Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenos días a todos, y lo primero Feliz Navidad, que está a puntito de caramelo para todos.
Me atrevo a pediros a todos ayuda (me he recorrido el foro y creo que sois los mas indicados para ello, Madre Mía cuantos habéis salvado!!!), ya que de los 5 Spyware/Malware/etc (trojanhorse, virtumonde, virtumonde.generic, PWS.LDPinchIE...) que tenía en mi PC de sobremesa, en casa, solo sigue vivo 1 pero es muy rebelde, o por lo menos me lo parece a mí, pobre prófano en el tema.

He consultado el foro y encontrado un tema que parecía solucionarlo (forospyware.com/t210226.html) pero a pesar de mis intentos no lo he conseguido.

No he conseguido de ninguna forma instalar el install_mbam_setup.exe de 126 KB descargado de vuestro link (ni en el portatil que estoy utilizando, ni en el sobremesa infectado) ya que da un "Runtime error! abnormal program termination" del Visual C++ Runtime library, pero creo que no es inprescindible ya que según lo que he interpretado (se aprende mucho leyendoos) es parecido al Spybot Search & Destroy que es el que utilizo yo (no me preguntéis porqué, seguramente un familiar que en su día me dijo que era la pera ) y claro, luego es dificil saber si sigues bien el "paso a paso" que proponéis en la solución.

Bueno no me quiero enrollar mucho más, aunque bastante habitual en mi, y sin más, si os parece bien, estaré pendiente de que alguien me eche una mano.

Otra vez feliz Navidad.

Hola morpi bienvenido al Foro de Infospyware.com

Antes de comenzar con la desinfección del equipo Desactiva el Tea Timer del Spybot S & D.
__________

Realiza lo siguiente:

• Descarga Ccleaner
  
• Descarga y actualiza SUPERAntiSpyware.
  
• Descomprime la herramienta DelPSGuard.Zip ( está al final de la pagina).

• Reinicia en Modo seguro (a prueba de fallos).
  
  
  1. Ejecuta DelPSGuard:
     • Te saldran cuatro opciones...
       1. Desinfectar Win 98/2K/2003/NT/XP/vista
       2. Restaurar archivo HOST
       3. Borrar las entradas 015 True Zone Spyware
       4. Eliminar los Cambios producidos por Virus Alert
       5. Exit (Salir)
     • Elige la primera opcion para desinfectar el sistema operativo y pulsa en "Enter".
     • Espera a que termine el proceso de desinfeccion.
     • Al finalizar el proceso saldra un Reporte en B]C:\Reportar_a_ForoSpyware.txt[/B], lo guardas en el Escritorio.
     • Busca el Reporte que guardaste de DelPSGuard. Copia y pega aqui su contenido.
     
     
  2. Ejecuta SUPERAntispyware; haces un análisis completo y eliminas todo lo que este encuentre.
     
     
  3. Ejecuta Ccleaner.
     • Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
     • Despues usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
• Reinicia en modo normal y realiza un analisis completo con Panda Active Scan 2.0.

En tu proxima respuesta:
- Pega los reportes de SUPERAntispyware, DelPSGuard y Panda.
- Nos comentas los resultados.

Salu2!.

Buenas noches Maco,
lo primero darte las gracias por la ayuda que me aportáis todo el equipo. Es de agradecer.
Te adjunto el fivhero resultado del paso 1.1 (he tardado bastante en contestar pero tengo mucha información en mi PC y tampoco es nuevo así que tarda bastante en hacer todos los scaneos etc):

DelPSGuard v 5.0.0
by www.ForoSpyware.com
Reporte Creado: 23:40:20,59, 21/12/2008
SO: Microsoft Windows XP [Versi¢n 5.1.2600]
C:\_DPSG
Modo de Inicio: Seguro
_________________________________________


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»»»»»»



»»»»»»»»»»»»»»»»»»» FIN »»»»»»»»»»»»»»»»»»»


Imagino que esto debe de ser bueno ya que no aparece nada.

Adicionalmente te adjunto el resultado de un HijackThis que lance esta tarde:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:26, on 21/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\SYMANT~1\VPTray.exe
C:\Archivos de programa\Creative\Shared Files\Module Loader\DLLML.exe
C:\ARCHIV~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Archivos de programa\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\TomTom HOME 2\HOMERunner.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Creative\ShareDLL\CADI\NotiMan.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jucheck.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Archivos de programa\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Archivos de programa\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\ARCHIV~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Archivos de programa\COMPAQ\SetRefresh\\SetRefresh.exe
O4 - HKLM\..\Run: [RCSystem] "C:\Archivos de programa\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB6280] command /c del "C:\DOCUME~1\Erwann\CONFIG~1\Temp\csrssc.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD150] cmd /c del "C:\DOCUME~1\Erwann\CONFIG~1\Temp\csrssc.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe " -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Abrir imagen en &Microsoft PhotoDraw - res://C:\ARCHIV~1\MICROS~2\Office\3082\phdintl.dll/phdContext.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Portafolios de HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Archivos de programa\Hewlett-Packard\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selección inteligente de HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Archivos de programa\Hewlett-Packard\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) -
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} -
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} -
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) -
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) -
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1120EC4-07F3-45B1-9013-8B94CD609590}: NameServer = 205.244.74.1,205.244.92.86
O20 - AppInit_DLLs: ukycsa.dll ftcyum.dll wnxsda.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

--
End of file - 11939 bytes


El equipo está actualmente realizando un antivirus online con Norton (me aconsejas hacerlo con el Panda, pero en mi equipo tengo el Symantec Antivirus).
Creo que tardará bastante y como aquí ya son las 2 de la madrugasda y mi despertador sonará dentro de 4 horas y cuarto para ir a trabajar, creo que me voy a acostar y esperar a mañana para ver el resultado).
Otra vez un abrazo sincero por la ayuda recibida y espero mandarte la próxima respuesta a este tema con una sonrisa de oreja a oreja.

Un saludo
Erwann

Hola.

Solo dos cosas:

1.- Tenias que desactivar el tea timer del spybot.

2.- Tenias que hacer el escaneo con panda online.

____________

Realiza lo siguiente:

• Descarga OTMoveIt3 by OldTimer en el escritorio.
  • Haz doble clic sobre el icono OTMoveIt3.exe para ejecutarlo
  • Asegúrate que esté marcada la casilla "unregister Dll´s and Ocx´s".
  • Pega en siguiente script bajo el area "Paste Instructions for items to be Moved". (No se incluye la palabra "codigo").
    
    Código:

    :reg
    [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingB6280"=-
    "pybotDeletingD150"=-
    
    
    :files
    C:\DOCUME~1\Erwann\CONFIG~1\Temp\csrssc.exe
    
    :commands
    [EmptyTemp]
    [Purity]
    [Reboot]
    

  • Presiona el boton rojo MoveIt!
  • Cuando el resultado aparezca en el marco Results, haz clic en Exit.
  • Reinicia el equipo, esto es importante.
  • Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles\***_***.log

Salu2!.