Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, con vuestra ayuda he conseguido hacer avances en este campo, aunque no son suficientes,jaja. De vez en cuando se me cuela el trojan startpage y sigo vuestros consejos y más o menos consigo sacarlo, a partir de ahí utilizo mozilla firefox y ahí parece que no entra. Pero el caso es que tengo dos archivos en C:/Documents and Settings, con aspecto de W.Media Player que creo son sospechosos, pero no puedo eliminarlos. Cuando lo intento me dice que ese archivo está siendo utilizado por otra persona -que no soy yo...- y que por eso no se puede eliminar. Lo intento con el hijack Open the misc tools selection y Delete a file on reboot, pero despues de reiniciar veo que siguen ahí. Será un spy?, qué hago? cómo lo elimino definitivamente?. Seguro vuestras sabias mentes encuentran una solución, Un saludo.

Que un archivo esté en uso no significa necesariamente que se trate de un virus o troyano. De hecho tienes un gran número de ficheros en uso simplemente por tener el ordenador en funcionamiento.

De todos modos no hay que descartar nada, ¿que archivos son los que crees que tienes contaminados?

hola

primero tenemos que saber que archivos son.

Sigue estos pasos, recuerda que la opcion restaurar el sitema este desactivada y esta activada la opcion ver archivos ocultos. Inicia la pc en modo seguro apretando F8


>Analiza tu pc con dos antivirus online

>Despues ejecuta:

°Ad-aware Se
°spybot S&D
°Microsoft Antispyware
°spyware blaster
°disk cleaner
°reg seeker - usa la opcion limpiar el registro

Luego inicia y nos cuentas los resultados.

Saludos

Una cosilla antes: No sé como ver los archivos ocultos, intenté repetir los pasos que explicáis para ello pero al picar en mi pc no sale Herramientas, sino disco c, disco d, unidad e, unidad f, disco 3 1/2, documentos compartidos y documentos de chema (mi nombre). Así que probé en Programas y picar en herramientas del sistema -que es donde sale p.ej restaurar sistema- pero ahí no encuentro lo de opciones de carpeta.
Así que, no sé como hacer, y si seguir vuestras instrucciones no servirá de nada si no consigo ver antes los archivos ocultos. Un saludo, y os pido paciencia conmigo, jaja.

El arbol no te deja ver el bosque...

Justamente en la ventana en la que te salen los discos duros etc pues arriba del todo tienes una barra azúl que dice mi pc y justo debajo seis palabras, la última es ayuda y la anterior herramientas.

He seguido las instrucciones y he pasado el hijack. El log que resulta es el siguient, espero sirva de algo, gracias. :

Logfile of HijackThis v1.99.1
Scan saved at 18:59:40, on 02/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\sistray.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\E-Color\Common\IconMgr.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\E-Color\Colorific\hgcctl95.exe
C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe
C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\mis documentos\descargas\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\CHEMA\CONFIG~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {E7DE0697-423E-413A-8EDA-193E8A8B29AD} - C:\WINDOWS\system32\pllnb.dll (file missing)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Archivos de programa\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Hola :dedosarri

•» Coloca al HijackThis en una carpeta para el solo (C:/Hijackthis/Hijackthis.exe)

•» Descarga el Disk Cleaner

•» Desactiva la opcion de Restaurar Sistema, una vez limpio la puedes volver a activar.
•» Asegura que tu sistema Muestre los archivos y carpetas ocultos
•» Ejecuta el HijackThis
•» Selecciona las siguientes entradas y dale en Fix Checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\CHEMA\CONFIG~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O2 - BHO: (no name) - {E7DE0697-423E-413A-8EDA-193E8A8B29AD} - C:\WINDOWS\system32\pllnb.dll (file missing)

•» Utiliza el Disk Cleaner para eliminar todos los archivos temporales de tu sistema
•» Reinicia normalmente
•» Toma otro log del HijackThis y dejalo aqui

Saludos

Hola, ahí va el siguiente log de hijack:

Logfile of HijackThis v1.99.1
Scan saved at 23:41:34, on 02/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sistray.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\E-Color\Common\IconMgr.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\E-Color\Colorific\hgcctl95.exe
C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
D:\mis documentos\descargas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Archivos de programa\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

hola

Yo no soy experto en analisis de log de hijckthis pero me parece que tienes el Trojan.Prova en la siguiente entrada:

*O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

Te recomiendo que analisis tu sistema c por lo menos con 2 antivirus online de mi firma. Fijate en la pagina de symantec si encuentras el removedor.
Espera que un moderador se encargue de verificar tu log y no elimines la entrada que te marque.

Espero tus respuestas.

saludos

La entrada:

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

NO debe ser eliminada, es legítima.

El resto del log ya parece estar limpio, asi que, si no hay más dudas damos el tema por solucionado.

Saludos.