Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola gente del foro, vengo a comentarles un problema que tengo hace unos dias. Al entrar en www.yahoo.com.ar o www.yahoo.com me tarda un monton en cargar las cosas (se termina trabando, sin cargar nada). Las otras paginas me cargan correctamente y rapido, tengo una conexion de cablemodem asi que no creo q sea un problema de velocidad. Les dejo a continuaciuon mi log de hijackthis a ver si me pueden ayudar...desde ya muchas gracias.

Logfile of HijackThis v1.99.1
Scan saved at 09:29:56 p.m., on 29/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wisptis.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Drivers\viruses y demas\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com.ar/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com.ar/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{9696B36A-571B-44A7-8033-B282DF8B0DDE}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CS1\Services\Tcpip\..\{9696B36A-571B-44A7-8033-B282DF8B0DDE}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CS2\Services\Tcpip\..\{9696B36A-571B-44A7-8033-B282DF8B0DDE}: NameServer = 69.50.184.84,195.225.176.37
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hola

Parece que no estás usando firewall en tu sistema, te recomiendo esto:
Sygate Personal Firewall

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado. Empieza inmediatamente con la instalación del Windows XP Service Pack 1a, luego instala los parches de seguridad y las actualizaciones del explorer.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
4. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Dberías desinstalar el flash get, en su lugar, puedes utilizar el TrueDownloader.

Deberás marcar estas líneas en el Hijackthis para reparar:

• O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B" title="Safe">A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Spybot Search and Destroy
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Tu reporte es extrañamente corto; no muestra nada inadecuado, ejecuta las herramientas que te menciono y luego nos cuentas como va el tema.

Felicidad

Gracias por la ayuda, saque un monton de basura q tenia con esos programas, pero no pude solucionar la cosa esa de yahoo, nose que pasa, ademas cada vez q predo la maquina me aparece una nueva carpeta llamada link en favoritos. Leí un post de un pibe q le paso lo mismo con esta carpeta, pero no me soluciono el problema lo que le dijeron a él. Les pongo otra vez el logfile de hijackthis a ver si me pueden ayudar. GRACIASSS!

Logfile of HijackThis v1.99.1
Scan saved at 10:14:45 p.m., on 01/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\rsvp.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Drivers\viruses y demas\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com.ar/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com.ar/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Archivos de programa\TrueDownloader\TrueDownloader.htm
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{9696B36A-571B-44A7-8033-B282DF8B0DDE}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CS1\Services\Tcpip\..\{9696B36A-571B-44A7-8033-B282DF8B0DDE}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CS2\Services\Tcpip\..\{9696B36A-571B-44A7-8033-B282DF8B0DDE}: NameServer = 69.50.184.84,195.225.176.37
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

Hola

Bueno, veo que aun no has actualizado tu sistema, no dejes pasar más tiempo con eso o seguirás con montones de problemas y siendo blanco potencial de ataques.

Una vez hayas actualizado, nos cuentas como va el tema.

Felicidad

mi problema es q cuando quiero instalar el SP1 me dice algo de la key q no es válida...

Hmmm

Es raro que falle con el service pack 1, asegúrate de que no estabas tratando de instalar el sp2.

De todas formas, si no puedes, al menos instala las otras actualiszaciones, las más pequeñas del windowsupdate, estas tapan montones de huecos de seguridad.

Luego nos cuentas como va el sistema.

Felicidad

aca ya hice todo lo q me dijiste, pero me sigue sin entrar yahoo...sin cargar las cosas. La carpeta q se me crea en favortitos "links" no se me crea mas, pero sigo con lo de yahoo. Espero q me ayudes, aca te dejo el log otra vez.


Logfile of HijackThis v1.99.1
Scan saved at 09:06:54 p.m., on 06/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Messenger\MSMSGS.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Drivers\viruses y demas\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com.ar/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Archivos de programa\TrueDownloader\TrueDownloader.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120523171503
O17 - HKLM\System\CCS\Services\Tcpip\..\{9696B36A-571B-44A7-8033-B282DF8B0DDE}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CS1\Services\Tcpip\..\{9696B36A-571B-44A7-8033-B282DF8B0DDE}: NameServer = 69.50.184.84,195.225.176.37
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

Hola

de tu reporte solo veo que puedas reparar esta línea:
O20 - AppInit_DLLs: MsgPlusLoader.dll

¿podrías decirnos el contenido de esa carpeta links que te aparece?

Tras esa pequeña reparación, ejeucta estas herramientas, algunas ya las has ejecutado, pero aun así deberías hacerlo otra vez ya que pueden aparecer nuevas cosas:

• Ad-aware SE
• Disck Cleaner
• Microsoft AntiSpyware
• Spybot Search and DestroyMicrosoft AntiSpyware
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Luego nos cuentas con más detalles los síntomas y lo de la carpeta, y vemos una nueva forma de enfocar el tema.

Felicidad

hola de nuevo. Hice todo lo que me dijiste pero no me soluciono el problema. La carpeta q se me crea en favortios cada vez q prendo la maquina se llama "LINKS" pero no tiene nada adentro (vacio), y yahoo tampoco me carga.te dejo a continuacion el log de hijackthis.saludos.

Logfile of HijackThis v1.99.1
Scan saved at 02:42:53 a.m., on 10/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Drivers\viruses y demas\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Archivos de programa\TrueDownloader\TrueDownloader.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120523171503
O17 - HKLM\System\CCS\Services\Tcpip\..\{9696B36A-571B-44A7-8033-B282DF8B0DDE}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CS1\Services\Tcpip\..\{9696B36A-571B-44A7-8033-B282DF8B0DDE}: NameServer = 69.50.184.84,195.225.176.37
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

Hola

Bueno, veo que has ido actualizando el sistema, eso está perfecto ¿has instalado los parches además del Service Pack?

Para ver el problema, necesitamos, por ahora, dos reportes más, uno generado con el Cwshredder y uno con el MWAV.exe.

EL segundo que te menciono, genera un reporte muy grande, no lo quiero todo, solo las líneas que aparezcan con las palabras "infected" o tagged".

Estaremos pendientes.

Felicidad