Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

que tal a todos, soy nuevo en el foro, y quisiera ir al grano con este problema que me tiene "hasta las manos". Resulta que uso el firefox de mozilla y sospecho que una de sus vulnerabilidades haya afectado a mi equipo.Lo que le sucede a mi equipo es que se abren ventanas del IExplorer constantemente, aún cuando no me encuentro conectado, el adaware me muestra 20 de solo los mismos spyware por cada 10 minutos que me conecto. Luego de escanear mi pc con norton antivirus (sin haber virus), ad-aware SE (20 reg value), etc. utilizé el hijackthis y me lanzó este log:

Logfile of HijackThis v1.99.1
Scan saved at 09:12:44 p.m., on 18/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\wuamkop.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\wkfix.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Documents and Settings\fravega.NOMBRE-ZKZ70P9D\Mis documentos\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Corel Graphics Suite 1117] C:\Archivos de programa\Corel\Corel Graphics 11\Register\registration.exe /title="Corel Graphics Suite 11" /date=053005 serial=DR11CRZ-0210629-ZGT
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Microsoft Update] wuamkop.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitecln32.exe
O4 - HKLM\..\Run: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop.exe
O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
O4 - HKCU\..\Run: [Internet2 Optimizer] wkfix.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me.../bridge-c4.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1116207955658
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

desde ya, muchisimas gracias y disculpen las molestias.

Hola y bienvenido!!!

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Pasa al menos 2 de estos Antivirus Online

4) Desde panel de control--> agregar o quitar programas, desinstala si está:

New.Net o NewDotNet

Si no está, busca su carpeta y dale click al archivos uninstall.exe

5) Usa LSPFix.exe para reparar estas entradas:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

6) Con el administrador de tareas (Ctrl+Alt+Supr) para estos procesos si se están ejecutando:

wuamkop.exe
wkfix.exe
elitecln32.exe

7) Creale una carpeta propia a HijackThis para meterlo dentro, ejecutalo con todos los programas cerrados y dale fix a:

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [Microsoft Update] wuamkop.exe

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitecln32.exe

O4 - HKLM\..\Run: [Internet2 Optimizer] wkfix.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop.exe

O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe

O4 - HKCU\..\Run: [Internet2 Optimizer] wkfix.exe

O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/M...e/bridge-c4.cab

8) Reinicia a prueba de fallos

9) Busca y elimina estos archivos:

C:\WINDOWS\System32\wuamkop.exe
C:\WINDOWS\System32\wkfix.exe
C:\windows\system32\elitecln32.exe

Y esta carpeta con todo su contenido:

C:\ARCHIV~1\NEWDOT~1\ --> seguramente aparecera con el nombre Archivos de Programa\NEWDOTNET

Para archivos que no se dejen eliminar usa KillBox

10) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

11) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

12) Reinicia normal y nos cuentas los resultados.

Instala SpywareBlaster 3.4 , actualízalo y activa su protección.

Saludos

Perfecto! muchísimas gracias por su dedicación, realmente los felicito, voy a intentar los pasos que me diste. Revisando los pasos, noté que me indicaste que corra el administrador de tareas,con el cual descubrí otro problema, cuando presiono ctrl+alt+supr me aparece un cuadradito verde en la barra de tareas y no puedo visualizar el adm. de tareas, cuando reinicio el sistema, windows me dice que el taskmngr (administrador de tareas) no responde.
y con respecto a limpieza de registro, yo ya poseía otro anteriormente llamado regcleaner, éste me sirve?
De nuevo muchas gracias y sigan asi!

Hola

El cuadradito verde es la indicación de que el administrador de tareas está abierto.

Sobre el regcleaner, es bastante bueno, sin embargo, puedes complementarlo con el regseeker, en mi opinión el segundo es un poco más completo. Pero en líneas generales, con que tengas uno, basta.

Felicidad

que tal de nuevo, gracias por el dato, pero aún así no puedo manejar nada en el administrador de tareas, sólo se ve el cuadradito, nada más... saludos!

Saltate el paso del administrador de tareas y el paso 7 hazlo estando ya a prueba de fallos, luego nos cuentas los resultados.

Después veremos lo del administrador de tareas.

Saludos

Hola!!! y realmente muchas gracias!!! se me solucionó el problema, la verdad q se merecen un monumento al lado de nuestro obelisco (en la ciudad de Buenos Aires). Gracias por todo!!! saludos desde Argentina!!!