Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos del foro!!!. Tengo un problema ya que se me instaló un spyware que me cambia la página de inicio. La página que me abre es http://searchweb2.com además de favoritos que no puedo borrar y publicidad se aparece de repente. A diferencia de una vez anterior en que ya les pedi ayuda, no se como hacerlo, ya que los datos que me arroja el hijackthis no son compatibles con los que tengo.
Aparte de este problema, cada vez que enciendo el PC y abro explorer, se me abre una banda azul en la zona de abajo de la pantalla, que tampoco la puedo eliminar.
Les dejo el hijackthis por favor para ver si me pueden ayudar, ya que ahora quedé pilla.
De antemanos muchas gracias

Logfile of HijackThis v1.99.1
Scan saved at 1:06:18, on 14/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\EPSON\ESM2\eEBSVC.exe
C:\WINNT\System32\svchost.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINNT\system32\VTTimer.exe
C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe
C:\Archivos de programa\Archivos comunes\ACD Systems\EN\DevDetect.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\Internet Security 2005\pccguide.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\EPSON\ESM2\Stms.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\Archivos de programa\MultiKeyboard Driver\KbdDrv.exe
C:\WINNT\system32\wuauclt.exe
c:\archiv~1\intern~1\iexplore.exe
C:\WINNT\system32\ntvdm.exe
C:\ARCHIV~1\OPLIMIT\ocrawr32.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Archivos de programa\HjThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.smpcryyblxwlpzvr.com/BtBNmxv4Rh5wpbNBLBFWB59u
HP2QfgLPL9gKgno1x/p8LWFK1IlrVZ3nvTa0NisV.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dqarmrwkfz.org/BtBNmxv4Rh4uiJIgRKth5ifloHfbtAFOyTs2E
HPt4tQ.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [2 DEFAULT VGA COAL] C:\Documents and Settings\All Users\Datos de programa\Stop boob 2 default\AUDIO AMEN.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [date long warn mode] C:\Documents and Settings\All Users\Datos de programa\MeetPileDateLong\sixthdrv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [peak ford] C:\DOCUME~1\ALEJAN~1\DATOSD~1\UPJOY~1\The Browse.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: MutiKeyboard Driver.lnk = C:\Archivos de programa\MultiKeyboard Driver\KbdDrv.exe
O4 - Startup: OCRAWARE.lnk = C:\Archivos de programa\OPLIMIT\OCRAWARE.EXE
O4 - Global Startup: EPSON Monitorización en segundo plano.lnk = C:\Archivos de programa\EPSON\ESM2\Stms.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\EPSON\ESM2\eEBSVC.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe



chao que estén bien
ale

Hola

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
3. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Te recomiendo que desinstales el mssenger plus.

Deberás marcar estas líneas en el Hijackthis para reparar:

• O4 - HKLM\..\Run: [date long warn mode] C:\Documents and Settings\All Users\Datos de programa\MeetPileDateLong\sixthdrv.exe

Si los encuentras, deberás borrar estos archivos y carpetas:

• C:\Documents and Settings\All Users\Datos de programa\MeetPileDateLong\sixthdrv.exe

Esto no lo conozco, deberás revisar sus propiedades y ver si pertenece a algo que hayas instalado, si no es así, renómbralo y observa el funcionamiento de tu sistema durante un par de días, si nada va mal, bórralo. Si sabes que es o tiene alguna información que nos pueda servir, te la agradeceremos. Si no te suena de nada y quieres saber si es un código malicioso, puedes hacerlo analizar en esta página.

• C:\Documents and Settings\All Users\Datos de programa\Stop boob 2 default\AUDIO AMEN.exe

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Cwshredder
• Disck Cleaner
• Microsoft AntiSpyware
• Spybot Search and DestroyMicrosoft AntiSpyware
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Tu reporte no muestra mucho inadecuado, ejecuta las herramientas que te menciono y después nos cuentas como te va.

Felicidad

Hola que tal, cómo están???
Hice todo lo que me dijeron, y hasta ahora no he tenido ningún problema, pero cuando volvi a analizar con HijackThis, me aperecen en la página de inicio el mismo nombre del spyware que tenía anteriormente. Es por ello que me quedó la duda de si lo hice todo bien o no?, por lo tanto les vuelvo a pegar el log para quedarme más tranquila por favor.
Con respecto a esa carpeta que me mencionaste: C:\Documents and Settings\All Users\Datos de programa\Stop boob 2 default\AUDIO AMEN.exe

la verdad es que no tengo idea qué es, traté de investigar pero no conseguí nada, será ese archivo el que aparece en el log???. Decidi analizarlo en la pagina que me diste, y esto apareció:

Este es el resultado de analizar el archivo "AUDIO_AMEN.exe" que VirusTotal ha procesado el dia 17/07/2005 a las 00:07:51 (CET).
Antivirus Version Actualización Resultado
AntiVir 6.31.0.9 16.07.2005 no ha encontrado virus
AVG 718 16.07.2005 no ha encontrado virus
Avira 6.31.0.9 16.07.2005 no ha encontrado virus
BitDefender 7.0 16.07.2005 no ha encontrado virus
CAT-QuickHeal 7.03 16.07.2005 (Suspicious) - DNAScan
ClamAV devel-20050501 16.07.2005 no ha encontrado virus
DrWeb 4.32b 15.07.2005 Trojan.Swizzor
eTrust-Iris 7.1.194.0 15.07.2005 no ha encontrado virus
eTrust-Vet 11.9.1.0 15.07.2005 no ha encontrado virus
Fortinet 2.36.0.0 15.07.2005 suspicious
F-Prot 3.16c 15.07.2005 no ha encontrado virus
Ikarus 2.32 15.07.2005 AdWare.Lop.J
Kaspersky 4.0.2.24 16.07.2005 not-a-virus:AdWare.Lop.p
McAfee 4536 15.07.2005 no ha encontrado virus
NOD32v2 1.1170 15.07.2005 Win32/TrojanDownloader.Swizzor
Norman 5.70.10 14.07.2005 no ha encontrado virus
Panda 8.02.00 16.07.2005 Adware/Lop
Sybari 7.5.1314 16.07.2005 no ha encontrado virus
Symantec 8.0 16.07.2005 no ha encontrado virus
TheHacker 5.8.2.071 16.07.2005 no ha encontrado virus
VBA32 3.10.4 15.07.2005 AdWare.Lop.p


Bueno aqui va el log ya que antes de aventurarme a hacer cualquier cosa, prefiero tener su opinión. De antemano muchas gracias

Logfile of HijackThis v1.99.1
Scan saved at 18:09:23, on 16/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\EPSON\ESM2\eEBSVC.exe
C:\WINNT\System32\svchost.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINNT\Explorer.EXE
C:\ARCHIV~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\WINNT\system32\VTTimer.exe
C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe
C:\Archivos de programa\Archivos comunes\ACD Systems\EN\DevDetect.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\EPSON\ESM2\Stms.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\Archivos de programa\MultiKeyboard Driver\KbdDrv.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\ntvdm.exe
C:\ARCHIV~1\OPLIMIT\ocrawr32.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\HjThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bocuypwdms.com/BtBNmxv4Rh...3nvTa0NisV.jsp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.terra.cl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [2 DEFAULT VGA COAL] C:\Documents and Settings\All Users\Datos de programa\Stop boob 2 default\AUDIO AMEN.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: MutiKeyboard Driver.lnk = C:\Archivos de programa\MultiKeyboard Driver\KbdDrv.exe
O4 - Startup: OCRAWARE.lnk = C:\Archivos de programa\OPLIMIT\OCRAWARE.EXE
O4 - Global Startup: EPSON Monitorización en segundo plano.lnk = C:\Archivos de programa\EPSON\ESM2\Stms.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\EPSON\ESM2\eEBSVC.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Espero su respuesta por favor!!!!


PD: NO DESINTALE EL MSN PLUS, PERO ESTÁ INSTALADO CON LA OPCIÓN QUE NO PERMITE EMITIR PUBLICIDAD!!!!

Hola, si continuas todavia con problemas dejanos un nuevo reporte de HijackThis en este mismo mensaje.

Salu2