Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola! Acudo a ustedes porque me siento muy incapacitado para resolver este problema que parece ser tan común

He intentado todo lo que he podido. Primero con este tutorial, pero he tenido muchos problemas con lo de Iniciar a Modo de prueba de fallos y no conseguí encontrar el ptsnoop.exe

Luego lo intenté con el tutorial de aquí (este), pero tampoco. He pasado el Kill Box y el Adware...Con lo del Hijack me he hecho un lío tremendo, así que mejor os pongo el log, a ver si me podéis ayudar...

--------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 23:45:45, on 29/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\intel32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {05A1E1C8-7FD8-4CB3-A979-57403B76CF9A} - C:\WINDOWS\System32\srdlient.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: (no name) - {C2673015-3B30-45C0-9A1F-CA6A921070F8} - C:\WINDOWS\System32\ocmc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Sarki\CONFIG~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - Global Startup: Microsoft Office.lnk.disabled
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://web-url.de/cab/axload.cab
O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - http://www.zango.com/GetZango/Download/zangoax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O18 - Filter: text/html - {BD36587F-D30A-4E4A-90D8-7EAFBC9E8DD5} - C:\WINDOWS\System32\ocmc.dll
O18 - Filter: text/plain - {BD36587F-D30A-4E4A-90D8-7EAFBC9E8DD5} - C:\WINDOWS\System32\ocmc.dll
O20 - AppInit_DLLs: PAVWAIT.DLL
O20 - Winlogon Notify: style2 - C:\WINDOWS\q35547905_disk.dll
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

--------------------------------------------------------------------------

¡¡Gracias por adelantado!!

EDIT - Se me olvidó mencionar dos cosas. La primera es que no me deja pasar antivirus online porque dice que la configuración actual no permite el uso de ActiveX o algo así.

La segunda es que ya no sale el fondo azul ese, sino que ahora ya he podido cambiarlo, pero de todos modos, sólo lo he podido hacer a través del Administrador de Tareas/Ejecutar/explorer, y que al cabo de unos segundos el explorer vuelve a irse (pero la imagen del fondo de escritorio queda allí).

Hola, te doy la bienvenida al Foro de InfoSpyware, seguí estos pasos.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {05A1E1C8-7FD8-4CB3-A979-57403B76CF9A} - C:\WINDOWS\System32\srdlient.dll

O2 - BHO: (no name) - {C2673015-3B30-45C0-9A1F-CA6A921070F8} - C:\WINDOWS\System32\ocmc.dll

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Sarki\CONFIG~1\Temp\se.dll,DllInstall

O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe

O4 - Global Startup: Microsoft Office.lnk.disabled

O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://web-url.de/cab/axload.cab

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - http://www.zango.com/GetZango/Download/zangoax.cab

O18 - Filter: text/html - {BD36587F-D30A-4E4A-90D8-7EAFBC9E8DD5} - C:\WINDOWS\System32\ocmc.dll

O18 - Filter: text/plain - {BD36587F-D30A-4E4A-90D8-7EAFBC9E8DD5} - C:\WINDOWS\System32\ocmc.dll

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Paso 3- Sin reiniciar, descarga el programa "KillBox" y siguiendo las indicaciones del mensajes, copia y pega estos archivos de a uno para que los elimine al reiniciar.

C:\WINDOWS\svcproc.exe
C:\WINDOWS\System32\ocmc.dll
C:\WINDOWS\System32\intel32.exe
C:\DOCUME~1\Sarki\CONFIG~1\Temp\se.dll

Paso 4- Descarga y ejecuta la herramienta NailFix.bat

Paso 5- Usa el Disk Cleaner para limpiar cookies y temporales

Paso 6- Reinicia y después nos contas los resultados.

Salu2

Buenas, (y gracias)

He hecho todo lo que decías y sigue absolutamente igual, excepto que al principio, antes de que el explorer se marche, me ha aparecido una ventana de error diciéndome:

C:\DOCUME~1\Sarki\CONFIG~1\Temp\se.dll

No se puede encontrar el módulo especificado.

Eso es uno de los ficheros que me has recomendado borrar con el KillBox

Os dejo el log recién generado:

--------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 00:40:00, on 06/30/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Sarki\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9819DD8E-0D65-49F1-BFDE-5EAD56496FCD} - C:\WINDOWS\System32\ocmc.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Sarki\CONFIG~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [atiupdpl] C:\WINDOWS\System32\atiupdpl.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {86D595E2-11B4-4AD9-A51D-38D263A0B01B} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {86D595E2-11B4-4AD9-A51D-38D263A0B01B} - (no file) (HKCU)
O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Filter: text/html - {D29DA430-96A0-4B7D-9A5A-5F947736788A} - C:\WINDOWS\System32\ocmc.dll
O18 - Filter: text/plain - {D29DA430-96A0-4B7D-9A5A-5F947736788A} - C:\WINDOWS\System32\ocmc.dll
O20 - AppInit_DLLs: PAVWAIT.DLL
O20 - Winlogon Notify: style2 - C:\WINDOWS\q35547905_disk.dll
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

--------------------------------------------------------------------------

Por cierto, ¿era necesario ejecutar el NailFix desde el modo a prueba de fallos?

¡Gracias!

Hola, trata de seguir todos los pasos y eliminar las entradas que te marco si queres limpiar correctamente tu sistema.

Pasale el NailFix.bat y para el SE.dll aca tenes el articulo completo con las entradas que tenes que borrar y una herramienta que te puede ayudar para hacerlo de forma autoamtica Eliminar SE.dll

Salu2

Buenas de nuevo.

Lo primero que he hecho es volver a pasar el HijackThis un par de veces hasta que han quedado fuera del log todas las entradas que me citabas, excepto la 23.

Luego he vuelto a pasar el KillBox, lo cual ha sido de poca ayuda porque me decía que ya estaban borrados.


He reiniciado a modo seguro, y allí he ejecutado otra vez el HijackThis para encontrar las dos entradas (según esto), pero no había ninguna de las dos. Además, las entradas de R1 han vuelto a aparecer. Posteriormente le he pasado el Nailfix.bat (recordad, a modo seguro). Luego he buscado el archivo Nail.exe, pero tampoco lo he visto (y obviamente, he activado lo de ver todos los archivos ocultos y tal). Para finalizar, he intentado pasar el Disk Cleaner (aunque no ha sido posible del todo), y he vuelto al modo "normal".

El problema se puede decir que persiste, pero como curiosidad, decir que cambié el fondo de pantalla del escritorio y éste se mantiene tal y como lo he puesto.

El log actual es este:

--------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 1:14:11, on 30/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Usuario\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9819DD8E-0D65-49F1-BFDE-5EAD56496FCD} - C:\WINDOWS\System32\ocmc.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O20 - AppInit_DLLs: PAVWAIT.DLL
O20 - Winlogon Notify: style2 - C:\WINDOWS\q35547905_disk.dll
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

--------------------------------------------------------------------------

Como ves, sólo se quedan el 23 y los R1, que siempre vuelven a aparecer después de cada reinicio.

¿Qué podría hacer ahora? ¿Paso ahora lo del se.dll? ¿O lo dejo para más tarde?

¿Y con las entradas R1? ¿Voy quitándolas siempre?

¡¡Gracias!!

EDIT - Mientras esperaba, he probado de hacer un scan online, ¡¡y ya funcionan!! He pasado el de trend, dice que me ha eliminado dos spywares, pero que ha encontrado 45 vulnerabilidades...

Me dispongo a pasar los demás scans...

Hola el tema es que tenes dos de los mas pegajosos malwares juntos que son el Nail y SE.dll por lo que tenes que tratar de hacer los pasos de los dos articulos en conjunto para poder limpiar definitivamente tu sistema.

Salu2