Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola por favor necesito eliminar el Trojan Horse, no pude eliminarlo con el Norton ni tampoco con un antivirus online, bueno me genera bastantes problemas, la pagina de inicio no puede modificarse, se abren unas subventanas con pornografia y no me deja trabajar, por favor estare eternamente agradecida por su ayuda.


Logfile of HijackThis v1.99.1
Scan saved at 1751, on 04/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\DAP\DAP.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Roxio\GoBack\GBTray.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Roxio\GoBack\GBPoll.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.downloadaccelerator.com/FinishInstall.asp?V=7.1.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp7641.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: GoBack.lnk = C:\Archivos de programa\Roxio\GoBack\GBTray.exe
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://kv.bar.need2find.com/KV/menusearch.html?p=KV
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D80FB0D5-C7BA-4BCC-9C3E-7069E3F0107A}: NameServer = 216.155.73.40,216.155.73.41
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - (no CLSID) - (no file)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: GBPoll - Roxio, Inc. - C:\Archivos de programa\Roxio\GoBack\GBPoll.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Hola!!!

Te recomiendo desinstalar el DAP ya que agrega adware.

Descarga DelPSGuard pero no lo ejecutes aún.

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Reinicia a prueba de fallos

4) Ejecuta HijackThis con todos los programas cerrados y dale Fix checked a:

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp7641.tmp

O8 - Extra context menu item: &Search - http://kv.bar.need2find.com/KV/menusearch.html?p=KV

O18 - Filter: text/html - (no CLSID) - (no file)

5) Busca y elimina estos archivos:

C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\hp7641.tmp

Para archivos que no se dejen eliminar usa KillBox

6) Sin reiniciar, ejecuta DelPSGuard

7) Reinicia normal y finaliza con estos pasos:

• Pasa al menos 2 de estos Antivirus Online
• Limpia el registro con RegSeeker y pasa SpyBot actualizado.
• Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

Vuelve a reiniciar, deshaz los cambios 1) y 2) y nos cuentas los resultados.

Saludos

Te pasastes estoy eternamente agradecida, tus indicaciones son muy faciles de seguir.
Aún tengo una duda al pasar el Panda antivirus online me arroja lo siguiente:

Herramienta potencialmente no deseada:application/need2find No desinfectado hkey_local_machine\software\microsoft\windows\curr entversion\uninstall\Need2FindBar Uninstall
Adware:adware/powerstrip No desinfectado Registro de windows

No se si deba preocuparme...la verdad no soy una experta en computación pero empeño le hacemos.

Muchas gracias por todo

Cariños

Bueno, lo que te detecta Panda no es algo de lo que debas preocuparte, pero vamos a tratar de limpiarlo.

Para eliminar la entrada de need2find, que simplemente es una referencia al desinstalador del adware, abre el regedit (Inicio-> Ejecutar-> escribe regedit-> Aceptar)

Navega por: hkey_local_machine\software\microsoft\windows\curr entversion\uninstall\Need2FindBar Uninstall
Y elimina lo que marco en negrita.

En cuanto a lo otro que te detecta (powerstrip), pues panda no nos dice en qué lugar exacto está la infección, por lo que en el regedit busca estas claves y si existe alguna de ellas la eliminas:

HKEY_CLASSES_ROOT\clsid\{5a66328b-926d-468b-82aa-e1ed55c6c17c}
HKEY_CLASSES_ROOT\clsid\{669695bc-a811-4a9d-8cdf-ba8c795f261c}
HKEY_CLASSES_ROOT\clsid\{7704d8d8-9efe-4d82-9c89-0ecba8434eee}
HKEY_CLASSES_ROOT\interface\{7dfa9a9c-fc9e-4ffc-839b-1f45a26c152e}
HKEY_CLASSES_ROOT\kbbar.kbbarband.1
HKEY_CLASSES_ROOT\kbbar.kbbarband
HKEY_CLASSES_ROOT\psocx.pssetup
HKEY_CLASSES_ROOT\psocx.pssetup.1
HKEY_CLASSES_ROOT\typelib\{16f079f0-b9d4-4978-add2-a6038927a754}
HKEY_CLASSES_ROOT\urlsearch.urlsearch
HKEY_LOCAL_MACHINE\software\classes\clsid\{669695bc-a811-4a9d-8cdf-ba8c795f261c}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{7704d8d8-9efe-4d82-9c89-0ecba8434eee}
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\powerstrip displayname
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\powerstrip publisher
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\powerstrip uninstallstring
HKEY_LOCAL_MACHINE\software\presentia 1
HKEY_LOCAL_MACHINE\software\presentia bundleid
HKEY_LOCAL_MACHINE\software\presentia installid
HKEY_LOCAL_MACHINE\software\presentia lastdownload

Navega por HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\search
Y en el panel derecho del regedit elimina si está: search assistant

Navega por HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar
Y en el panel derecho elimina si está: {669695bc-a811-4a9d-8cdf-ba8c795f261c}

Navega por HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run
Y en el panel dcho elimina si está alguna de estas claves:
lsvr
pmr
ltdmgr

Ya nos cuentas...

Saludos