Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Saludos, hace ya varias semanas que me sale el dichoso cartelito y no me deja poner la pagina inicial de internet que quiero.

antes de postearos me leí e hice los pasos que dictais para eliminar estos problemas pero no encontre ninguna de las entradas que debia eliminar así que os facilito mi log esperando una pronta respuesta con la solución.

Muchas gracias.

Logfile of HijackThis v1.99.1
Scan saved at 19:14:19, on 30/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\MagicTune3.6_Client_pivot\GammaTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
c:\juegos\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Álvaro\Mis documentos\Diego\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 67.33.22.37 L2authd.lineage2.com
O1 - Hosts: 67.33.22.37 L2testauthd.lineage2.com
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp95F2.tmp
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Archivos de programa\pop up stopper\Pop-Up Stopper Pro\popuppro.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ad-Aware] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Plus\Ad-Aware.exe" +c
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "c:\windows\$hf_mig$\kb887472\sp2qfe\msmsgs.ex e" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: MagicTune3.6.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A0DDC4B-5109-4CF9-A01E-76A9AAADEFE5}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{4A0DDC4B-5109-4CF9-A01E-76A9AAADEFE5}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A0DDC4B-5109-4CF9-A01E-76A9AAADEFE5}: NameServer = 87.216.1.65,87.216.1.66
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

Descarga las siguientes herramientas:

• DelPSGuard v4.0.3
  
• Killbox
  
• Regseeker
  
• Disk Cleaner

Paso 1:

• Apaga restaurar sistema
  
• Configura el sistema para ver todos los archivos ocultos

Paso 2:

Ejecuta el hijackthis sin tener ningún otro programa abierto, marca y dale FixChecked a las siguientes entradas:

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp95F2.tmp



Paso 3:

• Reinicia el sistema en modo a prueba de fallos (modo seguro)

Copia y pega las siguientes entradas en el Killbox (una a la vez) donde dice "Full Path of file to delete" y le das click en el globo rojo con la cruz blanca del programa para eliminar los archivos:

C:\WINDOWS\system32\hp95F2.tmp



Ejecuta la herramienta DelPSGuard.exe


Limpia los temporales y cookies con el Disk Cleaner

Limpia el registro de windows con el Regseeker (pásalo varias veces hasta que no quede nada por limpiar)



Paso 4:

Reincia el sistema en modo normal

Haz un chequeo con los antivirus online Kaspersky y Ewido


Nos comentas como te fue y dejas un nuevo log para ver como quedó



Salu2

Saludos de nuevo.
he hecho lo que me digisteis, le di al fix cheked del hyackthis pero no encontré el archivo que debía eliminar con el killbox.
aun así hice todo lo demás y, aunque sigue saliendo el cartelito de your computer is infected, por lo menos ahora me deja poner la pagina principal de internet.

os adjunto un nuevo log para que veais si podeis ayudarme.

Muchas gracias.


Logfile of HijackThis v1.99.1
Scan saved at 12:58:12, on 02/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\MagicTune3.6_Client_pivot\GammaTray.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Álvaro\Mis documentos\Diego\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 67.33.22.37 L2authd.lineage2.com
O1 - Hosts: 67.33.22.37 L2testauthd.lineage2.com
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Archivos de programa\pop up stopper\Pop-Up Stopper Pro\popuppro.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ad-Aware] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Plus\Ad-Aware.exe" +c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "c:\windows\$hf_mig$\kb887472\sp2qfe\msmsgs.ex e" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: MagicTune3.6.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A0DDC4B-5109-4CF9-A01E-76A9AAADEFE5}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{4A0DDC4B-5109-4CF9-A01E-76A9AAADEFE5}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A0DDC4B-5109-4CF9-A01E-76A9AAADEFE5}: NameServer = 87.216.1.65,87.216.1.66
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

Recuerdas que en mi anterior respuesta te pedí que hicieras un chequeo con el kaspersky y el ewido no?


Bueno, como al parecer no lo hiciste porque no comentaste nada al respecto, haz el chequeo con esos dos antivirus online y deja acá los reportes si consiguen algo que no puedan desinfectar




Salu2

Saludos

El ewido ya lo pase sin problemas pero el kaspersky me saca este report:


KASPERSKY ON-LINE SCANNER REPORT
Saturday, June 03, 2006 6:00:37 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 3/06/2006
Kaspersky Anti-Virus database records: 198409


Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
F:\

Scan Statistics
Total number of scanned objects 102288
Number of viruses found 8
Number of infected objects 10
Number of suspicious objects 0
Duration of the scan process 01:04:20

Infected Object Name Virus Name Last Action
C:\Documents and Settings\Álvaro\Mis documentos\Diego\HJT\backups\backup-20060602-114229-746.dll Infected: Trojan-Downloader.Win32.Zlob.ou skipped

C:\Documents and Settings\Álvaro\Mis documentos\Diego\tttt\nfs\Crack_Need_For_Speed_Mos t_Wanted\Need For Speed Most Wanted Serial Keygen Crack.reg Infected: Trojan.WinREG.StartPage.g skipped

C:\WINDOWS\system32\cheat_plugin.exe/data0001 Infected: Trojan-Downloader.Win32.IstBar.ja skipped

C:\WINDOWS\system32\cheat_plugin.exe/data0003 Infected: Trojan-Downloader.Win32.IstBar.ny skipped

C:\WINDOWS\system32\cheat_plugin.exe NSIS: infected - 2 skipped

C:\WINDOWS\system32\drivers\etc\system.exe Infected: not-a-virus:Server-FTP.Win32.Serv-U.25.i skipped

C:\WINDOWS\system32\madCHook.dll Infected: not-a-virus:RiskTool.Win32.Hooker.a skipped

C:\WINDOWS\system32\simpole.tlb Infected: Trojan-Downloader.Win32.Zlob.ou skipped

C:\WINDOWS\system32\__delete_on_reboot__appmagr.dl l Infected: not-virus:Hoax.Win32.Renos.da skipped

C:\winupd.bat Infected: Trojan.BAT.Zapchast skipped

Scan process completed.

Ok, usarás el killbox como te indiqué en la primera respuesta que le dí a tu tema, pero en este caso, pegarás estas entradas:

C:\WINDOWS\system32\cheat_plugin.exe

C:\WINDOWS\system32\drivers\etc\system.exe

C:\WINDOWS\system32\madCHook.dll

C:\WINDOWS\system32\simpole.tlb

C:\WINDOWS\system32\__delete_on_reboot__appmagr.dll

C:\winupd.bat

C:\Documents and Settings\Álvaro\Mis documentos\Diego\tttt\nfs\Crack_Need_For_Speed_Mos t_Wanted\Need For Speed Most Wanted Serial Keygen Crack.reg --> La verdad lo siento, además de ser ilegal el usar cracks, para colmo está infectado


Nos cuentas como te fue




Salu2

Hice todo lo que me digisteis y ha sido un exito.

muchas gracias por vuestra ayuda.