Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, por favor ayudadme, continuamente se me abren pequeñas ventanitas diciendome que tengo virus, ademas tambien se abren popups y otras cosas, la pagina de inicio sale como si fuera google pero se redirecciona a la de sysprotectionpage.net. el kaspersky me dice que no puede eliminar el virus y yo no puedo borrar los exe que le corresponden: ishost, isnotify, issearch,... entre otros. Tampoco el scaner online de ewido me permite borrar este virus. ¿que puedo hacer? os pongo aqui el log de hijackthis para que le echeis un vistazo. muchisimas gracias.


Logfile of HijackThis v1.99.1
Scan saved at 23:05:47, on 16/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\ismon.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\DOCUME~1\Cristina\MISDOC~1\FNTS~1\rundll32.exe
C:\WINDOWS\system32\SSEMBL~1\RNDLL3~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Cristina\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {F42F4806-F4E4-F81B-C948-FCBADF1440E7} - C:\WINDOWS\system32\zkfam.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitComet] "C:\Archivos de programa\BitComet\BitComet.exe"
O4 - HKCU\..\Run: [Esst] "C:\DOCUME~1\Cristina\MISDOC~1\FNTS~1\rundll32.exe " -vt yax
O4 - HKCU\..\Run: [Mzgydc] C:\WINDOWS\system32\SSEMBL~1\RNDLL3~1.EXE
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: lsass.dll C:\WINDOWS\system32\lsass.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Descarga DelPSGuard v 4.1.2 pero no lo ejecutes aún.

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Reinicia a prueba de fallos

4) Ejecuta HijackThis con todos los programas cerrados y dale Fix checked a:

R3 - URLSearchHook: (no name) - {F42F4806-F4E4-F81B-C948-FCBADF1440E7} - C:\WINDOWS\system32\zkfam.dll

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKCU\..\Run: [Esst] "C:\DOCUME~1\Cristina\MISDOC~1\FNTS~1\rundll32 .exe " -vt yax

O4 - HKCU\..\Run: [Mzgydc] C:\WINDOWS\system32\SSEMBL~1\RNDLL3~1.EXE

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O20 - AppInit_DLLs: lsass.dll C:\WINDOWS\system32\lsass.dll

O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - (no file)

5) Busca y elimina estos archivos y/o carpetas con todo su contenido:

C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\ismon.exe
C:\DOCUME~1\Cristina\MISDOC~1\FNTS~1\
C:\WINDOWS\system32\SSEMBL~1\
C:\WINDOWS\system32\zkfam.dll
C:\WINDOWS\system32\lsass.dll --> cuidado no lo confundas con lsass.exe

Para archivos que no se dejen eliminar usa KillBox

6) En modo seguro o a prueba de fallos, ejecuta DelPSGuard y guarda el reporte que te genere.

7) Reinicia normal y finaliza con estos pasos:

• Haz un analisis con Ewido Online y Panda ActiveScan
• Limpia el registro con RegSeeker y pasa SpySweeper actualizado.
• Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

Vuelve a reiniciar, deshaz los cambios 1) y 2) y nos cuentas los resultados.

Deja un nuevo log y el reporte de DelPSGuard.

Saludos

Hola, muchas gracias por tu respuesta.
Había visto un post parecido al mío antes de la respuesta y ya habia pasado el delpsguard, con lo que este virus ya lo habia conseguido eliminar, no puedo copiar el resultado que me dio este programa.
Por esta parte va todo bien, se ha quitado la pagina de sysprotection , ya no se me abre publicidad como antes, ni me sale la notificacion de virus en la barra de tareas.
Pero si me sigue pasando que se me abre una ventana que pone que es de internet explorer que me dice:
Importante: la presencia de errores en el registro o el sistema de archivos podría producir funcionamiento errático o impredecible y el bloqueo del sistema.Repare los errores para mejorar el funcionamiento de su pc y evitar la perdida de informacion. ¿desea instalar WinAntivirus Pro 2006 para realizar un analisis gratuito? (recomendado)
y al cerrar esta ventana se me abre una pagina donde dice que me esta analizando el ordenador.
y luego se abre otra ventanita que pone: WinAntivirus Pro 2006 analizará su sistema en busqueda de errores. Haga clic en ejecutar o abrir en el momento indicado para dar comienzo a la istalacion. Este archivo contiene una firma digital y ha sido analizado individualmente. garantizamos que esta 100% libre de virus y programas espia.
y se abre esta pagina : http://es.winantivirus.com/download/2006/index.php?aid=nm_go_wav_r9_es_es_ed2&lid=keyin&aff id=nm_862_fbcb30b614e711db8b1500167647fa98_3c98a14 3%209574175b109a4bbfae31ebf0044b0bf4&ex=1&ax=1
que es el supuesto antivirus.
pues bien, el ewido me dice que tengo virtumonde en este archivo: awvts.dll
pero no me deja borrarlo, y tampoco el killbox.
como me dice que tengo virtumonde bajé el programa vundofix pero no encontró nada.
el panda también me encontró el virtumonde aquí: C:\Archivos de programa\Archivos comunes\{3C98A143-0AF0-3082-0608-040311180022-\services.dll
y este archivo lo borré, pero me sigue pasando lo mismo, me salen las alertas de que tengo virus.
El spysweeper me encontró unas cosas que pudo eliminar,´ya que la segunda vez que lo pasé no había nada, ahora sale limpio.

Os pego un nuevo log de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:52:48, on 19/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\Archivos de programa\BitComet\BitComet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Cristina\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitComet] "C:\Archivos de programa\BitComet\BitComet.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Gracias.

El log quedó limpio.

Descarga estos dos programas:

• Ewido Anti-Spyware 4.0
• Spy Sweeper 4.5

Actualizalos y haz un analisis con cada uno (primero uno, después el otro), primero en modo normal y después en modo seguro.

Reinicias, nos cuentas los resultados y en caso de que no hayan podido eliminar algo, nos copias acá el reporte.

Saludos

Hola, he tenido que formatear porque ya no me dejaba siquiera entrar en internet.
Siento las molestias ocasionadas, y muchas gracias por vuestra ayuda.
No se si hay que cerrar el post o algo, si tengo que hacer algo comunicármelo.Gracias.

Bien, pues damos el tema por finalizado.

Saludos