Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Por favor necesito me ayude alguien que entienda del tema.

Después de eliminar el Antiphising del IE 7 con el Spy Sweeper, y afortunadamente restaurarlo con el backup, el resultado del análisis de dicho programa, junto con el resultado del XoftSpy y el del Spybot S&D me da LIMPIEZA ABSOLUTA. ¿Absoluta? Para nada, después de hacer un reinicio y seguir todos los pasos correctamente para la eliminación, abro el navegador y acto seguido me sale la dichosa ventanita.

Cierro todo y copio el log del HijackThis, esperando que alguien se apiade de mi alma:


Logfile of HijackThis v1.99.1
Scan saved at 17:23:37, on 11/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
F:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
F:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\carpserv.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 1200\SagemMonitor.exe
F:\Archivos de programa\CpuIdle\cpuidle.exe
C:\WINDOWS\system32\9b4988e8.exe
F:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe
F:\Archivos de programa\GetRight\getright.exe
F:\Archivos de programa\SpywareGuard\sgmain.exe
F:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jippii.es/?st4w0ZE1XsQBavszuq7wTEbdB
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\Archivos de programa\GetRight\xx2gr.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - F:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SagemMonitor] C:\Archivos de programa\SAGEM\SAGEM F@st 1200\SagemMonitor.exe
O4 - HKLM\..\Run: [CpuIdle] F:\Archivos de programa\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [9b4988e8.exe] C:\WINDOWS\system32\9b4988e8.exe
O4 - HKLM\..\Run: [avgnt] "F:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [9b4988e8.exe] C:\Documents and Settings\Admin\Configuración local\Datos de programa\9b4988e8.exe
O4 - Startup: SpywareGuard.lnk = F:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = F:\Archivos de programa\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight Pro - F:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Pro Browser - F:\Archivos de programa\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1149761986248
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{39EA7431-A878-4CC7-99AF-A64FFE1A013F}: NameServer = ***.***.***.***,***.***.***.***
O17 - HKLM\System\CCS\Services\Tcpip\..\{D88E30C7-C839-49CB-8489-FB63BB1E1C61}: NameServer = ***.***.***.***,***.***.***.***
O17 - HKLM\System\CS1\Services\Tcpip\..\{39EA7431-A878-4CC7-99AF-A64FFE1A013F}: NameServer = ***.***.***.***,***.***.***.***
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe



GRACIAS DE NUEVO.

Justo cuando he enviado este mensaje, me ha salido otra vez la ventanita la cual contiene estos datos:



Encabezado de la ventana: System Integrity Scan Wizard

Warning: Your computer may have critical
errors in Windows registry and file system!


The registry and file system errors lead to computer
freezes, system crashes and slowdowns, corruption of
files and documents.

Immediate system integrity scan and repair is strongly
recommended.


To scan your computer for errors please click the
'Next' button below.





< Back (en gris; desactivado) Next > Cancel



Lo que está claro es que el problema te lo ocasiona el publicista para que te creas que tienes basura en tu ordenador y necesites bajarte su producto. La única basura es el publicista y su producto.



pd la ventana no la cierro en Cancel, sino en la Cruz de arriba.

Pues nada, subo esto para arriba a ver si alguien tiene la amabilidad de leerlo

Hola dogus

Procura no responderte a tí mismo,pues vemos el tema que no tiene cero respuesta y pensamos que lo esta analizando un compañero.Antes de usar el Hijackthis punto 4

Instálate un Cortafuegos/Firewall y aqui podrias elegir uno


Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.


Ver archivos ocultos en todos los Windows

Apagar Restaurar Sistema (Systema Restore)

Reinicia el PC en Modo a prueba de fallos


Ves al Panel de Control/ Agregar o Quitar Programas y desinstalas estos programas si existen:

XoftSpy <--Mira aquí.


Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

O4 - HKLM\..\Run: [9b4988e8.exe] C:\WINDOWS\system32\9b4988e8.exe
O4 - HKCU\..\Run: [9b4988e8.exe] C:\Documents and Settings\Admin\Configuración local\Datos de programa\9b4988e8.exe


Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\WINDOWS\system32\9b4988e8.exe
C:\Documents and Settings\Admin\Configuración local\Datos de programa\9b4988e8.exe


Pasa estas herramientas:

Ad-Aware 1.06 SE Personal

Disk Cleaner para limpiar cookis y temporales

RegSeeker para limpiar el registro y su manual pasalo varias veces hasta que ya no te salga nada.

Instálate el SpywareBlaster 3.4 manual


Reactiva la opción de restaurar el sistema,reinicias y te conectas a la red.

Y le pasas 2 antivirus online,el ewido y el KARPESKY,por este orden y si hay algo que no te eliminen lo pones aquí con su ruta completa.


La ventana que te sale es parecida a ésta...



Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,te puedes imprimir las instrucciones.

saludos

Saludos:

Estoy terminando de actuar segun los pasos que me habeis aconsejado, solo me queda analizar online con ewido (http://www.ewido.net/en/onlinescan/) y luego con KASPERSKY.

El problema surge cuando al minuto de haber iniciado el scan de ewido se me cierra el navegador.

¿Que pasa?

Hola dogus, por favor no abras nuevos mensajes para continuar un tema donde ya te estan brindando ayuda y continua en el mismo.

El tema del Ewido online, se esta dando en algunos sistemas ya que cambiaron su modo en que este realiza el escaneo, y al parecer no todos los sitemas lo soportan.

Proba con Panda Online.

Salu2

Ah, lo siento, pensaba que si contestaba aqui no os dariais cuenta...

Despues de pasarle el Panda y Kaspersky, el resultado me da:


*** Adware:Adware/PurityScan c:\WINDOWS\system32\dllhost.dll ***


y el nuevo log de HijackThis es:


Logfile of HijackThis v1.99.1
Scan saved at 10:18:03, on 12/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 1200\SagemMonitor.exe
F:\Archivos de programa\CpuIdle\cpuidle.exe
F:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe
F:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
F:\Archivos de programa\GetRight\getright.exe
F:\Archivos de programa\SpywareGuard\sgmain.exe
F:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
F:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
F:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
F:\Archivos de programa\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jippii.es/?st4w0ZE1XsQBavszuq7wTEbdB
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.es/webhp?hl=es&btn...gle&lr=lang_es
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\Archivos de programa\GetRight\xx2gr.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - F:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SagemMonitor] C:\Archivos de programa\SAGEM\SAGEM F@st 1200\SagemMonitor.exe
O4 - HKLM\..\Run: [CpuIdle] F:\Archivos de programa\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [avgnt] "F:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] F:\Archivos de programa\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SpywareGuard.lnk = F:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = F:\Archivos de programa\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight Pro - F:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Pro Browser - F:\Archivos de programa\GetRight\GRbrowse.htm
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1149761986248
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{39EA7431-A878-4CC7-99AF-A64FFE1A013F}: NameServer = ***.***.***.***,***.***.***.***
O17 - HKLM\System\CCS\Services\Tcpip\..\{D88E30C7-C839-49CB-8489-FB63BB1E1C61}: NameServer = ***.***.***.***,***.***.***.***
O17 - HKLM\System\CS1\Services\Tcpip\..\{39EA7431-A878-4CC7-99AF-A64FFE1A013F}: NameServer = ***.***.***.***,***.***.***.***
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Lo que si es cierto es que ya se paró la ventanita molesta (al menos de momento) asi que agradeceros la ayuda y deciros que haceis una labor encomiable. Solo me queda arreglar el PurityScan :)


¿Cómo lo veis?

He eliminado el zonealarm pq da problemas con el emule y es muy lioso.

El outpost firewall me ha detectado el software espia SGRUNT. Estaba en cuarentena y lo he eliminado de ahi tb. Tb he eliminado Direcciones URL de Explorer que tb me salia como software espia. No se si he hecho bien...

Con respecto al dllhost.dll aun lo tengo ahi y no se como eliminarlo correctamente.


Saludos


pd tb me aparece dllhost.exe, pero creo q este archivo es legitimo (aunque por internet me dice que es de un gusano):


dlhost dlhost.exe Troyano que intenta robar contraseñas ExpHook-A con capacidad de acceder a internet y comunicarse con un servidor HTTP remoto.

DLL32 dllhost.dll Gusano Suclove cuya propagación se realiza a través del envío masivo de correo electrónico utilizando MS Outlook y dirigido a los usuarios incluidos en la libreta de contactos de este cliente de correo.
También tiene capacidad para propagarse mediante la aplicación de mensajería instantánea mIRC.
Además, puede abrir una puerta trasera por el puerto TCP 1111 del equipo afectado lo que permitiría a un atacante remoto descargar y ejecutar ficheros.

Hola dogus

Hay veces que el Panda da falsos positivos... y nos confunden bastante al no saber de verdad si se esta infectado o no.

Bien..partiendo de que puedes estar infectado le pasas 2 antivirus online,el Trend Micro y el KARPESKY por este orden y si hay algo que no te eliminen lo pones aquí con su ruta completa.

No me dices si la ventana que te salia era del estilo que yo te puse.

Estaremos pendiente de los reportes.

saludos

ahhh no, es una ventana mas grande, no tiene q ver con el messenger service de windows.... es un adware q se llama antiviruspro o algo asi, pero weno ese se ha eliminado ya, pq ya no me sale la ventana. Justamente ponia esto:

Encabezado de la ventana: System Integrity Scan Wizard

Warning: Your computer may have critical
errors in Windows registry and file system!


The registry and file system errors lead to computer
freezes, system crashes and slowdowns, corruption of
files and documents.

Immediate system integrity scan and repair is strongly
recommended.


To scan your computer for errors please click the
'Next' button below.





< Back (en gris; desactivado) Next > Cancel




Lo que me ocurre ahora es que no puedo conectarme al MSN Messenger, bueno si me conecto pero a los 10 segundos me da error y me cierra. El emule tp me va bien, no me deja id alta, a pesar de abrirle los puertos al firewall de windows (es el q uso, pq otro no me gusta son muy liosos) y al router. Antes si me iba bien con id alta. El soulseek tp me va bien, me da un error. Creo q todo se debe al IE 7 beta 2 (segun he mirado en el google el error del soulseek se debe al IE 7). En cuanto al log de HijackThis pues el mismo que puse en el mensaje anterior... (osea limpito) :)

En fin creo q la solucion está en desinstalar IE 7.


En cuanto al dllhost.dll, pues a ver si puedes decirme si es legitimo de windows o no, ok?


Gracias.


Pd: Tambien ocurre ahora que los iconos que habia en la bandeja del sistema han desaparecido (excepto el del monitor del adsl). RARISIMOOOOOOOOOOOOOOOOOO :(