Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Navegando por astalavista.com, me he bajao sin querer un instalador d esos d activeX. Resultado, un monton de troyanos, modificacion del escritorio, alertas en la barra de tareas, ralentizacion del sistema, cuelgues, incapacidad pra cerrar el sistema correctamente y un largo ect, como fallos graficos, navegacion ralentizada, perdidas de conexion a internet, pop ups .......

Como veis, toda una joyita d troyano
Creo k esta muy relacionado con el spyware sheriff, xq al abrir el explorer me sale la pagina web d ese programa. Visto el funcionamiento de mi equipo me imagine k alomejor bajandome el programa podria desinfectarlo, me lo baje y lo pase. Me detecto 114 amenazas pero para desinfectarlas habia k pagar... he seguido los pasos k han solucionado los problemas d otros usuarios pero en mi caso no se ha hecho bien

He perdido horas y horas en intentar buscar la solucion y lo he conseguido parcialmente, me gustaria k echaran un vistazo a mi log plz


Logfile of HijackThis v1.99.1
Scan saved at 20:16:30, on 12/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\SYSTEM32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Program Files\FarStone\VDPPro\VHD\RDTask.exe
D:\Program Files\FarStone\VDPPro\VDP\vdtask.exe
D:\Program Files\DAEMON Tools\daemon.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
D:\Program Files\Winamp\winampa.exe
C:\windows\mousepad10.exe
D:\WINDOWS\system32\drwtsn64.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\DOCUME~1\Javier\APPLIC~1\MANTEC~1\userinit.exe
D:\Program Files\??sks\s?rvices.exe
D:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
D:\WINDOWS\wupdmgr.exe
D:\WINDOWS\osaupd.exe
D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: XBTP05231 Class - {031F120A-BBAF-45d8-B306-375F2A6B9398} - D:\PROGRA~1\ALCOHO~1\ALCOHO~2\a120_tb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - D:\WINDOWS\system32\ipv6mons.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: winapi32.MyBHO - {B52CCF85-726D-471C-B72C-CA9F104C5B98} - D:\WINDOWS\system32\winapi32.dll (file missing)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {F9942019-B7D4-B170-FA1E-CA5E676835C7} - D:\WINDOWS\system32\bhgbyzpu.dll (file missing)
O4 - HKLM\..\Run: [DiskeeperSystray] "D:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL;ctaud2k.sys
O4 - HKLM\..\Run: [ATICCC] "D:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [A64Tweaker] "D:\Documents and Settings\Javier\Desktop\\a64tweaker.exe" D:\Documents and Settings\Javier\Desktop\\startup.a64
O4 - HKLM\..\Run: [RAMDrive] "D:\Program Files\FarStone\VDPPro\VHD\RDTask.exe"
O4 - HKLM\..\Run: [DVDCTray] D:\Program Files\FarStone\VDPPro\dvdcreator\DVDCTrayIconShl.e xe
O4 - HKLM\..\Run: [VirtualDrive] D:\Program Files\FarStone\VDPPro\VDP\vdtask.exe /AutoRestore
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard10.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad10.exe
O4 - HKLM\..\Run: [drwtsn64] D:\WINDOWS\system32\drwtsn64.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adware.Srv32] D:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] D:\WINDOWS\system32\susp.exe
O4 - HKLM\..\RunServices: [drwtsn64] D:\WINDOWS\system32\drwtsn64.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shell] "D:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [drwtsn64] D:\WINDOWS\system32\drwtsn64.exe
O4 - HKCU\..\Run: [wqmz] D:\PROGRA~1\COMMON~1\wqmz\wqmzm.exe
O4 - HKCU\..\Run: [Soui] "D:\DOCUME~1\Javier\APPLIC~1\MANTEC~1\userinit.exe " -vt yazr
O4 - HKCU\..\Run: [Vci] D:\Program Files\??sks\s?rvices.exe
O4 - Startup: spysheriff.lnk = D:\Program Files\SpywareSheriff\spysheriff.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = D:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: &Google Search - res://d:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://d:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://d:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://d:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download All by FlashGet - D:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Similar Pages - res://d:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://d:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141259145312
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144756008203
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{304ABEE0-8D5D-4B72-AB6B-5582AE4DE083}: NameServer = 80.55.65.214,80.55.65.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{52886747-12B7-4BC8-A987-E9971DE36931}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{304ABEE0-8D5D-4B72-AB6B-5582AE4DE083}: NameServer = 80.55.65.214,80.55.65.215
O17 - HKLM\System\CS2\Services\Tcpip\..\{304ABEE0-8D5D-4B72-AB6B-5582AE4DE083}: NameServer = 80.55.65.214,80.55.65.215
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: directpt - directpt.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hola zenerz,Bienvenido a Infospyware.

Bonita colección

Descarga la herramienta DelPSGuard v 3.0.0 y descomprímela en el escritorio de Windows pero no la ejecutes aún.

Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

*Ver archivos ocultos en todos los Windows

*Apagar Restaurar Sistema (Systema Restore)

*Reinicia el PC en Modo a prueba de fallos

*Ves al Panel de Control/ Agregar o Quitar Programas y desinstalas estos programas si existen:

* SpywareQuake <- Fecha 25/03/06
* BraveSentry <- Fecha 11/03/06
* SpyFalcon <- Fecha 08/02/06
* SpywareStrike <- Fecha 0/01/06
* SpyAxe
* SmitFraud
* PSGuard
* SpySheriff
* AntiVirusGold or AV Gold
* Spy Trooper
* Adware Punisher
* Security IGuard
* Virtual Maid
* Search Maid
* World AntiSpy
* Alfacleaner
* WinHound
* Raze Spyware

??sks\s?rvices

Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - D:\WINDOWS\system32\ipv6mons.dll
O2 - BHO: winapi32.MyBHO - {B52CCF85-726D-471C-B72C-CA9F104C5B98} - D:\WINDOWS\system32\winapi32.dll (file missing)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} -

O2 - BHO: (no name) - {F9942019-B7D4-B170-FA1E-CA5E676835C7} - D:\WINDOWS\system32\bhgbyzpu.dll (file missing)
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard10.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad10.exe

O4 - HKLM\..\Run: [drwtsn64] D:\WINDOWS\system32\drwtsn64.exe
O4 - HKLM\..\Run: [Adware.Srv32] D:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] D:\WINDOWS\system32\susp.exe

O4 - HKLM\..\RunServices: [drwtsn64] D:\WINDOWS\system32\drwtsn64.exe
O4 - HKCU\..\Run: [Shell] "D:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [drwtsn64] D:\WINDOWS\system32\drwtsn64.exe

O4 - HKCU\..\Run: [wqmz] D:\PROGRA~1\COMMON~1\wqmz\wqmzm.exe
O4 - HKCU\..\Run: [Soui] "D:\DOCUME~1\Javier\APPLIC~1\MANTEC~1\userinit .exe " -vt yazr
O4 - HKCU\..\Run: [Vci] D:\Program Files\??sks\s?rvices.exe

O4 - Startup: spysheriff.lnk = D:\Program Files\SpywareSheriff\spysheriff.exe
O9 - Extra button: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default...;EN-US;KBHOWTO
O9 - Extra 'Tools' menuitem: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default...;EN-US;KBHOWTO

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O20 - Winlogon Notify: directpt - directpt.dll (file missing)

Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\windows\mousepad10.exe
D:\WINDOWS\system32\drwtsn64.exe
D:\Program Files\??sks\s?rvices.exe

D:\WINDOWS\wupdmgr.exe
D:\WINDOWS\osaupd.exe
D:\WINDOWS\system32\ipv6mons.dll

D:\WINDOWS\system32\winapi32.dll
D:\WINDOWS\system32\bhgbyzpu.dll
C:\windows\keyboard10.exe

D:\WINDOWS\system32\drwtsn64.exe
D:\WINDOWS\system32\runsrv32.exe
D:\WINDOWS\system32\susp.exe

D:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
D:\PROGRA~1\COMMON~1\wqmz\wqmzm.exe
D:\DOCUME~1\Javier\APPLIC~1\MANTEC~1\userinit.exe " -vt yazr

D:\Program Files\??sks\s?rvices.exe
D:\Program Files\SpywareSheriff\spysheriff.exe
directpt.dll

Ejecuta ahora el DelPSGuard v 3.0.0 y sigue las instrucciones del programa.

Pasa estas herramientas:


*Ad-Aware 1.06 SE Personal

*Disk Cleaner para limpiar cookis y temporales

* RegSeeker para limpiar el registro y su manual pasalo varias veces hasta que ya no te salga nada.

Instálate el SpywareBlaster 3.4 manual

Reactiva la opción de restaurar el sistema,reinicias y te conectas a la red.

Y le pasas 2 antivirus online el ewido y el KARPESKY

Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,te puedes imprimir las instrucciones.

P.D. Cuentame si tienes o has tenido alguna relación con Polonia,que tengo una duda.

saludos