Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, mi problema es el siguiente, la página de inicio del explorer consatantemente se cambia a about:blank y de vez en cuando se me abren páginas con publicidad, tengo instalado el panda platinum que constantemente me esta encontrando espias y virus y supuestamente los saca, pero al ratito vuelven a aparecer, escaneé con ad-aware y encontró algunas cosas, pero no me solucionó el problema así que acudo a ustedes para que me digan que puedo hacer. Mi log es el siguiente:

Logfile of HijackThis v1.99.1
Scan saved at 19:22:53, on 24/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\apache\mysql\bin\winmysqladmin.exe
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\apache\mysql\bin\mysqld-nt.exe
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
c:\apache\APACHE.EXE
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
c:\apache\APACHE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Upgrader.exe
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\WebProxy.exe
C:\Documents and Settings\Andy\Escritorio\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {63E988EA-B1A2-6EB4-88EE-55949C150872} - C:\WINDOWS\system32\mfcwi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
O4 - HKLM\..\Run: [iexplore.exe] C:\Archivos de programa\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download using Download &Express - file://C:\Archivos de programa\Download Express\Add_Url.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\javajy.exe (file missing)
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)

Espero me puedan ayudar. Gracias!

Hola!!!

Actualiza tu sistema y tu explorer visitando Windows Update.

Te aconsejo que desinstales el msn plus ya que instala adware, usa en su lugar msn 7.0 o Trillian.

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Ejecuta CWShredder 2.13 y dale al botón Fix.

4) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\cewwf.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {63E988EA-B1A2-6EB4-88EE-55949C150872} - C:\WINDOWS\system32\mfcwi.dll

O4 - HKLM\..\Run: [iexplore.exe] C:\Archivos de programa\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\javajy.exe (file missing)

5) Reinicia a prueba de fallos

6) Busca y elimina estos archivos:

C:\WINDOWS\cewwf.dll
C:\WINDOWS\system32\mfcwi.dll
C:\WINDOWS\system32\javajy.exe

7) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

8) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

9) Reinicia normal y nos cuentas los resultados.

Saludos

Hola, perdón por la demora pero no había tenido tiempo de revisar mi PC, bueno, les cuento lo ke pasó, seguí los pasos como me indicaron, extrañamente habían cosas ke ya no salian en el log y ke ya no estaban en las carpetas indicadas, pero igual seguí los pasos y borré lo ke si había, el problema en teoría se arregló, aunke despues de hacer todo el panda me volvio a neutralizar un par de veces los mismos archivos ke antes... pero igual kedó funcionando. El problema ahora es ke se me murió el Outlook Express, no se si por los pasos ke seguí para arreglar los problemas o por ke los bichos me cambiaron algo en el pc, pero la cosa es ke no funciona, cuando lo abro me salen 2 mensajes, el primero dice: "No se puede iniciar Outlook Express. La aplicación no pudo abrir el almacén de mensajes de Outlook Express. La memoria de su equipo es insuficiente o su disco esta lleno. Ponerse en contacto con el soporte de Microsoft para obtener más ayuda. (0x80040154, 14000)", acepto ese mensaje y me sale otro ke dice lo siguiente: "No se puede iniciar Outlook Express, no se pudo iniciar MSOE.DLL. Es posible que Outlook Express no se haya instalado correctamente." Bueno, obviamente mi pc no tiene memoria insuficiente ni menos poco espacio en el disco, y por otro lado tampoco he instalado nuevamente el Outlook, es mas, pensando en que podia arreglarse usando la version anterion desinstale la ke tenia y nada, sigue igual, incluso las actualizaciones de Outlook Express de Windows Update no me las instala, y todo esto empezó cuando me entro este bicho, lo que no se es si empezó antes o después de tratar de arreglarlo.
Aquí les envío mi log, el msn plus no lo desinstalé porke la verdad es ke lo tengo hace bastante tiempo y nunca me ha producido ningún problema asi ke dudo ke tenga ke ver en algo con lo ocurrido ahora. Y las actualizaciones de sistema ke no tengo instaladas es porke simplemente no me las kere instalar...
Akí va el log:

Logfile of HijackThis v1.99.1
Scan saved at 21:39:33, on 01/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\apache\mysql\bin\mysqld-nt.exe
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
c:\apache\APACHE.EXE
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
c:\apache\APACHE.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
C:\WINDOWS\System32\ctfmon.exe
C:\apache\mysql\bin\winmysqladmin.exe
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\apvxdwin.exe
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\WebProxy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Andy\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download using Download &Express - file://C:\Archivos de programa\Download Express\Add_Url.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)

Eso sería, y muchas gracias por la ayuda.-

Hola

Pues no, en los pasos que te pusieron no hay nada relacionado con el outlook express, te diría que primero revises que tienes espacio libre en la unidad del sistema, eso podría estar causando tus problemas.

Después puedes desinstalar el outlook express y luego volverlo a instalar para así repararlo, aunque personalmente te recomendaría que usaras otro cliente de coreeo, por ejemplo el eudora o el thunderbird.

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado. Instala inmediatamente el Windows XP Service Pack 1a, luego sigue con los demás parches de seguridad que haya y las actualizaciones del explorer.

Veo que usas el firewall de panda, pero no veo antivirus, deberías instalar uno, por ejemplo el Bitdefender Freee Edition v 7.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
4. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Deberás marcar estas líneas en el Hijackthis para reparar:

• O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
• O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Si los encuentras, deberás borrar estos archivos y carpetas:

• C:\WINDOWS\web\related.htm

Tu reporte está limpio salvo ese pequeñísimo detalle que te marco, sin embargo, si quieres, puedes ejecutar estas otras herramientas por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Spybot Search and Destroy
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Cuéntanos como evoluciona el tema.

Felicidad

Hola, bueno, primero ke todo kero excusarme, la verdad es ke buské este tema para contestar de aki pero no lo encontré, al parecer estaba muy lejos, no habia tenido tiempo de contestar... y ahora me surgió otro problema, el cual ustedes no tomaron en cuenta por ke claro, no habia contestado este... pero de verdad buske el tema en el buscador del foro y no lo encontré, les pido disculpas...
Respecto al nuevo problema tuve ke instalar de nuevo el windows pero no me kedo al 100%... de cualker forma me gustaria saber si el nuevo tema lo van a activar una vez ke terminen este o tengo ke explicar todo de nuevo o buscar en otro lado. Aki les envio mi log para ver si todo esta ok en lo ke respecta a ustedes.
Logfile of HijackThis v1.99.1

Eso, saludos.

Bueno, disculpas aceptadas.

En cuanto a lo de que este mensaje quedaba lejos, pues evidentemente, pero no tuviste que dar lugar a eso, ya que lo tenias que haber respondido hace tiempo, sobre el 2 de mayo que es cuando te respondieron al ultimo post.

El objetivo de todo esto es una mejor organización del foro, ya que no queremos dejar mensajes sin contestar y es por eso por lo que se os pide que conteis los resultados, para poder dar un tema por solucionado o seguir prestano nuestra ayuda.

No creo que sea mucho pedir que despues de que realices los pasos propuestos cuentes como te fue.

Lo que respecta a este tema lo damos por solucionado.

Y una vez has respondido este mensaje vuelvo a abrir el tema que te cerre. Espero que tus mensajes no se vuelvan a quedar sin respuesta.

Saludos