Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

hola a todos, gracias por responderme tan rapido la vez pasada, tengo un problema aparte de los malwares y spywares, y es que cuando voy a reiniciar de modo seguro o modo a prueba de fallos para ejecutar las herramientas, no me aparece nada en el escritorio, y de esta forma no puedo hacer nada... aparte de todas las ventanas que se abren sin cesar y el winfixer que no se deja de instalar, ahh y tambien a veces se me reinicia el ordenador cuando le doy click al explorador.. que puedo hacer?? les agradezco su ayuda!!
aqui les copio mi log a ver que tal..

Logfile of HijackThis v1.99.1
Scan saved at 05:33:47 p.m., on 07/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\Panda Software\Panda Antivirus 6.0\Pavsrv51.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus 6.0\AVENGINE.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\System32\ICO.EXE
C:\socks.exe
C:\WINDOWS\System32\FSRremoS.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus 6.0\APVXDWIN.EXE
C:\WINDOWS\System32\Pelmiced.exe
C:\WINDOWS\vsnpstd.exe
C:\windows\banmanpro.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe
O1 - Hosts: 127.0.2.5 www.symantec.com
O1 - Hosts: 127.0.2.5 symantec.com
O1 - Hosts: 127.0.2.5 securityresponse.symantec.com
O1 - Hosts: 127.0.2.5 sarc.com
O1 - Hosts: 127.0.2.5 www.sarc.com
O1 - Hosts: 127.0.2.5 f-prot.com
O1 - Hosts: 127.0.2.5 www.f-prot.com
O1 - Hosts: 127.0.2.5 housecall.trendmicro.com
O1 - Hosts: 127.0.2.5 pandasoftware.com
O1 - Hosts: 127.0.2.5 www.pandasoftware.com
O1 - Hosts: 127.0.2.5 free.grisoft.com
O1 - Hosts: 127.0.2.5 clamav.net
O1 - Hosts: 127.0.2.5 www.clamav.net
O1 - Hosts: 127.0.2.5 free-av.com
O1 - Hosts: 127.0.2.5 www.free-av.com
O1 - Hosts: 127.0.2.5 www.avast.com
O1 - Hosts: 127.0.2.5 avast.com
O1 - Hosts: 127.0.2.5 cert.org
O1 - Hosts: 127.0.2.5 www.cert.org
O1 - Hosts: 127.0.2.5 www.microsoft.com
O1 - Hosts: 127.0.2.5 microsoft.com
O1 - Hosts: 127.0.2.5 www.virustotal.com
O1 - Hosts: 127.0.2.5 virustotal.com
O1 - Hosts: 127.0.2.5 update.microsoft.com
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ddayx.dll
O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - (no file)
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\pmkhe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Services] C:\socks.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus 6.0\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ScanInicio] "C:\Archivos de programa\Panda Software\Panda Antivirus 6.0\Inicio.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKLM\..\Run: [enewsletterpro] C:\windows\enewsletterpro.exe
O4 - HKLM\..\Run: [banmanpro] C:\windows\banmanpro.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MS-DOS Boot Service] boot32.pif
O4 - HKCU\..\RunServices: [MS-DOS Boot Service] boot32.pif
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRzfw003YYVE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra 'Tools' menuitem: Consola de IBM Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O11 - Options group: [JAVA_IBM] Java (IBM)
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20048BB3-DB68-11CF-9CAF-00AA006CB425} (007installer Control) - http://www.bardownload.com/prompt/cabs/movie.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} -
O16 - DPF: {33331111-1111-1111-1111-611111193457} -
O16 - DPF: {33331111-1111-1111-1111-611111193458} -
O16 - DPF: {33331111-1111-1111-1111-622221193458} -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} -
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) -
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/spsp29953.01noopt/spyspottercabinstall.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ddayx - C:\WINDOWS\SYSTEM32\ddayx.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: pmkhe - C:\WINDOWS\SYSTEM32\pmkhe.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\
O20 - Winlogon Notify: st3 - C:\WINDOWS\
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus 6.0\Pavsrv51.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Descarga las siguientes herramientas pero no las ejecutes aún:

• DelPSGuard v2.2.0
• Spy Sweeper
• TZ-Kill
  
• Killbox
  
• Regseeker
  
• Disk Cleaner

Sigue estos pasos para reparar el archivo Host del sistema


Paso 1:

• Apaga restaurar sistema
  
• Configura el sistema para ver todos los archivos ocultos
  
• Reinicia el sistema en modo a prueba de fallos (modo seguro) *

* Cuando entres en modo seguro, presiona las teclas Ctrl + Alt + Supr, ve a donde dice Archivo > Nueva Tarea y allí escribe explorer y presiona la tecla Enter


Paso 2:


Si los programas con este símbolo " * " los instalaste tú y sabes que son, no los borres ni les des Fix


Ejecuta el hijackthis sin tener ningún otro programa abierto, marca y dale FixChecked a las siguientes entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ddayx.dll

O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - (no file)

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\pmkhe.dll

O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

O4 - HKLM\..\Run: [Services] C:\socks.exe

O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe *

O4 - HKLM\..\Run: [enewsletterpro] C:\windows\enewsletterpro.exe *

O4 - HKLM\..\Run: [banmanpro] C:\windows\banmanpro.exe *

O4 - HKCU\..\Run: [MS-DOS Boot Service] boot32.pif

O4 - HKCU\..\RunServices: [MS-DOS Boot Service] boot32.pif

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRzfw003YYVE

O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

O16 - DPF: {20048BB3-DB68-11CF-9CAF-00AA006CB425} (007installer Control) - http://www.bardownload.com/prompt/cabs/movie.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} -

O16 - DPF: {33331111-1111-1111-1111-611111193457} -

O16 - DPF: {33331111-1111-1111-1111-611111193458} -

O16 - DPF: {33331111-1111-1111-1111-622221193458} -

O16 - DPF: {64311111-1111-1121-1111-111191113457} -

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab

O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -

O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) -

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -

O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/spsp29953.01noopt/spyspottercabinstall.cab

O20 - Winlogon Notify: ddayx - C:\WINDOWS\SYSTEM32\ddayx.dll

O20 - Winlogon Notify: pmkhe - C:\WINDOWS\SYSTEM32\pmkhe.dll

O20 - Winlogon Notify: st3 - C:\WINDOWS\

O20 - Winlogon Notify: st3 - C:\WINDOWS\

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)


Paso 3:

Ejecuta el Killbox y elimina los siguientes archivos:

C:\WINDOWS\System32\ddayx.dll

C:\WINDOWS\System32\pmkhe.dll

C:\socks.exe

c:\\drsmartloadb.exe *

O4 - HKLM\..\Run: [enewsletterpro] C:\windows\enewsletterpro.exe *

O4 - HKLM\..\Run: [banmanpro] C:\windows\banmanpro.exe *


Busca y elimina este archivo: boot32.pif


Ejecuta la herramienta DeslPSGuard.exe

Ejecuta la herramienta TZ-Kill

Ejecuta la herramienta Spy Sweeper


Limpia los temporales y cookies con el Disk Cleaner

Limpia el registro de windows con el Regseeker (pásalo varias veces hasta que no quede nada por limpiar)



Paso 4:

Reincia el sistema en modo normal y haz un chequeo con el Panda ActiveScan y Ewido Online

Visita la página de Windows Update porque tu sistema está muy desactualizado y esto conlleva a que puedes tener problemas mayores que éste por falta de parches de seguridad en el sistema operativo


Nos comentas como te fue y dejas un nuevo log para ver como quedó



Salu2

de verdad gracias!! logre eliminar todos los archivos espias que tenia, solo que no lo pude hacer en modo seguro ya que la pantalla (una vez iniciada la sesion) siempre permanecio en negro, nunca me salio ni la barra de inicio ni nada, pero logre eliminar por lo menos los spywares, ahora navegar es otra cosa.. gracias de verdad y cualquier cosa les hacho un grito!

Por favor, colóca un nuevo log para asegurar que en realidad el sistema está limpio



Salu2