Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola. En el escritorio me aparece como fondo una pantalla roja sobre fondo negro en la que pone en inglés algo así como que tengo el pc infectado y que para eliminarlo tengo que hacer click en un link (ja, ja). Por más que lo quito y me pongo mi fondo de siempre, me vuelve a aparecer. Y aunque elimine el archivo (desktop.html en c:/windows/web) vuelve a aparecer. Os envío un log a ver qué se puede hacer. También se ha puesto de inicio una web, passist.biz que me redirecciona a su propio buscador...vamos, lo de siempre.

Bueno, pues aquí va el log y os doy las gracias de antemano.

Logfile of HijackThis v1.99.1
Scan saved at 10:16:57, on 25/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\System32\Services\{52957BA6-A9A4-47C2-9008-5677F6CE6FB0}\SVCHOST.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Eraser\eraser.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Archivos de programa\Nikon\NkView6\NkvMon.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\PROGRAMAS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\System32\pavdr.exe,C:\WINDOW S\System32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{52957BA6-A9A4-47C2-9008-5677F6CE6FB0}\SVCHOST.EXE
O4 - HKLM\..\Run: [CPU Watcher] rundll32.exe C:\WINDOWS\cpu.dll,load
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{52957BA6-A9A4-47C2-9008-5677F6CE6FB0}\SECURITY.EXE
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Update Service] "C:\Archivos de programa\Archivos comunes\Teknum Systems\update.exe" /startup
O4 - HKCU\..\Run: [Eraser] C:\Archivos de programa\Eraser\eraser.exe -hide
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7CC0B4E-5539-4EE2-81A9-71A8410667A0}: NameServer = 62.81.16.130 62.81.0.34
O21 - SSODL: SysTray.Ev - {F5B1D0BE-5f02-4255-96DB-388DFA244900} - C:\WINDOWS\System32\opmoneng.dll
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe



Un saludo

Hola te doy la bienvenida al Foro de Spyware, empeza siguiendo los pasos de el "Tutorial de Spywares" con las herramientas Microsoft Antispyware, Ad-Aware SE y SpyBot.

Pásale el "Trend Micro Antivirus Online" y genera un nuevo log de HijackThis para pegarlo en este mismo mensaje y decirnos los resultados de los análisis de las herramientas.

Segui tambien los pasos de este articulo para restaurar el escritorio AQUI !!

Salu2

Bueno, antes que nada darte las gracias por echarme una mano. Primero quería especificar algunas cosas que fui decubriendo ayer: el ipassist.biz no era tan "típico" como parecía: aparte de redireccionarte a su página como inicio al abrir IE, usaba palabras como liks a dicha página: es decir, si en los resultados de un buscador o en un topic de un foro aparecían determinadas palabras (software, single, virus...) al darle click a ese topic directamente te abría su web, el ipassist.biz, impidiendo así poder acceder a ese topic. En una ocasión incluso me llegó a aparecer una ventana en la que me decía que IE había bloqueado la búsqueda de determinadas palabras (algunas de ellas las había utilizado para buscar en google antivirus e información) y me decía que sin embargo había unos links que me podían ser útiles, y al final de esta ventana aparecían los típicos y sospechosos links de "antivirus, spyware, software, etc". Desde luego, los creadores de esta cosa han sido muy muy retorcidos.

Bueno, ahora te comento que he seguido todos los pasos que me dijiste y (por lo pronto) del ipassist no hay rastro, lo eliminé como inicio y no ha vuelto a aparecer, y ya no aparecen esos links que llevaban a su página.

Pero por otro lado, aquel fondo de escritorio que te comenté me apareció que ponía "Virus alert, your pc is infected" y que abajo del todo daba un enlace para "solucionar" el problema, ese enlace también era de extensión .biz, por lo que no se si estarán ambas cosas relacionadas. Sin embargo, esta pantalla no se ha quitado y sigue saliendo. En el spybot me apareció el coolwebsearch y lo eliminé. Busqué y eliminé (siguiendo el tutorial) desktop.bmp que en mi caso estaba en c:\windows\web pero no encontré c:\wp.exe ni c:\wp.bmp, quizá este spyware que tengo yo sea una variante del que aparece en el tutorial. Pero si que encontré en c:\ unos archivos muy curiosos más o menos de la fecha en que empecé con este problema: sys6696668.exe y 4 más con diferentes números. El primero de todos tenía un icono como de self-extractor. Dos de ellos el microsoft antispyware los reconoció como troyanos y los eliminó, el resto los eliminé yo manualmente.

Otra cosa rara que aparecía era que al estar sin conexión me aparecía insistentemente que "un programa solicita información de cozinc.com y cozdoit.info" para que me conectara a internet, no se si esto tiene algo que ver.

Bueno, después de todo este rollo :) adjunto el log que acabo de hacer, a ver si aparece por ahí el dichoso fondo de escritorio.

Gracias de nuevo, por la ayuda y por la paciencia.

Logfile of HijackThis v1.99.1
Scan saved at 14:14:20, on 26/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Eraser\eraser.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Archivos de programa\Nikon\NkView6\NkvMon.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\hwclock.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\PROGRAMAS\HijackThis.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Upgrader.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inxs.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\System32\pavdr.exe,C:\WINDOW S\System32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CPU Watcher] rundll32.exe C:\WINDOWS\cpu.dll,load
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{52957BA6-A9A4-47C2-9008-5677F6CE6FB0}\SECURITY.EXE
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Eraser] C:\Archivos de programa\Eraser\eraser.exe -hide
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7CC0B4E-5539-4EE2-81A9-71A8410667A0}: NameServer = 62.81.16.130 62.81.0.34
O21 - SSODL: SysTray.Ev - {F5B1D0BE-5f02-4255-96DB-388DFA244900} - C:\WINDOWS\System32\opmoneng.dll
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

Para eliminar el parásito que se apodera del escritorio tenes que seguir los pasos de este enlace: http://www.forospyware.com/t3365-.html

Por ahora no hay ninguna herramienta para hacerlo automáticamente.

Después nos contas los resultados.

Hola de nuevo. He empezado con el proceso, pero al hacer regedit y buscar las entradas del registro que ponía en el enlace para eliminar el PCinfected, prácticamente no aparece ninguna de ellas. Te lo describo un poco más detalladamente:

Siguiendo los pasos del enlace, estamos en el segundo topic, en "pasos para su eliminación".

En 1 y 2 - En el panel de la izquierda navegar hasta esta llave:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run

2- En el panel derecho, localice y suprima la entrada:
[B]<"tres letras al azar"> = %Windows%\<"tres letras al azar"> .exe

Una entrada como esa no está, sólo hay estas 4:

1. (Predeterminado) (Valor no establecido)
2. gcasServ C:\Archivos de programa\Microsoft Antispyware\gcasServ.exe
3. pccguide.exe C:\Archivos de programa\trendmicro\internetsecurity2005\pccguide. exe
4. quicktime task C:\archivos de programa\quicktime\qttask.exe -atboottime


En el paso 3

3- Busque el mismo archivo aleatoro de tres letras tambien en esta entrada:
HKEY_CURRENT_USER>Software>Microsoft >
Windows>CurrentVersion>Run

ocurre como antes, aparecen otras cuatro entradas, ninguna como esa

1. (predeterminado) (valor no establecido)
2. ctfmon.exe C:\windows\system32\ctfmon.exe
3. eraser C:\archivos de programa\eraser\eraser.exe -hide
4. msmsgs C:\archivos de programa\messenger\msmsgs.exe \background


Siguiendo con el paso E, "eliminar malware" los dos primeros pasos SI que estan:

1- En el panel izquierdo, doble-click a la siguiente entrada:
HKEY_CURRENT_USER>Control Panel>Desktop
2- En el panel derecho, localice y suprima la entrada:
ConvertedWallpaper



En los siguientes pasos:

3- En el panel izquierdo, doble-click a la siguiente entrada:
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Explorer>User Shell Folders
4- En el panel derecho, localice y suprima la entrada:
Custom Desktop = "hex(2):43,3a,5c,44,65,73,6b,74,6f,70,00,"

aparece Custom Desktop, pero no esa entrada "hex(2): etc...



El siguiente paso sí que está:

5- En el panel izquierdo, localice y suprima la entrada:
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Policies> ActiveDesktop



En los dos siguientes:

6- En el panel izquierdo, doble-click a la siguiente entrada:
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Policies>System
7- En el panel derecho, localice y suprima la entrada:
Wallpaper = "%Windows%\desktop.html"

dentro de >Policies, no aparece >System, sino >Active Desktop y >Explorer, así que esa entrada tampoco está.



Los pasos 8 y 9 SI que están:

8- En el panel izquierdo, localice y suprima lo siguiente:
HKEY_LOCAL_MACHINE>Software>Microsoft>Internet Explorer>Desktop>General

9- En el panel izquierdo, localice y suprima el siguiente:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>policies>ActiveDesktop


En el paso 10:

10- En el panel izquierdo, doble-click a la siguiente entrada:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>policies>Explorer
En el panel derecho, localice y suprima la entrada:
NoViewContextMenu = "dword:00000002"

esa entrada no está.




Se que esto es un poco pesado, pero quería detallarlo todo bien. Quizá lo que yo tengo en el pc es una variante del troyano que aparece en ese enlace. En el mio, el mensaje del escritorio es diferente, pone:

(Recuadro rojo sobre fondo negro)

Virus Alert!
Your PC is infected!
It has been detected that your PC has at least 3 dangerous viruses!
To know for sure you urgently need to run an antivirus test on your pc!
The consequences of spyware and virus presence on your pc might belike: loosing all the data, data might be stolen, your secrets might beexposed.
Protect Your pc!
Remove all viruses now!


Y abajo de todo, "Removal instructions"

Bueno, esto es todo. De nuevo gracias por la paciencia.
Saludos

Hola, buscastes los archivos DESKTOP.HTML y POPUP.HTML ..... estan

Hasta el momento lamentablemente hay muy poca informacion de este parásito y ninguna herramienta para sacarlo de forma automática que funciones ya que también parece que hay muchas variantes.

Vamos a probar con una nueva Herramienta que es un rastreador de virus con el motor de kaspersky que se llama MWAV.exe . Esta herramienta no elimina en su versión gratuita pero genera un log donde te dirá los archivos infectados. Este log es muy largo por lo que te pido que sólo copies los archivos reconocidos como infectados.

Salu2

Hola. Aqui te añado el log del MWVAV con lo que ha salido infectado:


File C:\WINDOWS\System32\svchosts.dll infected by "Trojan.Win32.Agent.dj" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\svchosts.dll infected by "Trojan.Win32.Agent.dj" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ky" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\jngndiea.exe infected by "Trojan-Dropper.Win32.Small.xx" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\SpySharp.dll tagged as not-a-virus:RiskWare.PSWTool.SpySharp.a. No Action Taken.

File C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\jar_cache28088. tmp infected by "Trojan-Dropper.Java.Beyond.e" Virus. Action Taken: No Action Taken.


Gracias por todo de nuevo

Bueno ahora descargate el programa "KillBox" (que esta en la firma) y siguiendo sus pasos vas poniendo uno a uno estos archivos y rutas:

C:\WINDOWS\System32\svchosts.dll
C:\WINDOWS\sssasasb32.exe
C:\WINDOWS\System32\jngndiea.exe
C:\WINDOWS\System32\SpySharp.dll
C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\jar_cache28088. tmp

Le vas poniendo que NO a reiniciar hasta que llegues al ultimo y ahi si le pones que SI que reinicie y nos contas los resultados.

Salu2

Bueno, pues afortunadamente parece que esto ha sido definitivo. Le pasé el killbox, reinicié y ya no ha vuelto a aparecer nada raro, cambié el fondo de escritorio, y, afortunadamente, sigue ahí :)

DE hecho, le pasé otra vez el MWAV y no me encontró ningún virus, y el ad-aware tampoco nada.

Ya que ahora dispongo de más programas antispyware y antivirus, aprovecho para comentarte una cosa: ¿es más útil la ruta log MWVAV + Killbox o debo usar esto sólo como última solución? (desde luego, en este caso ha sido lo que mejor ha funcionado y lo que más virus ha encontrado).


Bueno, pues muchas gracias por todo. Ha sido duro, pero parece que hemos vencido :)

Un saludo

Bueno muy bien nos alegramos y damos el tema por solucionado

En cuanto a los programas, lo mejor es la prevención para no tener que lidiar con todo esto y para eso usando un navegador mas seguro como Firefox con un buen Antivirus y un Firewall actualizados y no menos importante un par de antispywares como SpyBot, SpywareBlaster y Ad-Aware Se.

La combinación Mwav + Killbox es solo para casos específicos como en el tuyo que por ejemplo que ya habías pasado otros programas que por mas que no eliminaron el problema en su totalidad seguramente si eliminaron parte de esto lo que luego hizo posible que al utilizar el Mwav no te salieran tantos archivos infectados.

Algo impórtate es que si no compras el Mwav este no se actualiza y cada vez que lo quieras pasar hay que descargarlo nuevamente para tener la ultima versión disponible.

Salu2