Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, soy Rodrigo tengo unos problemillas con un search the web, esta en la barra, tambien tengo unos problemillas con la publicidad que me aparece cada 2 minutos, mas aun cuando inicio messenger.
Tengo el ad-aware pero hay archivos que no puedo eliminar, corro en reiteradas ocasiones el programa pero siguen ahi.
Les agradeceria solucionar mi problema
Gracias

Logfile of HijackThis v1.99.1
Scan saved at 21:07:05, on 26/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\isrvs\desktop.exe
C:\WINDOWS\System32\systemctrl.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\mqsedt32.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINDOWS\System32\ctfmon.exe
c:\windows\system32\upqiwl.exe
C:\WINDOWS\System32\pstpy.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOCUME~1\Rodrigo\CONFIG~1\Temp\Rar$EX00.863\Hij ackThis.exe
C:\hitjackers\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Rodrigo\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hsncnfkeol.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Rodrigo\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.1.6
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {08CC22B1-491E-443F-A68C-D4A142CCBBDA} - C:\WINDOWS\System32\mefe.dll
O2 - BHO: (no name) - {2B07C289-9654-2C9A-67A5-060A51E7F71F} - C:\DOCUME~1\Rodrigo\DATOSD~1\ITCHSI~1\Proxy plus.exe
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\systemctrl.exe internet.dll,LoadNetworkProfile
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [2stO34Q] mqsedt32.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Rodrigo\CONFIG~1\Temp\se.dll,DllInstal l
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ucsrsm] c:\windows\system32\upqiwl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [JB2ERQc4S] pstpy.exe
O4 - HKCU\..\Run: [Ocap] C:\Documents and Settings\Rodrigo\Datos de programa\rshl.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ForkCorn] C:\DOCUME~1\Rodrigo\DATOSD~1\2GREY~1\Sixth dog curb.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab
O18 - Filter: text/html - {C6BB9B78-68BD-4FAE-BE85-A6BA299812B6} - C:\WINDOWS\System32\mefe.dll
O18 - Filter: text/plain - {C6BB9B78-68BD-4FAE-BE85-A6BA299812B6} - C:\WINDOWS\System32\mefe.dll
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Hola

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado. Empieza por los parches del explorer.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
4. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Deberás marcar estas líneas en el Hijackthis para reparar:

• C:\WINDOWS\System32\systemctrl.exe
• C:\WINDOWS\System32\mqsedt32.exe
• C:\Program Files\Media Access\MediaAccK.exe
• c:\windows\system32\upqiwl.exe
• C:\WINDOWS\System32\pstpy.exe
• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Rodrigo\CONFIG~1\Temp\se.dll/spage.html
• R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
• F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
• O2 - BHO: (no name) - {08CC22B1-491E-443F-A68C-D4A142CCBBDA} - C:\WINDOWS\System32\mefe.dll
• O2 - BHO: (no name) - {2B07C289-9654-2C9A-67A5-060A51E7F71F} - C:\DOCUME~1\Rodrigo\DATOSD~1\ITCHSI~1\Proxy plus.exe
• O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
• O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
• O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
• O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\systemctrl.exe internet.dll,LoadNetworkProfile
• O4 - HKLM\..\Run: [2stO34Q] mqsedt32.exe
• O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
• O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Rodrigo\CONFIG~1\Temp\se.dll,DllInstal l
• O4 - HKLM\..\Run: [ucsrsm] c:\windows\system32\upqiwl.exe
• O4 - HKCU\..\Run: [JB2ERQc4S] pstpy.exe
• O4 - HKCU\..\Run: [Ocap] C:\Documents and Settings\Rodrigo\Datos de programa\rshl.exe
• O4 - HKCU\..\Run: [ForkCorn] C:\DOCUME~1\Rodrigo\DATOSD~1\2GREY~1\Sixth dog curb.exe
• O15 - Trusted Zone: *.skoobidoo.com
• O15 - Trusted Zone: *.slotchbar.com
• O15 - Trusted Zone: *.windupdates.com
• O15 - Trusted Zone: *.skoobidoo.com (HKLM)
• O15 - Trusted Zone: *.slotchbar.com (HKLM)
• O15 - Trusted Zone: *.windupdates.com (HKLM)
• O15 - Trusted IP range: 67.19.185.246
• O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab
• O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Si los encuentras, deberás borrar estos archivos y carpetas:

• C:\WINDOWS\System32\systemctrl.exe
• C:\WINDOWS\System32\mqsedt32.exe
• C:\Program Files\Media Access\ (borra esta carpeta)
• c:\windows\system32\upqiwl.exe
• C:\WINDOWS\System32\pstpy.exe
• C:\DOCUME~1\Rodrigo\CONFIG~1\Temp (borra todo lo que esté aquí dentro)
• C:\WINDOWS\Nail.exe
• C:\WINDOWS\System32\mefe.dll
• C:\WINDOWS\isrvs\ (borra esta carpeta)
• C:\Documents and Settings\Rodrigo\Datos de programa\rshl.exe
• C:\WINDOWS\svcproc.exe

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Spybot Search and Destroy
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.

Felicidad

Hice todos los pasos indicados pero aun me aparece en la barra el Search the Web, aunque la propagando aparece mucho menos (solo aparece con Internet Explorer, al ocupat mozilla no hay ningun problema).

Ojala me puedan ayudar
Adios

Hola

Ejecuta el Cwshredder, si después de eso aun tienes problemas, mándanos un nuevo reporte generado con el hijackthis.

Felicidad

wena turbio hueco: después de haber aplicado todos los programas ejecuta el "spybot search and destroy" porque quizás el computador se vuelva medio loco con el ad-aware juntos. asi que deja el spybot como principal y te va a neutralizar las barras cool web search y toas las parecidas.

pd: deja ambos no elimines el ad-aware ni el otro

Ya ahora no me lanza ningun problema, el unico problema es que necesito instalar un antivirus, tengo la version trial de este, pero solo dura 15 dias. Alguien me podria facilitar el product key por favor.

Muchas gracias por haber solucionado mi problemita, ahora el pc esta como antes.

Bien en lo que se refiere a tu problema damos el tema por solucionado.

Respecto a lo otro, aqui no vamos a dar soporte a la piratería, asi que te sugiero que compres la licencia o que instales un antivirus gratito como AVG por ejemplo.

Saludos

muchas gracias por solucionar mi problema, probare el antivirus que me recomendaron.
Adios y gracias.