Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Muchachos necesito su ayuda, yo pense q ya me habia librado de cool web search y ahora me viene este newgenlook ayudenme porfavor
Como digo es un circulo rojo con una equis blanca en las tareas q no puedo sacar y q me redirige el ie hacia una pagina porno q se llama newgenlook, ahi les va mi log:
Logfile of HijackThis v1.99.1
Scan saved at 05:41:41 p.m., on 29/04/2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\ARCHIVOS DE PROGRAMA\THE HACKER\THSM.EXE
C:\ARCHIVOS DE PROGRAMA\HYPERTECHNOLOGIES\DEEP FREEZE\FRZSTATE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\THCLI.EXE
C:\ARCHIVOS DE PROGRAMA\AHEAD\INCD\INCD.EXE
D:\ARCHIVOS DE PROGRAMA\WEBSHOTS\WEBSHOTSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\THE HACKER\THAV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
F:\ANTIVIRUS\MCAFEE_VIRUSSCAN_9_0\VIRUSSCAN90.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\UPDATES\IMMUFIX.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE10\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com.pe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0278/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com.pe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=localhost:1028
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [THD32.EXE] C:\ARCHIV~1\THEHAC~1\THD32.EXE /NOMSG
O4 - HKLM\..\Run: [TheHackerConsola] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE
O4 - HKLM\..\Run: [The Hacker Monitor - Cliente] C:\WINDOWS\thcli.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [T_H_S_M] C:\ARCHIV~1\THEHAC~1\THSM.EXE
O4 - HKLM\..\RunServices: [DepFrz] C:\Archivos de programa\HyperTechnologies\Deep Freeze\FrzState.exe
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Startup: Webshots.lnk = D:\Archivos de programa\Webshots\WebshotsTray.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Archivos de programa\Cursos interactivos de Microsoft\O10C\mitm0026.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4432/mcfscan.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = adsl
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.48.225.130,200.48.225.146

Hola!!!

Actualmente nos encontramos estudiando este nuevo malware.

Vamos a usar una herramienta llamada SilentRunners . Descomprime el archivo, abre su carpeta, ejecutalo y te generará un log, luego nos copias ese log en este mismo mensaje.

Saludos

Muchachos estos son mis resultados
Bueno gracias santiagosolerno pero no puedo borrar el param32 todos los demas si los pude borrar, aun cuando active el cerrar programas no aparecia el mstask que decias, pero de todas maneras gracias

Y para ti jereque aca va mi los con el Silent Runeers

"Silent Runners.vbs", revision 35, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"CountrySelection" = "pctptt.exe" [file not found]
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"THD32.EXE" = "C:\ARCHIV~1\THEHAC~1\THD32.EXE /NOMSG" ["Hacksoft s.r.l."]
"TheHackerConsola" = "C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE" ["Hacksoft"]
"The Hacker Monitor - Cliente" = "C:\WINDOWS\thcli.exe" ["Hacksoft"]
"InCD" = "C:\Archivos de programa\Ahead\InCD\InCD.exe" ["Copyright (C) ahead software gmbh and its licensors"]
"PTSNOOP" = "ptsnoop.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"T_H_S_M" = "C:\ARCHIV~1\THEHAC~1\THSM.EXE" ["Hacksoft"]
"DepFrz" = "C:\Archivos de programa\HyperTechnologies\Deep Freeze\FrzState.exe" ["Hyper Technologies Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ServicesOnce\ {++}
"*oy" = (no data)

HKLM\Software\Microsoft\Active Setup\Installed Components\
{6BF52A52-394A-11d3-B153-00C04F79FAA6}\(Default) = "Microsoft Windows Media Player"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserRemove" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\Archivos de programa\Ahead\nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskScheduler\
INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\param32.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks\
INFECTION WARNING! "{FA010552-4A27-4cb1-A1BB-3E2D697F1639}" = "SpySubtract Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SSHOOK.DLL" ["InterMute, Inc."]


Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is enabled.

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\webshots.bmp"


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Menú Inicio\Programas\Inicio
"SpySubtract" -> shortcut to: "C:\Program Files\interMute\SpySubtract\SpySub.exe -autostart" ["InterMute, Inc."]
"Webshots" -> shortcut to: "D:\Archivos de programa\Webshots\WebshotsTray.exe" ["The Webshots Corporation"]


Enabled Scheduled Tasks:
------------------------

"Optimización del inicio de aplicaciones" -> launches: "walign" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Pa rameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\msafd.dll [MS], 1 - 3
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 4 - 5
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 6 - 9


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------

Gracias muchachos ayudemne please

Bien, sigue estos pasos:

1) Ver archivos ocultos

2) Reinicia a prueba de fallos

3) Usa KillBox para eliminar estos archivos:

C:\windows\system32\systr.dll
C:\windows\system32\param32.dll
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

No tienen porque estar todos incluso puede que no este ninguno.

4) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0278/

5) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

6) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

7) Reinicia normal y nos cuentas los resultados.

Saludos

Muchachos muchas gracias por su ayuda, ya pude sacar esa pagina y ya no me fastidia, la verdad q uds. son bravasos

Ahora diganme tengo una consulta, y diganme si la puedo hacer por aca o por un nuevo tema.
Mi consulta es si estos malware o spyware se meten por no tener un firewall, y si es asi cual me recomiendan uds.

Gracias chau

a que te refieres con q pulse en la publicidad para q sigan ayudando
a cual?
sera las de letras anaranjadas?