Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola

Al utilizar el Spybot-Search Destroy en modo avanzado, al intentar llevar a cabo las acciones correspondientes, me han surgido algunas dudas. Espero que podáis resolvérmelas.

Al chequear en la opción "Inicio del sistema" me han aparecido varios programas que califica como innecesarios, virus, troyanos, etc. Dos de ellos los califica como _CoolWebSearch_ parasite variant, al parecer, relacionados con secuestros de navegador. Comentar que el día 2 de este mes sufrí un secuestro de navegador, cuyas consecuencias fueron que me salía una página en blanco, cuya dirección era about:blank. Resolví el problema ejecutando el programa RestIE de la Asociación de Internautas. De momento, he deshabilitado las casillas de estos programas, hasta saber que me aconsejáis al respecto. Son los siguientes:

Estado de la base de datos: Normalmente no necesario
Valor: QuickTime Task
Nombre del archivo: Qttask.exe

Descripción
System Tray access to Apple's "Quick Time" viewer from version 5 onwards

Fuente: Paul Collins Startup list
____________________

Nombre del archivo actual: "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

Estado de la base de datos: Innecesario - virus, software espía, maligno u otro tipo de programa consumidor de recursos
Valor: QuickTime Task
Nombre del archivo: qttasks.exe

Descripción
_CoolWebSearch_ parasite variant

Fuente: Paul Collins Startup list



--------------------------------------------------------------------------

Nombre del archivo actual: "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

Estado de la base de datos: Normalmente no necesario
Valor: MsnMsgr
Nombre del archivo: msnmsgr.exe

Descripción
_MSN Messenger_ Programs. Go to MS Messenger > Tools > Options > Preferences and uncheck "Run this program when Windows starts"

Fuente: Paul Collins Startup list
____________________

Nombre del archivo actual: "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

Estado de la base de datos: Innecesario - virus, software espía, maligno u otro tipo de programa consumidor de recursos
Valor: MsnMsgr
Nombre del archivo: MsnMsgrs.exe

Descripción
Added by the _NETSKY-AD_ WORM!

Fuente: Paul Collins Startup list
____________________

--------------------------------------------------------------------------


Nombre del archivo actual: C:\WINDOWS\system32\ctfmon.exe

Estado de la base de datos: Innecesario - virus, software espía, maligno u otro tipo de programa consumidor de recursos
Valor: ctfmon.exe
Nombre del archivo: ctfmon32.exe

Descripción
_CoolWebSearch_ parasite related - hijacking to Slawsearch.com
Fuente: Paul Collins Startup list
____________________

--------------------------------------------------------------------------

Nombre del archivo actual: "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

Estado de la base de datos: Normalmente no necesario
Valor: MsnMsgr
Nombre del archivo: msnmsgr.exe

Descripción
_MSN Messenger_ Programs. Go to MS Messenger > Tools > Options > Preferences and uncheck "Run this program when Windows starts"

Fuente: Paul Collins Startup list
____________________

Nombre del archivo actual: "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

Estado de la base de datos: Innecesario - virus, software espía, maligno u otro tipo de programa consumidor de recursos
Valor: MsnMsgr
Nombre del archivo: MsnMsgrs.exe

Descripción
Added by the _NETSKY-AD_ WORM!

Fuente: Paul Collins Startup list
--------------------------------------------------------------------------

En la opción "Active x" casi todos me salen con símbolo verde, pero hay dos que no tienen ningún símbolo delante (el Spybot los describe como “no están en la base de datos”) por lo que no sé si deben ser eliminados o no. A continuación copio la descripción:

{233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control)
DPF name:
CLSID name: Shockwave ActiveX Control
Installer:
Codebase: http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
Path: C:\WINDOWS\system32\Macromed\Director\
Long name: SwDir.dll
Short name:
Date (created): 18/10/2005 19:24:18
Date (last access): 22/11/2006 12:15:58
Date (last write): 26/06/2006 934
Filesize: 54960
Attributes: archive
MD5: 7E8A1C5DC0F1372BB2D170B0A88ED0C3
CRC32: 0DEDE8C7
Version: 10.1.3.18



{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0)
DPF name: Java Runtime Environment 1.5.0
CLSID name: Java Plug-in 1.5.0_08
Installer:
Codebase: http://java.sun.com/products/plugin/autodl/jinstall-150-windows-i586.cab
Path: C:\Archivos de programa\Java\jre1.5.0_08\bin\
Long name: NPJPI150_08.dll
Short name: NPJPI1~1.DLL
Date (created): 26/07/2006 2:03:18
Date (last access): 22/11/2006 12:16:48
Date (last write): 26/07/2006 2:17:56
Filesize: 69746
Attributes: archive
MD5: C10D603F2BD3B0A2EAC4EC5B743430D3
CRC32: 1EB99B36
Version: 5.0.80.3


Y, por último, en la opción BHOs, me salen dos con símbolo verde delante y tres sin él. Los copio a continuación:

{AA58ED58-01DD-4d91-8333-CF10577473F7} ()
BHO name:
CLSID name:
description: Google toolbar
classification: Open for discussion
known filename: googletoolbar.dll<br>googletoolbar*.dll<br>(* = number)<br>googletoolbar_en_*.**-big.dll<br>Googletoolbar_en_*.*.**-deleon.dll
info link: http://toolbar.google.com/
info source: TonyKlein


{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} ()
BHO name:
CLSID name:


{D84BE649-FD34-4942-8250-66A4F13F5A61} ()
BHO name:
CLSID name:


Comentar que he pasado varios productos antivirus, antispyware, antimalware e, incluso, dos escaneos online con Trend Micro y Bitdefender y ninguno ha detectado nada. Solamente salen en el Spybot-Search Destroy.

También comento que muchos de estos programas no puedo pasarlos en "Modo a prueba de fallos", porque los iconos y funciones de los programas se agrandan tanto que no me caben todas las opciones en la pantalla, con lo cual, muchos de ellos no me sirven para nada en este modo. Si hay alguna forma para resolver este problema agradeceré que me lo digáis.


Espero vuestras respuestas. Saludos

Por favor, a ver si alguien sabe resolver lo que expongo en mi primer mensaje. Gracias de antemano. Saludos

Hola,
Realiza lo siguiente:
Desactiva restaurar Sistema

Descarga y actualiza CWShredder

Descarga CCleaner y Regsseker

Reinicia en Modo Seguro

Ejecuta CWShrreder

Realiza una limpieza con CCleaner y Regsseker.

Descarga y ejecuta esta Herramienta (Para Netsky)

Me comentas.

¿Esta herramienta debo descargarla estando en "Modo seguro"? es que creo haber entendido que debe ser así.

Respecto al Ccleaner ya lo tengo instalado. También tengo el Tune Up Utilities 2006 ¿puedo hacer la limpieza del registro con él o descargo igualmente el Regsseker?

Gracias por tu respuesta. Saludos

Hola Salba

Ya seguí toda las instrucciones que me diste. El CWShredder, efectivamente, detectó un troyano CoolWebSearch y lo removió. Volví a escanear y dio limpio. Tras limpiar disco y registro ejecuté el Fx.Nestky, cuyo reporte pego a continuación. También dio limpio.

Symantec W32.Netsky FixTool 1.12.0


C:\System Volume Information: (not scanned)
W32.Netsky has not been found on your computer.


Lo curioso del caso es que en el Spybot siguen apareciendo como infectados los programas que motivaron que os pidiera ayuda. No sé si es que hay que borrarlos de allí. En caso de que haya que borrarlos, agradecería me explicaras cómo se hace, porque no sé si tengo que seleccionarlos y eliminarlos, una vez desmarcada su casilla, o al contrario, desmarcar todas las demás y dejar marcadas las que quiero eliminar.

Gracias por la respuesta. Saludos

holas...

<--- Paso 1 --->

Apaga Restaurar Sistema.
Ver archivos ocultos.
Reinicia a prueba de fallos.

<--- Paso 2 --->

Pasa tu Antivirus Actualizado. Si no tienes uno, descargatelo de aqui. Te recomiendo el NOD32.

<--- Paso 3 --->

Pasa 2 antivirus online el Ewido Scanner Online y Kaspersky Online Scanner. Si hay algo que no te eliminen lo pones aquí con su ruta completa.

Si es posible pega su Log completo aquí.

<--- Paso 4 --->

Reinicia el pc a modo normal. (Deshaz el "Reiniciar a prueba de Fallos")

<--- Paso 5 --->

Elimina todas las cuarentenas que tengas y vacia la papelera tambien.

Cuando termines los pasos Activa restaurar sistema y esconde los archivos ocultos...

De preferencia, imprime las indicaciones para que se te haga más fácil seguirlas.

Una vez eliminados los parásitos de su sistema le recomendamos, mantener su antivirus siempre actualizado, complementarlo con un antispyware como "SpyBot S&D" (residente en memoria) y "SpywareBlaster" al igual que instalar algún cortafuegos como Zone Alarm.


Recuerda volver y contarnos los resultados.

Saludos.

Hola escanea y dale a solucionar problemas a lo detectado con Spybot, seguramente son restos de alguna infección.
Los procesos qttasks.exe ( no confundir con qttask.exe) y ctfmon32.exe (no confundir con ctfmon.exe) son agregados por CoolWeb Search.

Como ves, son procesos con nombres similares a los regulares, precisamente para desorientar y confundir.

El otro proceso MsnMsgrs.exe es similar al normal MsnMsgr.exe, agregado por Netsky.

Dale a limpiar, realiza un nuevo escaneo, y como recomienda punkitaso, haz un escaneo on-line.

Saludos

Hola

He comprobado que los procesos son exactamente los que comentas que añade el CoolWebSearch. En la definición que hace el Spybot, están añadidos al nombre del archivo original. En mi primer mensaje los copié íntegramente.

Tengo que deciros que no puedo realizar los pasos que me recomienda punkitaso, porque, al poco de empezar a escanear el pc, comienza a sonar una alarma muy aguda que se apaga en cuanto doy a la pausa del escaneo o lo cancelo. Esto ya me pasó con los primeros pasos que me recomendastéis hacer, pero como el proceso era más corto, terminé de realizarlo con la alarma sonando. No me atrevo a hacerlo con pasos más largos , por miedo a que sea algo grave y se estropee la CPU. Si sabéis a qué puede ser debido, agradecería que me lo dijeráis.

Otra cosa extraña es que, al escanear con el Spybot en la opción "Analizar problemas" no me encuentra nada anómalo. Es en la opción "HERRAMIENTAS" "Inicio del sitema" donde salen los programas con las extensiones que comentas añadidas y, por tanto, infectados. He intentado buscar esas extensiones en las carpetas de "Archivos de programa", habiendo activado previamente la opción "Mostrar archivos y carpetas ocultos", y desactivado "Ocultar archivos protegidos del sistema" y "Ocultar las extensiones de archivo para tipos de archivos conocidos", pero no encuentro esas extensiones por ningún sito. La verdad es que me siento impotente ante los problemas que se me están planteando.

Saludos

Bueno, pero puedes hacer un scaneo con antivirus Online ??

De ser así hazlo, y déjanos el reporte.

Saludos.

Hola

Llevo intentando hacer varios escaneos (tanto online, como con mis propios programas) en "Modo a prueba de fallos", pero nada más comenzarlos empieza a sonar la alarma que os comenté; ahora ni siquiera se para cuando doy a la "pausa" del scanner. Así que he decidio que voy a llamar al técnico para tratar de solucionar ese problema y seguir después con la limpieza del CoolWebSearch.

En cuanto tenga el problema de la alarma resuelto seguiré haciendo las instrucciones que me distéis, a ver si consigo librarme del dichoso parásito.

Muchas gracias por vuestras respuestas. Saludos.