Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Holas a todos, que tal... bueno mi problema es basicamente que tengo un pequeño o spyware o algo destruido del win porque pareciera que alguien quiere estropearme la pc cada vez que me conecto a internet...
El tema es así:
Al principio tuve todo un drama con eso de que se habrian popups de publicidades aun estando desconectado y se instalaban muchos programas de esos que uno ve en las publicidades de software antispy(ej. powerscan) y demás... la cuestión es que seguí los pasos que recomendaron a un miembro de este foro que tenia el mismo problema.. y se solucionó(era el temilla del cfmon.exe--no confundir con ctfmon.exe )... en fin..despues de solucionado el problema... el unico residuo que ha quedado es que cuando me conecto a internet.. se abre Internet Explorer con la siguiente página web(dirección de ip):: http://217.170.4.137/_vti_bin/index.html
Y automáticamente en la carpeta WINDOWS\ aparecen ciertos archivos::


La cuestión es que ahora parece no actuar nada raro.. pero antes..cuando tenia la pc hecha un lio... estos archivos se abrian a mil por hora y ejecutaban cosas como activeX y programas de consola y cosas raras... ahora estan al parecer sin hacer nada... pero aun así... me parece peligroso que se copien o se instalen solos cada vez que me conecto a internet.. y que se me abra esa dirección de ip en Internet Explorer... si por favor alguien pudiera ayudarme con el tema..ya he probado de todo.. pero incluso con firewall y antispy sigue apareciendo... desde ya muchas gracias por la información...
les dejo mi log de Hijack:
--------------------------------------------------------------------------
Logfile of HijackThis v1.91.2
Scan saved at G12ANSOFT 01:07:17 p.m., on 11/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=062305 serial=DR12CNC-4037331-NGV lang=ES
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\Run: [pE7TFDX8B] C:\WINDOWS\vycrgp.exe
O4 - HKLM\..\Run: [ktwfyjav] C:\WINDOWS\ktwfyjav.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - Startup: ARNET.lnk = ?
O4 - Startup: DTemp.lnk = C:\DTemp - HD Temp\DTemp.exe
O4 - Startup: eMule.lnk = C:\Archivos de programa\eMule\emule.exe
O4 - Startup: No-IP DUC.lnk = C:\Archivos de programa\No-IP\DUC20.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Archivos de programa\ISS\BlackICE\blackice.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Crear un favorito móvil (HKLM)
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... (HKLM)
O9 - Extra button: Pop-Up Blocker (HKLM)
O9 - Extra 'Tools' menuitem: Pop-Up Blocker (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

--------------------------------------------------------------------------

Muchas gracias por todo, salu2!

Germán

Esa versión de HijackThis que usas es vieja.

Descarga HijackThis 1.99.1 y nos dejas tu nuevo log.

Saludos

Bien, gracias por avisarme :dedosarri
Aquí les dejo el nuevo log:

Logfile of HijackThis v1.99.1
Scan saved at G12ANSOFT 09:26:44 p.m., on 13/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\WINDOWS\System32\KYSVCXD.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\ISS\BlackICE\blackd.exe
C:\WINDOWS\system32\altsvc.exe
C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe
C:\WINDOWS\system32\msnmsgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\DTemp - HD Temp\DTemp.exe
C:\Archivos de programa\No-IP\DUC20.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis 1.99.1 NUEVA\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=062305 serial=DR12CNC-4037331-NGV lang=ES
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\Run: [pE7TFDX8B] C:\WINDOWS\vycrgp.exe
O4 - HKLM\..\Run: [ktwfyjav] C:\WINDOWS\ktwfyjav.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - Startup: ARNET.lnk = ?
O4 - Startup: DTemp.lnk = C:\DTemp - HD Temp\DTemp.exe
O4 - Startup: eMule.lnk = C:\Archivos de programa\eMule\emule.exe
O4 - Startup: No-IP DUC.lnk = C:\Archivos de programa\No-IP\DUC20.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Archivos de programa\ISS\BlackICE\blackice.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Archivos de programa\WINnerTweak3\PopUp Blocker.exe
O9 - Extra 'Tools' menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Archivos de programa\WINnerTweak3\PopUp Blocker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B6D1F03-3E92-4C1D-884B-CCC7F75F96C0}: NameServer = 200.45.191.35 200.45.191.40
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Archivos de programa\ISS\BlackICE\blackd.exe
O23 - Service: COM+ Alerter Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe
O23 - Service: DHCP-Verwaltung - Unknown owner - C:\Archivos de programa\eMule\incoming\TmSunrise No CD Crack\TmSunrise No CD Crack.exe (file missing)
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Archivos de programa\ISS\BlackICE\rapapp.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

Hola!!!

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Pasa al menos 2 de estos Antivirus Online

4) Reinicia a prueba de fallos

5) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\Run: [pE7TFDX8B] C:\WINDOWS\vycrgp.exe

O4 - HKLM\..\Run: [ktwfyjav] C:\WINDOWS\ktwfyjav.exe

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE

O23 - Service: COM+ Alerter Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

6) Busca y elimina estos archivos:

C:\WINDOWS\System32\KYSVCXD.EXE
C:\WINDOWS\system32\altsvc.exe
C:\WINDOWS\vycrgp.exe
C:\WINDOWS\ktwfyjav.exe
C:\WINDOWS\System32\cfmon.exe --> no lo confundas con ctfmon

Para archivos que no se dejen eliminar usa KillBox

7) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

8) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

9) Reinicia normal y nos cuentas los resultados.

¿Sabes tu a que pertenece esta entrada?

O23 - Service: DHCP-Verwaltung - Unknown owner - C:\Archivos de programa\eMule\incoming\TmSunrise No CD Crack\TmSunrise No CD Crack.exe (file missing)

No me suena muy bien

Saludos

WENAS!!

Holas, bueno pues muchas gracias! Ya se ha resuelto el tema... muchisimas gracias por su ayuda

En fin... eliminé las entradas y borré los archivos.. y bueno pues hasta ahora no se ha vuelto a abrir la web ni los archivos .bat etc. :dedosarri

Con respecto a la última pregunta... esa entrada corresponde a un programilla que simulaba desinstalar las unidades de CD.... en fin.. ya lo habia desinstalado por lo que borré la entrada (fix)

Muchisimas gracias por todo!!

Salu2!
Germán