Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

hola de nuevo por aca lo primero se me cambio la pagina de inicio a esta
http://www.xoower.com/ muy estraño


esto encontre
Malwarebytes' Anti-Malware 1.36
Versión de la Base de Datos: 2171
Windows 5.1.2600 Service Pack 3

23/05/2009 16:51:39
mbam-log-2009-05-23 (16-51-39).txt

Tipo de examen : Examen Rápido
Objetos examinados: 80204
Tiempo transcurrido: 2 minute(s), 50 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 3
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Se te cambió en el Explorer o en que navegador ?

firefox es el q ocupo

Por favor, sigue estos pasos:

Para mayor comodidad, IMPRIME ESTA HOJA

( Si no puedes hacer algun paso, saltèalo y trata de seguir con los otros)


Descarga lo siguiente: (pero NO EJECUTES NADA AUN)

º CCLEANER. Lo instalas según Su Manual


º MALWAREBYTE´S. Lo instalas y actualizas según su manual.


º DELpsguard 5.0.0.

( El archivo DELpsguar.zip està al final del post)


Aca te dejo Su Manual escrito por GUILLERMO TELL para que te guies y lo uses como corresponde.


Ejecuta CCLEANER usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Apaga RESTAURAR SISTEMA (SYSTEM RESTORE) MIRA AQUI

Inicia EN MODO A PRUEBA DE ERRORES MIRA AQUI


Ejecuta MALWAREBYTE´S. Seleccionas hacer un "escaneo completo"
Una vez finalizado, si te detecta algo eliges " quitar lo seleccionado ".
Si te pide reiniciar, lo haces y después te vas a la pestaña de "registros" para copiar y pegar el reporte generado en este tema.


Ejecuta DELPSGuard siguiendo el manual que te deje-

# Al finalizar la desinfección se abrirá el bloc de notas con el archivo Reportar_a_ForoSpyware.txt. copia su contenido y pegalo en este tema
# El reporte también se encuentra en C:\Reportar_a_ForoSpyware.txt


Pasas CCLEANER nuevamente

Inicia en modo normal, habilita restaurar sistema

Realiza un scan online con KASPERSKY ONLINE SCANER
Si utilizas FIREFOX, debes agregar la extensión IE Tab , que permite Integrar Internet Explorer en pestañas de Mozilla/Firefox.



En tu pròxima respuesta, pegas los resportes de MALWAREBYTE`S, DELPsguard y KASPERSKY.


Te dejo saludos.

bueno segui todos los pasos como siempre este es el resultado

ro lo mas estraño mo pude ejecutar el DelPSGuard ni en modo seguro se cae ya antes lo habia ocupado pero ahora no se ejecuta aparce y se cierra incluso entrando en modo normal cuando da la occion de iniciar en modo seguro lo mismo y todavia me aparece esta pagina de inicio en firefox y explorer http://www.xoower.com/
sin q yo la halla cambiado

Malwarebytes' Anti-Malware 1.36
Database version: 2171
Windows 5.1.2600 Service Pack 3

23/05/2009 18:47:06
mbam-log-2009-05-23 (18-47-06).txt

Scan type: Full Scan (C:\|E:\|)
Objects scanned: 110408
Time elapsed: 23 minute(s), 33 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Falta el reporte de kaspersky online. Si no puedes hacerlo, Realiza un escan online con PANDA ActiveScan 2.0 Siguiendo el manual que confeccionò HARDRIVE desde ACA


Al terminar, en tu pròxima respuesta, pega el reporte generado.



Te dejo saludos.

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-05-23 21:35:50
PROTECTIONS: 1
MALWARE: 0
SUSPECTS: 2
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
ESET NOD32 Antivirus 4.0 4.0 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location g
;================================================= ================================================== ================================================== ==============================
No E:\Exe\Ares_2.09_Espa__ol___AresFix_Conexion_v2__B y_Peruxxo_Pejeman_.rar[Ares_2.09_Espa__ol___AresFix_Conexion_v2__By_Perux xo_Pejeman_\Ares 2.09 Español + AresFix Conexion v2 (By Peruxxo Pejeman)\AresFix Conexion v2 .exe]
No E:\Exe\klwk.rar[klwk\klwk.com] g
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description g
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================

Utiliza INIREM 2.0.4 para desboquear el explorer y también para restaurar el archivo host.

------------------------------------------------------------------------------------------------------------


Por favor, sigue este procedimiento

SACAR UN LOG DE HIJACKTHIS

Descarga HIJACKTHIS v2.0.2.zip (està al final del pos)

Este contiene el nuevo instalador automático HJTInstall.exe

Con todos los programas cerrados (MSN, IE, KaZaa, etc..) ejecuta el instalador HJTInstall.exe y presiona el botón de Install.

Cuando este termine, abrirá el programa HijackThis donde hay que presionar el botón "Do a system scan and save a logfile"

HijackThis escanearà tu sistema y te dará automáticamente la opción de guardar el 'Log' para poder copiarlo y pegarlo en el tema.

Una vez guardado el log, regresas para pegarlo en tu respuesta.

saludos.

aki esta



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:43, on 24/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Comodo\Firewall\cmdagent.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\Comodo\Firewall\CPF.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Archivos de programa\TVGo A11\TVGo A11\TVTray.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 75.127.69.91 www.forospyware.com
O1 - Hosts: 75.127.69.91 forospyware.com
O1 - Hosts: 75.127.86.187 www.infospyware.com
O1 - Hosts: 75.127.86.187 infospyware.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [TVTray] C:\ARCHIV~1\TVGOA1~1\TVGOA1~1\TVTray.exe
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Archivos de programa\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Archivos de programa\ERUNT\AUTOBACK.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5483.cab
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Archivos de programa\Comodo\Firewall\cmdagent.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Archivos de programa\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5532 bytes

Bueno. No hay ningun tipo de infecciones en tu pc.

Abre FIREFOX, pestaña HERRAMIENTAS, OPCIONES, PRINCIPAL y ahi cambias la página de inicio de firefox por la que quieras.....

Me comentas como te fué.