Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola! siempre les estoy agredecido por atender mis mensajes, ya que son de mucha ayuda. Talvez en el mensaje anterior no me explique muy bien, el problema es que pase casi dos semanas con ese ataque Spya; y es que, se dio el placer de desactivar el Restaurador del Sistema de Windows, instaló los Adware que quizo, cambio mi pagina de inicio, cada vez que abria el explorador se abrian pop ups o si no se abrian cada lapso de tiempo, por que se dio el placer de desactivar la barra de MSN y Yahoo (que contienen opciones anti-Pop Ups, e intaló otros controladores en mi maquina que no me permite cambiar el fondo del del escritorio, ni elegir un tema, ni cambiar la apariencia. Para que tengan una idea les voy a enviar una imagen de los mensajes que aparecian cada vez que abria el explorador:



_Y como fondo de escritorio tenia un (fondo azul) era una imagen .bmp "una pantalla azul, como cuando no puedes entrar al sistema por problemas graves" el mensaje decia asi:



_Y de ninguna forma me dejaba cambiar el fondo del escritorio; y no me lo detectaba ni el Anty-Spyware de Yahoo, ni el Anty-Spyware Beta de Microsoft. Luego de Scannear mi computadora con Panda ActiveScann, este si me los detecto, pero no me los eliminó, solo me mostró la ubicación de donde se encontraban:

_En base a ese informe llegue hasta la ubicación donde se encontraban y así fue como logré eliminarlos "digo yo". Pero por si las dudas les envio "log" de Hijack This, para comprobar:

Logfile of HijackThis v1.99.1
Scan saved at 9:38:58, on 24/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\esclavo.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEESLA/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEESLA/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_ 0.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_ 0.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4F5CDD9-631A-4A8E-92D9-36DF4C8B02F4}: NameServer = 216.230.147.90,216.230.128.32
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -service (file missing)


_Despues de haber "eliminado" digo yo, los problemitas que tenia mi PC; volví a Scannear y solo me quedo uno en el Registro de Windows llamado Adware/Iguar. Y otro que me tiene en espera de su respuesta; pues no me quiero dar a la tarea de formatear mi maquina, sin antes tratar de darle una solucion practica; resulta que ahora no puedo cambiar el fondo del escritorio, ni puedo elegir un tema de windows, ni cambiar la apariencia del escritorio; pues al entrar a las propiedades del escritorio me aparecen solo dos bandejas (Configuracion y Protector de Pantalla):

_No se si habra algun problema en el Editor del Registro (algun cambio, algun cautiverio, alguna eliminacion) ¿Tendrá solución?

_¿Tendrá Solució? Bueno amigos, espero no haber abusado de la tecleada, pero creo que es la manera mas explicita para exponer mi problema. Cualquier información se las voy a agradecer. ¡Gracias! y hasta pronto

Hola Alex, hubiera sido mas fácil que entraras y preguntaras por ese malware ya que tenemos un articulo con los pasos a seguir para eliminarlos en este post Eliminar familia PSGuard, AntiVirGear, VirusProtectPro, Antivirus 2009, SpyLocked

De todos modos tu post me vino bien ya que no tenia una de las imágenes que ya estoy cargando en el articulo :dedosarri

Tu log lo veo limpio en este momento y si tenes algún síntoma especifico decinos cual para usar alguna otra herramienta.

Salu2

Hola nuevamente! De todo corazón les estoy muy agradecido por la informacion que me an brindado, y la ayuda que ha sido indondicional que he recibido. Se que los voy a aburrir, pero es mejor morir en el intento y no quedarse con el deseo de haberlo realizado.

Fijense que estos bichos ya estan eliminados, afortunadamente con la ayuda de ustedes lo he podido lograr "KillBox" es bueno. El unico problema que tego ahora es este:



solo tengo 2 bandejas en las propiedades del escritorio y si mal lo recuerdo son 5, a mi me parece que con eso de que no me dejaban cambiar el fondo del escritorio; me bloquearon, me eliminaron, o me dejaron cautivo algun archivo importante del escritorio; porque cada vez que enciendo mi PC, o la reinicio me aparece este mensaje:



_Estube revisando el Regedit y lo comparé con otras maquinas y veo algo diferente el Desktop del Control Panel.

_Por favor cualquier informacion que me envien se las voy a agradecer mucho, si no se le puede dar solucion pues que se puede hacer. Gracias! amigos de www.infospyware.com

Ups disculpa que se me paso tu mensaje.

Buen la unica alternativa que hemos encontrado para restaurar todas las opcines del escritorio las tenes en "este mensaje" probalo a ver si te resulta y despues nos comentas.

SAlu2

Okas MIra como te puedo ayudar para que puedes restablecer tu escritorio X tu correo y te mandare un archivo para restableces los registro creme funciona y funciona muy Bien

Saludosss!!!!!!!!! sera Mi primer ayuda a alguien en ete foro

Hola Ch@cH@lInK, los problemas que se plantean en el foro se resuelven en el y no recomendamos nunca a ningún usuario ejecutar justamente un archivo de un desconocido por lo que te pido directamente que no lo hagas.

Si quieres ayudar eres bienvenido ya que siempre estamos necesitando gente pero respetando nuestra manera de trabajo ya que tenemos todo los necesario para resolver los problemas de los usuarios dentro del foro.

Salu2