Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos, agradezco antes de nada la excelente predisposición que tienen para solucionar los distintos inconvenientes que ocasionan tantos virus como spywares. Decir que el foro es excelente es quedarse corto

Les cuento que tenía el spyware SpywareQuake, más conocido como PSGuard, y apliqué lo que indican en el post Eliminar SpywareQuake, SpyAxe, SpywareStrike, SpyFalcon y sus variantes

Este es el reporte del DelPSGuard:

DelPSGuard
Escaneo a las: 22:11:03,09, 22/08/2006
SO: Microsoft Windows XP [Versi¢n 5.1.2600]
»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»
C:\WINDOWS\system32 \migicons.exe ...: ! Eliminado ! :...
»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»
C:\Archivos de programa\IntCodec\ ...: ! Eliminado ! :...
»»»»»»»»»»»» FIN »»»»»»»»»»»»

Ya está eliminado el spyware, pero ¿puede ser que no pueda cambiar la página de inicio del IE? Me quedó www.forospyware.com, como bien indican ustedes en una nota al indicar el uso del DelPSGuard, pero no es momentáneo, me quedó para siempre, y no puedo modificarla ni ingresando al registro en forma manual.

Gracias por todo.

Hola kobayashi, bienvenid@ al foro.

Que bueno que pudiste eliminar el PSGuard!!!

Prueba con la herramienta IniRem.bat, a ver si con eso sale la pagina de forospyware.

Saludos

Gracias AntonioG, lo probé en la PC de mi trabajo y anda Ok, a la noche lo pruebo en casa. Eso sí, le hice un pequeño cambio, pone como página de inicio a www.google.com.ar, acordáte que actualmente tengo como inicio la página del foro
Sds

Hola,

Que bueno que si te sirvio la herramienta
Ya que lo pruebes en tu casa, nos dices si ya podemso dar este tema por solucionado.

Saludos

Es increíble pero aún no puedo sacar la página de inicio, me parece rarísimo lo que está pasando. Saludos

Hola kobayashi,

Pega un log de HijackThis en este mismo tema. Aqui unas instrucciones de como sacar el log:
http://www.forospyware.com/44-post1.html,
y ya ahi vemos que se pude hacer.

Saludos

P.D. Mensaje autorizado por GPastor (por lo de pedir log)

Este es el LOG del HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 10:14:39 p.m., on 29/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ActiveTracker 2.0 for Outlook Express\ReadNotify.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Google\Google Talk\googletalk.exe
C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
C:\Archivos de programa\palmOne\Hotsync.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\palmOne\LifeDriveMgrTray.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\palmOne\PalmOneLiveConnect.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Archivos de programa\Norton Internet Security\ccEmFlSv.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\IntCodec\isaddon.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ActiveTracker for Outlook Express] C:\Archivos de programa\ActiveTracker 2.0 for Outlook Express\ReadNotify.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart
O4 - Startup: LifeDrive™ Manager.lnk = C:\Archivos de programa\palmOne\LifeDriveMgrTray.exe
O4 - Startup: palmOne Registration.lnk = C:\Archivos de programa\palmOne\register.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Archivos de programa\palmOne\Hotsync.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: NOD32 FiX.lnk = C:\WINDOWS\SYSTEM32\regedt32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: Win32 Classes -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} - http://www.gxplugin.com/loader/dll/gxbplug.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F105767-D3F9-49C6-824F-114B1EB9B5BD}: Domain = d
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F105767-D3F9-49C6-824F-114B1EB9B5BD}: Domain = d
O17 - HKLM\System\CS2\Services\Tcpip\..\{2F105767-D3F9-49C6-824F-114B1EB9B5BD}: Domain = d
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Sds

Hola kobayashi.

Veo que tiens dos antivirus instalados, pueden crear conflictos entre ellos. Desintala uno (o solo deja uno como residente). Te sugiero que dejes el NOD32.

Realiza estos pasos:
Descarga la herramienta (NO la ejecutes aun) :

• DelPSGuard

1.- Desinstala este programa desde 'Agregar/Quitar programas' (si est'a):

IntCodec

2.- Apaga el Restaurar Sistema

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Checked" a estas entradas:

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\IntCodec\isaddon.dll (file missing)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: Win32 Classes -

O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} - http://www.gxplugin.com/loader/dll/gxbplug.dll

O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)

6.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa Killbox y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\Archivos de programa\IntCodec\isaddon.dll

C:\Archivos de programa\IntCodec\ ---> Elimina la carpeta y todo su contenido

7.- Pasa esta herramienta:

• DelPSGuard

8.- Reinicia la maquina.

9.- Pasa Disk Cleaner + Manual para limpiar cookies y temporales

10.- Pasa el RegSeeker + Manual para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

11.- Instálate el SpywareBlaster manual

12.- Pasa dos de estos antivirus online (Ewido online y Kaspersky online preferentemente) y nos comentas si te detectaron algo o no. Si hay algo que te detecten nos pegas el reporte que te generen.

13.- Comprueba los resultados y nos pegas un nuevo log para ver si quedó limpio.

Activa "Restaurar sistema" y desactiva "Ver archivos ocultos"

14.- Ve aqui si tienes esta opcion activada (que es la que te estaria bloqueando la pagina de inicio):
Página principal de Norton-->Norton antivirus-->Informes-->Ver registro de actividades-->Proteccion de la configuración del navegador-->Proteccion de la pagina de inicio, en la ventanita de abajo informa que la nueva dirección ha sido bloqueada, y pregunta: ¿Establecer esa web como págino de inicio? le das a Si.

De preferencia, imprime las indicaciones para que se te haga más fácil seguirlas.

Nos comentas...

Saludos

AntonioG, ya podés poner como Solucionado este tema.
En realidad la PC que tenía el problema es de un amigo, no la mía, yo le iba diciendo todo lo que tenía que hacer y ahora me dijo que ya pudo sacar la página de inicio haciendo lo que nos dijiste anteriormente.
Gracias por todo

hola kobayashi

OK! tema **Solucionado**

salu2