Estimado experto:

Desde hace unos días, me cuenta un amigo que su ordenador no le permite acceder a algunas páginas de internet (a unas sí y a otras no). Como el no entiende mucho (ni quiere entender ¡que es lo peor!) de seguridad, me pidió que me pasase por su oficina para ver si podía hacerle algo. Su máquina es un P III con SO Windows XP Pro (actualizado).

Aunque yo tampoco entiendo mucho, los foros recomiendan el uso de antivirus, firewall y productos antimalware. Observe que tenía el NOD32 como antivirus, no tenía firewall (¡ ni siquiera tenía activado el de windows ! - según me dijo el firewall que tenía se lo quitó un "técnico" para poder poner en red ordenadores e impresoras de su lugar de trabajo -...sin comentarios-).

Con esos antecedentes, procedí a activarle el firewall de windows, y a instalarle el SpyBot S & D, Adware SE, SpyWareBlaster y A-Squared Free, herramientas antimalware. Al tratar de actualizarlas, todas ellas me dieron errores de conexión. Observe que tampoco podía conectarme a las sites oficiales de todos ellos vía explorer... y emprendí la búsqueda de soluciones desde mi propio ordenador, lo que me llevó a vosotros.

Los hechos llevados a cabo desde entonces son:
1) Busqué las actualizaciones offline de todos los anteriores programas y las instalé. Ejecuté los programas, encontrando todos ellos malware. Eliminé todos (aunque no guardé registro de cuales eran).

2) Al seguir sin poder conectarme a algunas páginas de internet, y viendo el manual publicado en esta site sobre HiJackThis (un gran manual, ¡¡¡ felicidades !!!) y su funciones, se me ocurrió que quizá hubiesen modificado el archivo HOST.
Estaba en lo cierto, (tal y como indicabais en el manual -o alguna solución del foro, no recuerdo- borre todo menos la entrada "127.0.0.1 localhost". No guardo registro del host mutado, pero si recuerdo que había un montón de páginas web, entre ellas las de esos programas de seguridad que no podía actualizar.
Tras hacer esto, pude acceder a internet a todos los sitios y actualizar online los programas de seguridad.

3)Desinstalé el NOD32, instale el AVG, lo actualicé e hice un escaneado profundo, sin muestra de virus.

4) Hice un log con HiJackThis (os lo pego al final).

5) Realicé un escaneado online con Kaspersky, dando negativa la exploración de virus (encontró 2 trojanos, pero estaban en una carpeta de cuarentena de alguna antigua instalación de NORTON AntiVirus).

El Windows XP estaba actualizado con las A.Críticas del 16/08/2006. Aquí os pego el LOG, con la esperanza de que guieis mis próximos pasos (o corrijais los anteriores). Un saludo y muchas gracias por todo.

Logfile of HijackThis v1.99.1
Scan saved at 9:17:00, on 07/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Kyocera\Kyocera HBPS Utilities\KMGLBSMT.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\Para HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 127.0.0.0 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kyocera HBPS Utilities.lnk = C:\Archivos de programa\Kyocera\Kyocera HBPS Utilities\KMGLBSMT.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Cursos y Masters - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\tcursos-tpt\local.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} - http://www.sponsoradulto.com/SysWebTelecom2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E6B743C-147E-4D6C-B524-600395888D73}: NameServer = 213.190.0.227,213.190.0.8
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

Hola y Bienvenid@ a Forospyware!



Sobre el log:

Desactiva la restauracion del sistema

Dale fix a estas dos entradas:

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab
O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} - http://www.sponsoradulto.com/SysWebTelecom2.cab


Luego de lo anterior, podrás reiniciar el sistema y volver a activar la restauración del sistema

De resto el log se muestra limpio aunado a eso ya indicaste que hiciste el chequeo online con el kaspersky y que dió todo limpio excepto dos en la cuarentena del norton así que tu sistema fuera de peligro está


Si deseas alguna asesoría extra sobre este tema, lo comentas



Salu2

Estimado Acron 0248:

Muchas gracias por tu ayuda . Procedo a borrar las entradas que me indicas. Vigilaré el sistema para ver si pasa algo más.

Un saludo y gracias de nuevo.

Javiyo