Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

hola quiero sacar esto, me es muy molesto y me parece que es un spyware, cuando intento ejecutar el Register mechanic o el Ad-Aware se me tilda el programa en el proceso de desinfeccion.



Logfile of HijackThis v1.99.1
Scan saved at 06:26:14 p.m., on 11/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\Stardock\Object Desktop\WindowBlinds\WBInstall32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\OCTAVI~1.FLI\CONFIG~1\Temp\Directorio temporal 2 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [dmpqs.exe] C:\WINDOWS\system32\dmpqs.exe
O4 - HKCU\..\Run: [WindowBlinds] C:\Archivos de programa\Stardock\Object Desktop\WindowBlinds\WBInstall32.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hola 0800,Bienvenido a Infospyware.


Descarga la herramienta DelPSGuard v 3.0.6 y descomprímela en el escritorio de Windows pero no la ejecutes aún.

Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

Ver archivos ocultos en todos los Windows

Apagar Restaurar Sistema (Systema Restore)

Reinicia el PC en Modo a prueba de fallos

Ves al Panel de Control/ Agregar o Quitar Programas y desinstalas estos programas si existen:

* SpywareQuake <- Fecha 25/03/06
* BraveSentry <- Fecha 11/03/06
* SpyFalcon <- Fecha 08/02/06
* SpywareStrike <- Fecha 0/01/06
* SpyAxe
* SmitFraud
* PSGuard
* SpySheriff
* AntiVirusGold or AV Gold
* Spy Trooper
* Adware Punisher
* Security IGuard
* Virtual Maid
* Search Maid
* World AntiSpy
* Alfacleaner
* WinHound
* Raze Spyware


Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

O4 - HKLM\..\Run: [dmpqs.exe] C:\WINDOWS\system32\dmpqs.exe

Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\WINDOWS\system32\dmpqs.exe


Ejecuta ahora el DelPSGuard v 3.0.6 y sigue las instrucciones del programa.


Pasa estas herramientas:

Ad-Aware 1.06 SE Personal

Disk Cleaner para limpiar cookis y temporales

RegSeeker para limpiar el registro y su manual pasalo varias veces hasta que ya no te salga nada.

Instálate el SpywareBlaster 3.4manual


Reactiva la opción de restaurar el sistema,reinicias y te conectas a la red.

Y le pasas 2 antivirus online el ewido y el panda.

Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,te puedes imprimir las
instrucciones.

La ubicación del hijackthis,no es la mas idónea.Eliminalo y despues le pasas el,
RegSeeker para limpiar el registro y su manual
pasalo varias veces hasta que ya no te salga nada. Y te bajas el nuevo HijackThis de aquí.

C:\DOCUME~1\OCTAVI~1.FLI\CONFIG~1\Temp\Directorio temporal 2 para hijackthis.zip\HijackThis.exe

saludos

hola, siento comunicar que le problema sigue estando :( hice todo paso por paso com me lo detallaste pero sigue el icono en la barra.


nuevo hijack

Logfile of HijackThis v1.99.1
Scan saved at 02:34:44 p.m., on 12/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\Stardock\Object Desktop\WindowBlinds\WBInstall32.exe
C:\ARCHIV~1\SPYWAR~1\swdoctor.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKCU\..\Run: [WindowBlinds] C:\Archivos de programa\Stardock\Object Desktop\WindowBlinds\WBInstall32.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hola 0800

En el reporte no se ve nada sospechoso,pero eso no quiere decir que no tengas "algo". Le tienes que pasar 2 antivirus online el ewido y el KARPESKY, por este orden y si hay algo que no te eliminen lo pones aquí con su ruta completa.

Estaremos esperando.

saludos

hola, muchas gracias por tu breve y eficaz ayuda.

pude eliminar el problema, con solo pasar el kasperky, me detecto cual era el .dll que ocasionaba el problema.

despues ejecute el killbox y elimine el siguiente motor y estos archivos:

C:\WINDOWS\system32\appmagr.dll Infected: not-virus:Hoax.Win32.Renos.da

C:\WINDOWS\Temp\win1C7.tmp.exe Infected: Trojan-Downloader.Win32.IstBar.ff

C:\WINDOWS\Temp\winBB1.tmp.exe Infected: Trojan-Downloader.Win32.IstBar.ff

C:\WINDOWS\Temp\winF70.tmp.exe Infected: Trojan-Downloader.Win32.IstBar.ff

Muchas gracias.

Hola 0800

Buen trabajo tenias una variante nueva causante del "globito"

C:\WINDOWS\system32\appmagr.dll ya la agregaremos

al DelPSGuard en una nueva versión.

Damos el tema por solucionado.

saludos