|
| |||||||
 | Registrarse | Lista de usuarios | AntiSpywares | AntiVirus | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
| | Herramientas |
 | 
13/02/05, 16:37:30
|  |
| |||
| Un aplauso para ustedes... De verdad muchachos, se lo merecen  por la infinita paciencia, dedicación y conocimientos demostrados en este Foro.Desgraciadamente soy uno mas de las victimas aca reunidas. Les describo mi problema: (es, segun veo, casi típico) 1.- Pagina de inicio en about:blank con un directorio de paginas (Pornos y no ) 2.- Aviso de Microsoft sobre que tengo el " sspmydoom.cih " y de que alguien está tratando de espiarme a travez del port 245 3.- Hasta ayer a cada rato salia una publicidad sobre no se que antivirus 4.- En "preferidos" tengo una carpeta con 30 paginas y tres paginas sueltas (ovbiamente pornos) que se pusieron solas y que he borrado 15 veces pero vuelven a aparecer. Que he hecho hasta ahora: 1.- En "Opciones de Internet" he tratado de reconfigurar la pagina de inicio (sin resultados) 2.- He escaneado con el Symantec (que está actualizado) y los virus que encontró los mandó a cuarentena desde donde los borré. No encontró el "sspmydoom.cih" (De hecho, entre su listado de virus no está pese a buscarlo por otros nombres) 3.- En "opciones de Internet" borré archivos temporales y cookies. 4.- Un amigo me pasó el Ad-Aware SE Professional y he escaneado ya 5 veces y en todas las ocaciones aparencen diferentes numero de "arañitas" (entre 17 y 41). Todas las veces la he borrado. Alli me avisó de que tenía el "Win 32. Trojan Downloader. Agent.al" alojado en C\Windows\Sistem 32\ mfckc 32 Exe. Después del ultimo escaneo desaparecio esta aplicación pero no los problemas. Les mando el Log porque me imagino que cada caso tiene un procedimiento distinto ... y por eso no he realizado ninguna de las acciones que ustedes han aconsejado a otras personas. Logfile of HijackThis v1.99.0 Scan saved at 18:33:31, on 13-02-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Archivos de programa\MSN Messenger\msnmsgr.exe C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe C:\WINDOWS\explorer.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\WINDOWS\system32\atlvk.exe C:\Documents and Settings\casa\Mis documentos\My Received Files\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ouzme.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bhoxf.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dzhxj.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ouzme.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oqjmb.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bhoxf.dll/sp.html#12345 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bhoxf.dll/sp.html#12345 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {E2EFF47C-CEA2-977D-C18B-68F6CAB7C5FD} - C:\WINDOWS\syscc32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es-la\msntb.dll O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe" O4 - HKLM\..\Run: [CTStartup] C:\Archivos de programa\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe" O4 - HKLM\..\Run: [46.tmp] C:\DOCUME~1\casa\CONFIG~1\Temp\46.tmp.exe 4 10001 O4 - HKLM\..\Run: [tibs5] C:\WINDOWS\System32\tibs5.exe O4 - HKLM\..\RunOnce: [ipds.exe] C:\WINDOWS\system32\ipds.exe O4 - HKLM\..\RunOnce: [d3vp.exe] C:\WINDOWS\d3vp.exe O4 - HKLM\..\RunOnce: [winyx.exe] C:\WINDOWS\winyx.exe O4 - HKLM\..\RunOnce: [mfckc32.exe] C:\WINDOWS\system32\mfckc32.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab34246.cab O16 - DPF: {CAFECAFE-0013-0001-0008-ABCDEFABCDEF} (JInitiator 1.3.1.8) - http://www.autor.cl/forms90/jinitiator/jinit.exe O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\msug.exe (file missing) Bueno... Espero que puedan ayudarme en esto. Mientras tanto creo que voy a resguardar mis cosas porque me tinca q voy a tener que reformatear todo... (espero equivocarme) Graciaaaaaas!!!!!     |
|
13/02/05, 16:53:00
| |
| ||||
 Re: Un aplauso para ustedes... Hola Bueno, los formateos son siempre una buena opción dado que te permiten iniciar desde cero y empezar protegiendo el sistema en vez de repararlo, pero de todas formas, veamos que tienes. Empezaremos diciendo que deberías tener actualizado el sistema, así que trata de ir al windowsupdate e instalar las actualizaciones del explorer y del sistema que tengas pendientes. Deberás marcar estas entradas para reparar: C:\WINDOWS\system32\atlvk.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ouzme.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bhoxf.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dzhxj.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ouzme.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oqjmb.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bhoxf.dll/sp.html#12345 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bhoxf.dll/sp.html#12345 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {E2EFF47C-CEA2-977D-C18B-68F6CAB7C5FD} - C:\WINDOWS\syscc32.dll O4 - HKLM\..\Run: [46.tmp] C:\DOCUME~1\casa\CONFIG~1\Temp\46.tmp.exe 4 10001 O4 - HKLM\..\Run: [tibs5] C:\WINDOWS\System32\tibs5.exe O4 - HKLM\..\RunOnce: [ipds.exe] C:\WINDOWS\system32\ipds.exe O4 - HKLM\..\RunOnce: [d3vp.exe] C:\WINDOWS\d3vp.exe O4 - HKLM\..\RunOnce: [winyx.exe] C:\WINDOWS\winyx.exe O4 - HKLM\..\RunOnce: [mfckc32.exe] C:\WINDOWS\system32\mfckc32.exe O16 - DPF: {CAFECAFE-0013-0001-0008-ABCDEFABCDEF} (JInitiator 1.3.1.8) - http://www.autor.cl/forms90/jinitiator/jinit.exe O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\msug.exe (file missing) Deberás borrar estos archivos y carpetas: C:\WINDOWS\system32\atlvk.exe C:\WINDOWS\ouzme.dll C:\WINDOWS\system32\bhoxf.dll C:\DOCUME~1\casa\CONFIG~1\Temp\ (borra todo lo que esté aquí dentro) C:\WINDOWS\System32\tibs5.exe C:\WINDOWS\system32\ipds.exe C:\WINDOWS\d3vp.exe C:\WINDOWS\winyx.exe C:\WINDOWS\system32\mfckc32.exe Para borrar algunas cosas, deberás tener activada la opción de ver archivos ocultos y de sistema. Si tienes algún problema por tener procesos ejecutándose, puedes usar el Process Explorer, este te mostrará todos los procesos en ejecución y te permitirá cerrarlos. En principio,podrías tratar de cerrarlo con e ladministrador de tareas, pero si este falla, usa la opción que te doy. Recuerda hacer las reparaciones en modo seguro, con los programas cerrados y con la restauración del sistema desactivada. No pareces tener un firewall instalado, sería bueno que usaras alguno, puedes usar opciones gratuitas, por ejemplo el sygate personal firewall Bueno, ya nos contarás como te va. Felicidad
__________________ Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
13/02/05, 18:29:42
| |
| |||
| Re: Un aplauso para ustedes... Pato... Mira... el service pack 2 no lo puedo instalar porque tengo win sin licencia. Con respecto al Explorer... pues ... me pondré en campaña y buscaré en el google si existen.. (no sabia q habia q actualizar el Explorer tambien :eek: ) Mi problema mayor esta en relación a lo que tu te refieres con:"Deberás marcar estas entradas para reparar"... Disculpa... pero no tengo ni la menor idea de donde debo reparar... es con algún programa o que?... plz.. explicame eso. ... y lo otro es que con respecto a borrar estos archivos y carpetas... me imagino que deberé borrar TODAS las carpetas que me dices (exceptuando a la de "archivos temporales") o de todas ellas solo deberé borrar lo que está adentro sin botar la carpeta????... y...lo hago manualmente???? Oye... te pasaste pa ser rapido en la respuesta... muchas gracias por eso... muchas gracias. |
|
13/02/05, 20:07:36
| |
| ||||
| Re: Un aplauso para ustedes... Bueno las entradas que te marcan a eliminar son las correctas pero te pongo los pasos de otra manera a ver si te quedan un poco mas claro. Empeza presionado Ctrl+Shift+Esc y si esta este proceso abierto "atlvk.exe" cortalo para despues realizar estos pasos. 1- Apaga el "Restaurar Sistema" 2- Prende la opción de "Ver archivos ocultos y del sistema" 3- Con todos los programas cerrados ejecuta el HijackThis y dale  a estas entradas:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ouzme.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bhoxf.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dzhxj.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ouzme.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oqjmb.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bhoxf.dll/sp.html#12345 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bhoxf.dll/sp.html#12345 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {E2EFF47C-CEA2-977D-C18B-68F6CAB7C5FD} - C:\WINDOWS\syscc32.dll O4 - HKLM\..\Run: [46.tmp] C:\DOCUME~1\casa\CONFIG~1\Temp\46.tmp.exe 4 10001 O4 - HKLM\..\Run: [tibs5] C:\WINDOWS\System32\tibs5.exe O4 - HKLM\..\RunOnce: [ipds.exe] C:\WINDOWS\system32\ipds.exe O4 - HKLM\..\RunOnce: [d3vp.exe] C:\WINDOWS\d3vp.exe O4 - HKLM\..\RunOnce: [winyx.exe] C:\WINDOWS\winyx.exe O4 - HKLM\..\RunOnce: [mfckc32.exe] C:\WINDOWS\system32\mfckc32.exe O16 - DPF: {CAFECAFE-0013-0001-0008-ABCDEFABCDEF} (JInitiator 1.3.1.8) - http://www.autor.cl/forms90/jinitiator/jinit.exe O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\msug.exe (file missing) 4- Busca y elimina estos archivos manualmente C:\WINDOWS\system32\atlvk.exe 5- Usa el Disk Cleaner para limpiar cookies y temporales 6- Pásale Ad-Aware SE actualizado. 7- Reinicia y después nos contas los resultados. Salu2
__________________ Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
14/02/05, 00:05:40
| |
| |||
| Re: Un aplauso para ustedes... Bueno... Es el fin  Estoy ahora en el pc de mi hija porque el otro está como loco... lento y ademas salen y salen avisos de Symantec. Cuando me escribiste que le diera a un numero de entradas, pues te contaré que casi la mitad de ellas no aparecieron el el listado. Igual le hice a las que encontré y luego puse el limpiador... y allí quedó la grande... salian y salian propagandas y enlaces de paginas... fue pa la risa aunque ahora lloro la situación.Como ultima movida voy a ver si Symantec me puede remover un "Trojan admincash". (La esperanza es lo último que se pierde) Por suerte alcancé a grabar cosas mas o menos importantes q tenia a modo de respaldo. De todas maneras quiero agradecerles la atención... y aunque no pudimos arreglar el problema sus rapidas respuestas hacen que uno no se sienta solo y botado en estos problemas. De verdad muchas gracias y pa cuando tenga mi nuevo Win (espero entre el martes o el miercoles) les escribo y ademas pongo en "favoritos"... uno nunca sabe!! (11) Buena suerte.  |
|
| Herramientas | |
| | |||||
