Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas, tengo problemas y en esto soy un completo ignorante, les comente que el lo que le pasa a mi pobre pc =(
1. Segun me cuenta mi hermano bajo un "serial" de FIFAWC2006, lo descargo en el escritorio y al ejecutarlo se desaparecio... aca comenzo la perdición de mi pc.
2. En seguida aparecieron avisos como



de mi antivirus (McAfee), los elimina pero aproximadamente cada 10 min aparecende nuevo.

3. Por eso le di analizar e vusca de virus y encontro y elimino dos en la carpeta Windows system.

4. Cuando reinicie el sistema aparecieron dos accesos a internet, y al abrir el Internet explorer me aparece esa pag en el inicio con un aviso de descargar (obvio que no lo hare) http://www.securitybulletin.net/. Además no he encontrado la forma de que no entre a esta pag, en las configuraciones de internet aparece como pagina determinada "pagina en blanco", pero cuando abro el internet explorer se va directamente.


Edito: respecto a esto, segui navegando en esta web y llegue a Eliminar SpywareQuake, SpyAxe, SpywareStrike, SpyFalcon y sus variantes en donde dicen que cuando se secuestra la pagina de inicio de Internet Explorer lo que hay que hacer es ejecutar el DelPSGuard, efectivamente lo ejecute, pero sigue apareciendo la pag de inicio (aunque si modifico la pagina de inicio de las opciones de internet) no se que hacer.



5. Ya ice los 11 pasos que hay que seguir para quitar los spy del pc, pero nada

Es logico que todo comenzo por ese dichoso keygen, lo que no se es como hacer para eliminarlo =(

6. Al ver los otros foros, veo que piden que hagan un escaneo de ewido.net y un log de HiJackThis, pero también dicen es las regals que no lo postee sin la previa autorización de los moderadores, así que esperare.

En sus manos encomiendo mi equipo =)
REsumen: tengo dos problemas, lo del secuestro de la pag y lo del virus, no se como solucionarlos y necesito su ayuda

Hola Kandramsan,

Pegános un log del Hijackthis acá, en tu próximo post.

Suerte

Gracias por la respuesta, anoche me quede hasta las 3.30 intentando solucionarlo, cada vez que navego en esta web encuentro mas y mas cosas, que buena, te comento que le hice de nuevo todo:
En modo a prueba de fallos
1. Actualizar el Spybot y en modo a prueba de fallos correrlo
2. Ejecutar el DiskCleaner
3. Ejecutar el Winsickxpfix (no se para que sirve)
4. ejecutar el Hijackthis y eliminar las entradas que ustedes dicen que elimine en algunos foros (solo encontre una: O20 - Winlogon Notify: msctl32.dll - no found file)
Modo normal
6. de nuevo Hijackthis (es el log que adjunto)
7. DelPSGuard de nuevo (antes no libero la pagina de inicio)
8. VundoFix (no se que hace, no hizo nada)
9. Antivirus online Panda y ewido (tambien adjunto su reporte)

10. La buena noticia es que Mcafiee ya no da sus ventanas desplegables y que ya me libero la página de Inicio del IE =))), pero en verdad tenía mucha basura, vorus y maldware en mi pc =S, que facil entran....

Muchas gracias por su ayuda, espero que las otras personas que les pasa lo mismo (lo de la pag de inicio) lo puedan solucionar, tengo entendido que hay ptras cuatro.

P.D: no habia escrito antes, pues me aciste muy tarde y feliz, hasta ahora me levanto =)
adjunto el Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 10:43:11 p.m., on 03/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVComsX.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp9B26.tmp
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [EPSON Stylus C67 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA AL.EXE /P23 "EPSON Stylus C67 Series" /O6 "USB001" /M "Stylus C67"
O4 - HKLM\..\Run: [EPSON Stylus C67 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA AL.EXE /P34 "EPSON Stylus C67 Series (Copiar 1)" /O5 "LPT1:" /M "Stylus C67"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [EPSON Stylus C67 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA AL.EXE /P23 "EPSON Stylus C67 Series" /M "Stylus C67" /EF "HKCU"
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {15075194-6A1F-4F5A-8182-0FA84851E571} (GCCenterLauncherControl Control) - http://juegos.extremo.etb.net.co/GCC...erLauncher.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...3/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/sh...20/mcgdmgr.cab
O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} - http://static.35mb.com/applet/applet_o.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winrvc32 - winrvc32.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


adjunto el ewido ::
__________________________________________________
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.Generic
Path: HKU\S-1-5-21-1078081533-299502267-725345543-1003\Software\Classes\CLSID\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}
Risk: Medium

Name: Adware.Generic
Path: HKU\S-1-5-21-1078081533-299502267-725345543-1003_Classes\CLSID\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Documents and Settings\Abuelita\Cookies\abuelita@2o7[1].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\Abuelita\Cookies\abuelita@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Tribalfusion
Path: :mozilla.10:C:\Documents and Settings\Hermanos\Datos de programa\Mozilla\Firefox\Profiles\nn92rbd2.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.12:C:\Documents and Settings\Hermanos\Datos de programa\Mozilla\Firefox\Profiles\nn92rbd2.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.13:C:\Documents and Settings\Hermanos\Datos de programa\Mozilla\Firefox\Profiles\nn92rbd2.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.14:C:\Documents and Settings\Hermanos\Datos de programa\Mozilla\Firefox\Profiles\nn92rbd2.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Bfast
Path: C:\Documents and Settings\Sanchez\Cookies\sanchez@bfast[2].txt
Risk: Medium

Name: TrackingCookie.Sexcounter
Path: C:\Documents and Settings\Sanchez\Cookies\sanchez@cs.sexcounter[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Documents and Settings\Sanchez\Cookies\sanchez@doubleclick[1].txt
Risk: Medium

DE NUEVO GRACIAS, MI PROBLEMA "CREO" SE HA SOLUCIONADO!!!!

Hola kamandramsan,

Seguí estos pasos:


*Te recomiendo desinstalar Msn Plus (Más info)

*Eliminá las siguientes entradas en el registro:

HKU\S-1-5-21-1078081533-299502267-725345543-1003\Software\Classes\CLSID\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}

HKU\S-1-5-21-1078081533-299502267-725345543-1003_Classes\CLSID\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}


Descargá la herramienta DelPSGuard.zip y descomprimíla en el escritorio de Windows pero no la ejecutés aún.

Apagá el "Restaurar Sistema"

Activá la opción Ver Archivos Ocultos

Reiniciá en Modo a Prueba de Fallos

Cerrá todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp9B26.tmp

O20 - Winlogon Notify: winrvc32 - winrvc32.dll (file missing)

Sin reiniciar, buscá y eliminá estos archivos, si no se dejan eliminar descargá el programa "Killbox" y seguí las indicaciones del mensaje, copiá y pegá los archivos para que los elimine al reiniciar.

winrvc32.dll

Ejecutá la herramienta DelPSGuard.exe y seguí las instrucciones del programa.

Analizá tu pc con Spy Sweeper 4.5.

Pasá el Disk Cleaner para limpiar cookies y temporales

Pasá el Regseeker para Limpiar el Registro, pasálo hasta que no quede nada para eliminar.

Pasá el Ad-Aware SE actualizado e instalá SpywareBlaster

Reiniciá la máquina y realizá un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos contás como te fué.

Suerte

Gracias
HKU\S-1-5-21-1078081533-299502267-725345543-1003\Software\Classes\CLSID\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}
Borrado

HKU\S-1-5-21-1078081533-299502267-725345543-1003_Classes\CLSID\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}
Este registro no esta

2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp9B26.tmp

O20 - Winlogon Notify: winrvc32 - winrvc32.dll (file missing)

Hecho
winrvc32.dll No está


De todas formas, como te dije en el anterior mensaje... LOS PROBLEMAS YA SE SOLUCIONARON MUCHAS GRACIAS =)))

Espero ayudarlos en lo que pueda