Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Me pasa mas o menos igual que a todo el mundo que he visto por aqui.
Me aparece una pagina de inicio cambiada, paginas de busqueda no deseadas ... A ver si alguien me puede echar una mano.
Normalmente uso el spyware nuker 2005, pero esta vez me salen los mismos archivos cada vez que enciendo el equipo.
¿ Que medidas preventivas puedo tomar? Gracias.


Logfile of HijackThis v1.99.0
Scan saved at 17:30:10, on 13/02/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\IPFK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\CTHELPER.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\IPDA.EXE
C:\ARCHIVOS DE PROGRAMA\WINPOET BROADBAND CONNECTION\WINPPPOVERETHERNET.EXE
C:\ARCHIVOS DE PROGRAMA\TELEFONICA\KIT ADSL USB\DSLMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qpffo.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {71849A64-EB27-1029-8F9D-70E8D4CF1707} - C:\WINDOWS\APIZH.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\ARCHIVOS DE PROGRAMA\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [IPDA.EXE] C:\WINDOWS\SYSTEM\IPDA.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Spyware Nuker] C:\Archivos de programa\Spyware Nuker 2004\swn2.exe /h
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET Broadband Connection\winpppoverethernet.exe"
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [IPFK.EXE] C:\WINDOWS\IPFK.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Hola

El spyware nuker 2005, es un falso antispyware mirate esto

Listado de Falsos Antivirus / Falsos Antispywares / "Rogue" (Actualizado al 01/9/09)

Un saludo

Hola

Bueno, veamos que tienes en ese log...



Empezarremos con que no conozco esto:
C:\WINDOWS\IPFK.EXE
C:\WINDOWS\SYSTEM\IPDA.EXE
Deberías pedir las propiedades del archivo y si no es de algo que tú conozcas y hayas instalado, deberías eliminarlo, si sabes de que es, por favor avísanos.

Si finalmente borras esos archivos, marca las entradas correspondientes en el hijack para reparar.


Deberás marcar estas entradas en el hijackthis para reparar:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qpffo.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Spyware Nuker] C:\Archivos de programa\Spyware Nuker 2004\swn2.exe /h
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)


Deberás borrar estos archivos y carpetas:
C:\WINDOWS\qpffo.dll

Desinstala el spy nuker

Para poder encontrar los archivos que te menciono, deberás estar seguro de poder ver los archivos ocultos y de sistema.

Deberás buscar tu archivo hosts dentro de la carpeta windows, una vez lo localices, ábrelo con el block de notas y elimina todas las entradas que veas, deja solo esta:
127.0.0.1 localhost

También deberás descargar y ejecutar el tz-kill, lo localizas aquí

Después deberías ejecutar el ad-aware y el spybot para buscar cualquier cosa que se le haya podido escapar al hijackthis.

También deberías ejecutar al menos dos de los análisis antivirus que te proponemos aquí.

Y sería muy recomendable que instalar un firewall, por ejemplo el sygate personal firewall.

Bueno, ya nos contarás como va la cosa.

Felicidad