• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    Tengo un spyware, que debo hacer? agrego hijackthis (Solucionado)

    Resumen del tema: Tengo un spyware, que debo hacer? agrego hijackthis (Solucionado) - Recibi un mensaje de infeccion, se me instalo un antivirus por las buenas, no paran de abrirse ventanas de internet, no se que hacer. Podeis ayudar-me? Gracias. os adjunto el informe del HijackThis Logfile of ...

      
    1. #1
      Usuario Avatar de JofreP
      Registrado
      abr 2006
      Ubicación
      España
      Mensajes
      10

      Bien Tengo un spyware, que debo hacer? agrego hijackthis (Solucionado)

      Recibi un mensaje de infeccion, se me instalo un antivirus por las buenas, no paran de abrirse ventanas de internet, no se que hacer. Podeis ayudar-me?
      Gracias.

      os adjunto el informe del HijackThis


      Logfile of HijackThis v1.99.1
      Scan saved at 20:47:19, on 13/04/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      C:\WINDOWS\eHA\command.exe
      C:\Archivos de programa\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
      C:\Archivos de programa\Network Monitor\netmon.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\WINDOWS\explorer.exe
      C:\Archivos de programa\Ahead\InCD\InCD.exe
      C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe
      C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
      C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
      C:\Archivos de programa\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
      C:\Archivos de programa\QuickTime\qttask.exe
      C:\windows\mousepad11.exe
      C:\Program Files\paytime.exe
      C:\windows\system32\taskmgn.exe
      C:\WINDOWS\system32\cnkdsk.exe
      C:\Archivos de programa\webHancer\Programs\whagent.exe
      C:\Archivos de programa\webHancer\Programs\whsurvey.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\Save\Save.exe
      C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
      C:\ARCHIV~1\WNSXS~1\svchost.exe
      C:\ARCHIV~1\ARCHIV~1\qfqf\qfqfm.exe
      C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-xl\bin\WindowsSearch.exe
      C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
      C:\Archivos de programa\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
      C:\Archivos de programa\winzip\WZQKPICK.EXE
      C:\WINDOWS\wupdmgr.exe
      C:\WINDOWS\osaupd.exe
      C:\ARCHIV~1\ARCHIV~1\qfqf\qfqfa.exe
      C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-xl\bin\WindowsSearchIndexer.exe
      C:\WINDOWS\system32\winsrv32.exe
      C:\ARCHIV~1\ARCHIV~1\qfqf\qfqfl.exe
      C:\Archivos de programa\winrar\WinRAR.exe
      C:\Archivos de programa\HJT\HijackThis.exe
      C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-xl\bin\WindowsSearchFilter.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      F2 - REG:system.ini: Shell=explorer.exe "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
      O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
      O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
      O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
      O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINDOWS\DH.dll
      O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\ipv6mons.dll
      O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
      O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
      O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
      O2 - BHO: winapi32.MyBHO - {B52CCF85-726D-471C-B72C-CA9F104C5B98} - C:\WINDOWS\system32\winapi32.dll
      O2 - BHO: Barra de herramientas de MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1105\es-xl\msntb.dll
      O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Archivos de programa\webHancer\programs\whiehlpr.dll
      O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\system32\azesearch4.ocx
      O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
      O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll
      O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
      O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\system32\azesearch4.ocx
      O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
      O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
      O4 - HKLM\..\Run: [AdwareAlert] C:\Archivos de programa\AdwareAlert\adwarealert.Exe -boot
      O4 - HKLM\..\Run: [PCTVRemote] C:\Archivos de programa\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard11.exe
      O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad11.exe
      O4 - HKLM\..\Run: [newname] C:\windows\newname11.exe
      O4 - HKLM\..\Run: [SysTray] C:\Program Files\paytime.exe
      O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe
      O4 - HKLM\..\Run: [cnkdsk] C:\WINDOWS\system32\cnkdsk.exe
      O4 - HKLM\..\Run: [webHancer Agent] C:\Archivos de programa\webHancer\Programs\whagent.exe
      O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Archivos de programa\webHancer\Programs\whsurvey.exe
      O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
      O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
      O4 - HKLM\..\RunServices: [cnkdsk] C:\WINDOWS\system32\cnkdsk.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
      O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [Shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
      O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
      O4 - HKCU\..\Run: [Iosa] "C:\ARCHIV~1\WNSXS~1\svchost.exe" -vt yazr
      O4 - HKCU\..\Run: [qfqf] C:\ARCHIV~1\ARCHIV~1\qfqf\qfqfm.exe
      O4 - HKCU\..\Run: [cnkdsk] C:\WINDOWS\system32\cnkdsk.exe
      O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-xl\bin\WindowsSearch.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
      O4 - Global Startup: Pinnacle Scheduler.lnk = ?
      O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\winzip\WZQKPICK.EXE
      O8 - Extra context menu item: &MSN Search - res://C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1105\es-xl\msntb.dll/search.htm
      O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0000.1105\es-xl\msntabres.dll/229?ec554d517cf4edb961de970915a28c
      O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0000.1105\es-xl\msntabres.dll/230?ec554d517cf4edb961de970915a28c
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
      O10 - Hijacked Internet access by WebHancer
      O10 - Hijacked Internet access by WebHancer
      O10 - Hijacked Internet access by WebHancer
      O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
      O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
      O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/popcap/zuma/popcaploader_v6.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{BF0957A8-A1F6-4D1D-9994-76EAEC349D3C}: NameServer = 195.235.113.3,195.235.96.90
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\wlnscard.dll
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\eHA\command.exe
      O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
      O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
      O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe

    2. #2
      Ex-Colaborador Avatar de Nextspy
      Registrado
      ene 2006
      Ubicación
      Chile
      Mensajes
      2.446

      Re: Tengo un spyware, que debo hacer? agrego hijackthis

      Hola y Bienvenid@ al forospyware

      Tienes sumamente infectado el sistema

      Para que limpies el sistema realiza lo siguiente:

      1.- Desactiva Restaurar Sistema

      2.- Activa Ver Archivos Ocultos

      3.- Ve inicio/ panel de control/ agregar o quitar programas y revisa si tienes alguno de estos programas instalados, para que los desinstales

      Network o Network Monitor

      AdwareAlert

      Azesearch o MWSearch

      webHancer Customer Companion


      4.- Ve a inicio/ ejecutar y escribes cmd, en la pantalla negrita escribes sc delete cmdService y enter

      5.- Reinicia el pc en Modo a Prueba de Fallos

      6.- Cierra todos los programas, luego ejecuta el hijackthis y les das "Fix Checked" a las siguientes entradas entradas:

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

      F2 - REG:system.ini: Shell=explorer.exe "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"

      O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
      O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
      O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
      O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
      O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINDOWS\DH.dll
      O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\ipv6mons.dll
      O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
      O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
      O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
      O2 - BHO: winapi32.MyBHO - {B52CCF85-726D-471C-B72C-CA9F104C5B98} - C:\WINDOWS\system32\winapi32.dll
      O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Archivos de programa\webHancer\programs\whiehlpr.dll
      O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\system32\azesearch4.ocx
      O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
      O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll
      O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)

      O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\system32\azesearch4.ocx

      O4 - HKLM\..\Run: [AdwareAlert] C:\Archivos de programa\AdwareAlert\adwarealert.Exe -boot
      O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard11.exe
      O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad11.exe
      O4 - HKLM\..\Run: [newname] C:\windows\newname11.exe
      O4 - HKLM\..\Run: [SysTray] C:\Program Files\paytime.exe
      O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe
      O4 - HKLM\..\Run: [cnkdsk] C:\WINDOWS\system32\cnkdsk.exe
      O4 - HKLM\..\Run: [webHancer Agent] C:\Archivos de programa\webHancer\Programs\whagent.exe
      O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Archivos de programa\webHancer\Programs\whsurvey.exe
      O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
      O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
      O4 - HKLM\..\RunServices: [cnkdsk] C:\WINDOWS\system32\cnkdsk.exe
      O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"
      O4 - HKCU\..\Run: [Shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
      O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
      O4 - HKCU\..\Run: [Iosa] "C:\ARCHIV~1\WNSXS~1\svchost.exe" -vt yazr
      O4 - HKCU\..\Run: [qfqf] C:\ARCHIV~1\ARCHIV~1\qfqf\qfqfm.exe
      O4 - HKCU\..\Run: [cnkdsk] C:\WINDOWS\system32\cnkdsk.exe

      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

      O10 - Hijacked Internet access by WebHancer
      O10 - Hijacked Internet access by WebHancer
      O10 - Hijacked Internet access by WebHancer

      O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
      O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/popcap/zuma/popcaploader_v6.cab

      O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\wlnscard.dll

      O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\eHA\command.exe
      O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
      O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe


      7.- Sin reiniciar, elimina estos archivos, en caso de que no los puedas eliminar utilizas la herramienta "Killbox"

      C:\WINDOWS\eHA\command.exe--- Elimina la carpeta
      C:\Archivos de programa\Network Monitor\netmon.exe--- Elimina la carpeta
      C:\Program Files\paytime.exe
      C:\windows\system32\taskmgn.exe
      C:\WINDOWS\system32\cnkdsk.exe

      C:\Archivos de programa\webHancer--- Elimina la carpeta
      C:\Archivos de programa\Save\Save.exe--- Elimina la carpeta
      C:\ARCHIV~1\WNSXS~1\svchost.exe
      C:\ARCHIV~1\ARCHIV~1\qfqf\qfqfm.exe--- Elimina la carpeta
      C:\WINDOWS\wupdmgr.exe
      C:\WINDOWS\osaupd.exe
      C:\WINDOWS\system32\winsrv32.exe

      C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe
      C:\WINDOWS\DH.dll
      C:\WINDOWS\system32\ipv6mons.dll
      C:\WINDOWS\system32\winapi32.dll
      C:\WINDOWS\system32\azesearch4.ocx
      C:\WINDOWS\system32\iasada.dll
      C:\Archivos de programa\AdwareAlert
      --- Elimina la carpeta
      C:\windows\keyboard11.exe
      C:\windows\mousepad11.exe
      C:\windows\newname11.exe
      C:\WINDOWS\system32\runsrv32.exe
      C:\WINDOWS\system32\susp.exe
      C:\WINDOWS\system32\wlnscard.dll


      8.- Utiliza la herramienta LSP-Fix

      9.- Analiza el pc con DelPSGuard

      10.- Analiza el pc con AboutBuster

      11.- Analiza el pc con Look2Me-Destroyer.exe

      12.- Scanea el pc con SpyBot Search & Destroy y con el Ad-Aware 1.06 SE

      13.- Con el Disk Cleaner eliminas las cookies y temporales

      14.- Con el Regseeker limpias el registro

      15.- Instala el SpywareBlaster 3.5 (Manual)

      16.- Analiza el pc con Ewido online

      Nos cuentas los resultados y pegas un nuevo log

      salu2
      Última edición por Nextspy fecha: 13/04/06 a las 16:22:10

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de JofreP
      Registrado
      abr 2006
      Ubicación
      España
      Mensajes
      10

      Mensaje Re: Tengo un spyware, que debo hacer? agrego hijackthis

      He realizado todos los pasos. Hay algunos archivos que no he encontrado y por lo tanto no he borrado. Gracias mil. Han desaparecido los pop-ups y ya puedo conectarme a internet. Ahun asi sigo recibiendo mensajes de critical system alert: spyware detected y Spyware infection detected.

      El informe de HiJackThis actual:


      Logfile of HijackThis v1.99.1
      Scan saved at 0:16:24, on 14/04/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\wscntfy.exe
      C:\Archivos de programa\Ahead\InCD\InCD.exe
      C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe
      C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
      C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
      C:\Archivos de programa\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
      C:\Archivos de programa\QuickTime\qttask.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
      C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-xl\bin\WindowsSearch.exe
      C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
      C:\Archivos de programa\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
      C:\Archivos de programa\winzip\WZQKPICK.EXE
      C:\WINDOWS\wupdmgr.exe
      C:\WINDOWS\osaupd.exe
      C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-xl\bin\WindowsSearchIndexer.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Archivos de programa\HJT\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: Barra de herramientas de MSN*Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1105\es-xl\msntb.dll
      O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
      O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
      O4 - HKLM\..\Run: [PCTVRemote] C:\Archivos de programa\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
      O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-xl\bin\WindowsSearch.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
      O4 - Global Startup: Pinnacle Scheduler.lnk = ?
      O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\winzip\WZQKPICK.EXE
      O8 - Extra context menu item: &MSN Search - res://C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1105\es-xl\msntb.dll/search.htm
      O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0000.1105\es-xl\msntabres.dll/229?ec554d517cf4edb961de970915a28c
      O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0000.1105\es-xl\msntabres.dll/230?ec554d517cf4edb961de970915a28c
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
      O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{BF0957A8-A1F6-4D1D-9994-76EAEC349D3C}: NameServer = 195.235.113.3,195.235.96.90
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

    4. #4
      Ex-Colaborador Avatar de Nextspy
      Registrado
      ene 2006
      Ubicación
      Chile
      Mensajes
      2.446

      Re: Tengo un spyware, que debo hacer? agrego hijackthis

      Hola

      Perfecto, el log esta mucho mas limpio, en comparación al log anterior, solo quedan 2 procesos que eliminar

      1.- Desactiva Restaurar Sistema

      2.- Activa Ver Archivos Ocultos

      3.- Reinicia el pc en Modo a Prueba de Fallos

      4.- Elimina estos archivos, en caso de que no los puedas eliminar utilizas la herramienta "Killbox"

      C:\WINDOWS\wupdmgr.exe
      C:\WINDOWS\osaupd.exe


      5.- Analiza el pc con DelPSGuard

      6.- Con el Disk Cleaner eliminas las cookies y temporales

      7.- Con el Regseeker limpias el registro

      8.- Analiza el pc con Ewido online

      Nos cuentas los resultados y pegas un nuevo log

      salu2

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de JofreP
      Registrado
      abr 2006
      Ubicación
      España
      Mensajes
      10

      Alegria Re: Tengo un spyware, que debo hacer? agrego hijackthis

      El sistema funciona a la perfeccion. De momento no ha vuelto a aparecer ningun mensaje de alarma. Muchisimas gracias
      Y Felicidades por el foro

      Estado actual del log:

      Logfile of HijackThis v1.99.1
      Scan saved at 11:16:28, on 14/04/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\Ahead\InCD\InCD.exe
      C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe
      C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
      C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
      C:\Archivos de programa\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
      C:\Archivos de programa\QuickTime\qttask.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
      C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-xl\bin\WindowsSearch.exe
      C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
      C:\Archivos de programa\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
      C:\Archivos de programa\winzip\WZQKPICK.EXE
      C:\WINDOWS\system32\wscntfy.exe
      C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-xl\bin\WindowsSearchIndexer.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\HJT\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: Barra de herramientas de MSN*Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1105\es-xl\msntb.dll
      O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
      O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
      O4 - HKLM\..\Run: [PCTVRemote] C:\Archivos de programa\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
      O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-xl\bin\WindowsSearch.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
      O4 - Global Startup: Pinnacle Scheduler.lnk = ?
      O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\winzip\WZQKPICK.EXE
      O8 - Extra context menu item: &MSN Search - res://C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1105\es-xl\msntb.dll/search.htm
      O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0000.1105\es-xl\msntabres.dll/229?ec554d517cf4edb961de970915a28c
      O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0000.1105\es-xl\msntabres.dll/230?ec554d517cf4edb961de970915a28c
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
      O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{BF0957A8-A1F6-4D1D-9994-76EAEC349D3C}: NameServer = 195.235.113.3,195.235.96.90
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

    6. #6
      Ex-Colaborador Avatar de Nextspy
      Registrado
      ene 2006
      Ubicación
      Chile
      Mensajes
      2.446

      Re: Tengo un spyware, que debo hacer? agrego hijackthis

      Hola JofreP

      Perfecto, el log esta limpio y como el problema con continua lo damos por solucionado

      Tenga más cuidado

      salu2

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.