCleaner

-Limpia el registro con RegSeeker

Nos cuentas

Buenos días. He seguido el tutorial al pie de la letra, y despues el disk cleaner, y el regseeker.
Te cuento: al pasar el ad-aware me encontraba 7 infecciones de virtual bounce, le di a limpiar. Después pase el limpiador del vx2, y sólo me encontraba una sospecha que no podía limpiar. Intenté eliminarla manualmente y no me dejó. Utilicé el killbox y tampoco. Pasé los otros dos programas para eliminar el vx2, y el look2me y no me encontraron nada. Utilicé el Hijacksthis 199.1 (no sé si lo he escrito bien) y entré en las opciones de host. Me aparecían un montón de lineas diferentes al local host. Las seleccionaba, le daba a delete, las borraba, le daba a scan, no había ninguna de las entrada que se señalan en el tutorial, reiniciaba el ordenador y en el hijacksthis volvían a aparecer todas las lineas en la ventana de host.

También decirte que si pasaba más veces el ad-aware después de eliminar el virtual bounce, me seguía apareciendo, pero al reiniciar dejó de aparecer. Creo que eso está solucionado.

No sé si he hecho algo mal. Si quieres te mando un registro del Hijacksthis. Un saludo:

Iván P.

PD: Constantemente el ewido me detecta infecciones del look2me, a pesar de que el programilla ese para eliminarlo no detecta nada. Le doy a la opción eliminar, pero siguen apareciendo. Igualmente, no dejan de aparecer ventanas de internet.

Buenasss

Péganos un reporte de HIJackThis para su análisis

Buenos días. Aquí os pego el resultado del Hijacksthis. A ver si hay suerte:

Logfile of HijackThis v1.99.1
Scan saved at 14:49:53, on 12/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\rundll32.exe
C:\windows\System32\Ati2evxx.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\windows\Explorer.EXE
C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\windows\system32\slserv.exe
C:\windows\System32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Archivos de programa\Browser USB MOUSE\mouse32a.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
C:\windows\system32\rundll32.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\windows\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\DOCUME~1\IVN~1\CONFIG~1\Temp\Directorio temporal 3 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Browser USB MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: OfficeUpdate - C:\WINDOWS\system32\gprul3991.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: SmartLinkService (SLService) - - C:\windows\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

Buenas, realiza los siguientes pasos:

-Apaga Restaurar Sistema

-Activa ver archivos ocultos de sistema

-Ejecuta la PC en modo seguro

-Con todos los programas cerrados dale "Fix Checked" a estas entradas:

O20 - Winlogon Notify: OfficeUpdate - C:\WINDOWS\system32\gprul3991.dll

-Escanea la Pc con Spy Sweeper

-Pasa primero el DiskCleaner para limpiar cookies y temporales
y luego el RegSeeker para limpiar el registro

-Reinicia el equipo y vuelve a escanear con Spy Sweeper

-Peganos un nuevo reporte de HiJackThis si el problema persiste

Nos cuentas

Buenos días Rengo. Ya no tengo el problema. Me metí en una web que encontré en google donde te direccionaban a una página con un programa para quitar el look2me (http://www.zonavirus.com/datos/artic...re_Look2Me.asp) después ejecuté hijackthis y eliminé todas las entradas del host diferentes a localhost, como me dijiste y ahora si me dejaba eliminarlas. Después Diskcleaner y Regseeker, y problema resuelto. De todos modos pasaré el Hijackthis y eliminare o como sea, la entrada que me has dicho.

Muchísimas gracias por tu ayuda. Espero no tener más problemas. Si reaparece recurriré a ti, jajaja... Muchas gracias. Un saludo:

Iván P.