Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas tardes!

Llevo unas dos semanas intentando hacer que mi computadora esté limpia de spyware, pero no lo he conseguido. Tras haber pasado varias veces los programas spybot & destroy, adware, diskcleaner... según las instrucciones que presentan en vuestra página, he conseguido que mi computadora me funcione un tanto mejor. Aún así, el internet explorer me sigue apareciendo con una barra de herramientas "sospechosa", cada dos por tres se me abren popups con páginas de toda índole (de sexo también, como no), y en la barra de direcciones me aparece el famoso "about:blank".

He utilizado también la aplicación HijackThis, pero no me he atrevido a quitar alguna de las entradas del registro por temor a quedar inutilizado el PC.

Este es el log:

Logfile of HijackThis v1.99.1
Scan saved at 17:43:04, on 30/04/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\EPSON\EBAPI\SAGENT2.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\PCI AUDIO APPLICATIONS\MIXER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\ARCHIVOS DE PROGRAMA\LABTEC\WIRELESS MOUSE\MOUSE32A.EXE
C:\WINDOWS\LOADQM.EXE
C:\ARCHIVOS DE PROGRAMA\AHEAD\INCD\INCD.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\ES\MSNAPPAU.EXE
C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE
C:\ARCHIVOS DE PROGRAMA\SOFTWIN\BITDEFENDER FREE EDITION\BDMCON.EXE
C:\ARCHIVOS DE PROGRAMA\SOFTWIN\BITDEFENDER FREE EDITION\BDNAGENT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\ARCHIVOS DE PROGRAMA\LOGITECH\CREADOR DE PERFILES WINGMAN\LWPEVNTM.EXE
C:\ARCHIVOS DE PROGRAMA\WEBSHOTS\WEBSHOTSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\3082\MSOFFICE.EXE
C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Euskaltel
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {E9D53845-FE6D-55D8-5C73-8E37AFA0B7DA} - ftbar.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL
O2 - BHO: Name - {2D85ED40-9CAC-11D9-8396-444553540000} - C:\WINDOWS\SYSTEM\MSJOI.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES\MSNTB.DLL
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\DOCNTROP.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\ARCHIV~1\LOGITECH\CREADO~1\Lwinst.exe -d -l "C:\ARCHIV~1\LOGITECH\CREADO~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [C-Media Mixer] C:\Archivos de programa\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Labtec\Wireless Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [MontereyMediaKey] C:\M36K0408\DriBat32.EXE DKBoot.INI
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb07.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE C:\WINDOWS\NNDDEAPI.DLL,_mainRD
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [BDMCon] C:\Archivos de programa\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SAPSTR] pizda.exe
O4 - HKLM\..\Run: [trycrt] wormexe.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [BCDetect] C:\WINDOWS\SYSTEM\BCDetect.exe defer
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Archivos de programa\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - HKCU\..\Run: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [MONITER] forces_elite.exe
O4 - HKCU\..\Run: [ssweeper] nmdllw.exe
O4 - HKCU\..\Run: [Testimonials] Kargo.exe
O4 - HKCU\..\RunServices: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"
O4 - HKCU\..\RunServices: [MONITER] forces_elite.exe
O4 - HKCU\..\RunServices: [ssweeper] nmdllw.exe
O4 - HKCU\..\RunServices: [Testimonials] Kargo.exe
O4 - HKCU\..\RunOnce: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"
O4 - HKCU\..\RunOnce: [MONITER] forces_elite.exe
O4 - HKCU\..\RunOnce: [ssweeper] nmdllw.exe
O4 - HKCU\..\RunOnce: [Testimonials] Kargo.exe
O4 - HKCU\..\RunServicesOnce: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"
O4 - HKCU\..\RunServicesOnce: [MONITER] forces_elite.exe
O4 - HKCU\..\RunServicesOnce: [ssweeper] nmdllw.exe
O4 - HKCU\..\RunServicesOnce: [Testimonials] Kargo.exe
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\WebshotsTray.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .swf: C:\ARCHIVOS DE PROGRAMA\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\nps wf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://inicio.euskaltel.es
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.197,195.225.176.31


Si me pueden ayudar se lo agradecería.

Un saludo, Javi.

Te doy la bienvenida al Foro de Spyware, seguí estos pasos.

Paso 1- Inicia en modo normal

Paso 2- Prende la opción de "Ver archivos ocultos y del sistema"

Paso 3- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R3 - URLSearchHook: (no name) - {E9D53845-FE6D-55D8-5C73-8E37AFA0B7DA} - ftbar.dll (file missing)

O2 - BHO: Name - {2D85ED40-9CAC-11D9-8396-444553540000} - C:\WINDOWS\SYSTEM\MSJOI.DLL

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\DOCNTROP.DLL

O4 - HKLM\..\Run: [SAPSTR] pizda.exe
O4 - HKLM\..\Run: [trycrt] wormexe.exe

O4 - HKCU\..\Run: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [MONITER] forces_elite.exe
O4 - HKCU\..\Run: [ssweeper] nmdllw.exe
O4 - HKCU\..\Run: [Testimonials] Kargo.exe
O4 - HKCU\..\RunServices: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"
O4 - HKCU\..\RunServices: [MONITER] forces_elite.exe
O4 - HKCU\..\RunServices: [ssweeper] nmdllw.exe
O4 - HKCU\..\RunServices: [Testimonials] Kargo.exe
O4 - HKCU\..\RunOnce: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"
O4 - HKCU\..\RunOnce: [MONITER] forces_elite.exe
O4 - HKCU\..\RunOnce: [ssweeper] nmdllw.exe
O4 - HKCU\..\RunOnce: [Testimonials] Kargo.exe
O4 - HKCU\..\RunServicesOnce: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"
O4 - HKCU\..\RunServicesOnce: [MONITER] forces_elite.exe
O4 - HKCU\..\RunServicesOnce: [ssweeper] nmdllw.exe
O4 - HKCU\..\RunServicesOnce: [Testimonials] Kargo.exe

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe


Paso 4- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 5- Busca y elimina estos archivos manualmente (aunque puede que alguno no este)

C:\WINDOWS\TEMP\se.dll
C:\WINDOWS\SYSTEM\MSJOI.DLL
C:\WINDOWS\SYSTEM\DOCNTROP.DLL
C:\Archivos de programa\WareOut\WareOut.exe
forces_elite.exe
nmdllw.exe
Kargo.exe

Paso 6- Usa el Disk Cleaner para limpiar cookies y temporales

Paso 7- Pásale Ad-Aware SE actualizado eh instala SpywareBlaster 3.3

Paso 8- Reinicia y ejecuta un análisis con "Trend Antivirus Online"

Después nos contas los resultados.

Salu2

Buenas noches!

Con sus instrucciones conseguí quitar el spyware del PC, cruzaré los dedos para que no vuelva a pasar.

Muchisimas gracias de corazón, me acaban de quitar un gran problema de encima.

Enhorabuena por su page, Javi.

Bien damos el tema por solucionado. :dedosarri

Salu2