Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, estoy tratando de limpiar una pc que tiene el troyano startpage. Seguí los pasos que están en la página de Symantec para sacarlo, borré estas entradas que me parecían raras luego de pasar HIjackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll/spage.html
O2 - BHO: (no name) - {3B734C6D-3F73-4145-8EC7-E4F64AC3E17C} - C:\WINNT\system32\hfbc.dll
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {D127CDB6-0000-0000-0000-000000000000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

borré entrando desde el msconfig los siguientes archivos del inicio:
atiupdlp.exe
ctfmon.exe
ssnn.exe

Borré manualmente la librería C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll pero esta librería se sigue generando sola. Pasé el AD-Aware, CCleaner, y escaneé el disco con el antivirus AVG quien detecta el troyano, supuestamente borra los archivos infectados pero cada vez que se inicia windows da un error de RUNDLL que C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll no se puede ejecutar o no se puede encontrar.

El log entero es, espero que puedan ayudarme, gracias:

Logfile of HijackThis v1.97.7
Scan saved at 7:40:13, on 18/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\system32\cmd32.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 172.17.1.10:3128
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3B734C6D-3F73-4145-8EC7-E4F64AC3E17C} - C:\WINNT\system32\hfbc.dll
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1601.0\es\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {D127CDB6-0000-0000-0000-000000000000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hola te doy la bienvenida al Foro de Spyware.

Primero estas usando una versión viejísima del HijackThis descarga la ultima 1.99.1

Después deja pasar todos los archivos en el MSConfig ya que si alguno es parte del virus y lo cortas ahi nunca vas a poder sacarlo definitivamente de tu sistema.

No estas mal rumbeada en las entradas a eliminar pero seguramente en la nueva versión vas a ver unas entradas 018 que se repiten y usan la misma .dll que en la 02.

Para borrar los archivos te recomiendo usar KillBox, pero como te digo de todas maneras mejor pega el log completo antes de eliminar nada.

Salu2

Muchas gracias por la respuesta, acá va el nuevo log:

Logfile of HijackThis v1.99.1
Scan saved at 12:34:23, on 18/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\system32\ctfmon.exe
C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE
C:\Archivos de programa\Microsoft Office\Office10\EXCEL.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Program Files\SEAGULL\FTP\BZFTP.EXE
C:\Program Files\SEAGULL\FTP\BZFTP.EXE
C:\Archivos de programa\Century\TinyTERM\tt.exe
C:\Archivos de programa\Microsoft Office\Office10\OUTLOOK.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6155B53B-1872-451B-A422-45E3A921C547} - C:\WINNT\system32\hfbc.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Microsoft AntiSpyware helper - {2DBC194A-270A-475C-BD86-04EE1E5F6552} - C:\WINNT\system32\wldr.dll
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2DBC194A-270A-475C-BD86-04EE1E5F6552} - C:\WINNT\system32\wldr.dll
O9 - Extra button: Microsoft AntiSpyware helper - {FE9903E4-BE95-4522-886E-010E4D86B7DF} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {FE9903E4-BE95-4522-886E-010E4D86B7DF} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O18 - Filter: text/html - {B01B5C7C-AE5A-4A22-99D6-8FFC118BCB18} - C:\WINNT\system32\hfbc.dll
O18 - Filter: text/plain - {B01B5C7C-AE5A-4A22-99D6-8FFC118BCB18} - C:\WINNT\system32\hfbc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE

Seguí estos pasos.

Paso 1- Inicia en modo normal.

Paso 2- Descarga la herramienta:TZ-Kill.inf en la misma carpeta creada para el HijackThis

Paso 3- Hacer click derecho sobre el archivo "TZ-Kill.inf" y en el menu que despliega presionar en "Install" o "Instalar" (automáticamente eliminara las entradas "015 - Trusted Zone"

Paso 4- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {6155B53B-1872-451B-A422-45E3A921C547} - C:\WINNT\system32\hfbc.dll

O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\cmd32.exe internat.dll,LoadKeyboardProfile

O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.185.246

O18 - Filter: text/html - {B01B5C7C-AE5A-4A22-99D6-8FFC118BCB18} - C:\WINNT\system32\hfbc.dll

O18 - Filter: text/plain - {B01B5C7C-AE5A-4A22-99D6-8FFC118BCB18} - C:\WINNT\system32\hfbc.dll

Paso 5- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 6- Prende la opción de "Ver archivos ocultos y del sistema"

Paso 7- Busca y elimina estos archivos manualmente (aunque puede que alguno no este)

C:\WINNT\system32\cmd32.exe
C:\WINNT\system32\hfbc.dll
C:\DOCUME~1\usuario\CONFIG~1\Temp\se.dll

Paso 8- Usa el Disk Cleaner para limpiar cookies y temporales

Paso 9- Pásale Ad-Aware SE actualizado eh instala SpywareBlaster 3.3

Paso 10- Reinicia y después nos contas los resultados.

Salu2

Bueno, esta mañana bien temprano, hice todo lo que me indicaste, por ahora no hay signos del troyano en el usuario que normalmente se usa la pc, lo único que al parecer también infectó el usuario administrador y cuando inicio con él, aparte de abrirse automáticamente varios popups se pone como fondo una .bmp azul muy parecido a los típicos de Windows, todo esto que te digo, antes de limpiarlo con tus indicaciones, lo que no sé es si ahora con la limpieza que le hice, ya se eliminó completamente el troyano de la máquina o cuando inicie de nuevo con el administrador van a volver los síntomas. Hasta ahora no quise iniciar con el administrador porque tengo miedo de que aparezcan todos esos errores de nuevo y la limpieza que se hizo no valga la pena, por lo que quería consultarte qué hago...

Bueno, te mando el log que generé desde el usuario que ahora está "supuestamente" limpio...

Logfile of HijackThis v1.99.1
Scan saved at 8:02:25, on 19/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\hijack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE

Espero tus indicaciones, gracias!

Bueno el tema en Win XP cuando se trabaja con mas de un usuarios puede suceder que uno se infecte y el otro no.

En este caso lo mas rapido seria crear un nueva cuenta de administrador y eliminar la que tenes infectada. En este post en el ultimo paso tenes como hacerlo Eliminar DANGER: SPYWARE

Si queres limpiarlo tenes que mandarnos el log de HijackThis desde el administrador pero antes tambien hace los pasos de este otro mensaje: Eliminar familia PSGuard, AntiVirGear, VirusProtectPro, Antivirus 2009, SpyLocked

Salu2

Ok, muchas gracias, después trato de hacer lo que me dijiste para el administrador. La pc tiene Windows 2000, supongo que debe ser lo mismo lo que hay que hacer que para XP.

Ahora necesito ayuda para limpiar una que tiene el W32.Randex, estos virus me están volviendo loca!!! espero que me puedas ayudar, posteo el log del HijackThis pero en con un nuevo tema...

Muchísimas gracias!!!

Yo tuve el mismo problema y se solucionó con los pasos que están mas arriba entre estos mensajes...

Hola ya que dices que se arreglo damos el tema por solucionado, si tienes problema con otra PC por favor abre un nuevo tema para no entreverarnos.

Salu2

Ok, perdón por el lío de mensajes.

Abro un nuevo tema..

Muchas gracias!