Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola,

como antivirus utilizo el Nod32, el cual dice que no hay virus etc. Ad-Aware,Spybot y Microsoft AntiSpyware no encuentran tampoco nada - a-squared y ewido lo mismo (nada)...

Sin embargo, si paso el Panda ActiveScan on-line dice que tengo el
Home Search Asisstant.
La verdad es que no noto nada extraño - no aparecen ventanas de publicidad, no se han agregado nuevos programas, la página de inicio tampoco ha cambiado....pero cada vez que paso el online scan de Panda aparece el aviso de que tengo el Home Search Asisstant...

He descargado la herramienta HSRemove.exe (de este foro) que encuentra y remueve 8 items, pero si la vuelvo a pasar vuelven a aparecer los 8 items; es decir: parece que no sirve.
Y el ActiveScan de Panda sigue indicando que tengo el spyware Home Search Asisstant...

No sé si tengo dicho spyware o no, ya que podría tratarse también de una falsa alarma del Panda on-line (lo extraño es que siempre aparezca).

¿Qué se puede hacer en este caso?

Hola 696,Bienvenido a Infospyware.

Puedes poner un log del *HijackThis aqui para analizarlo

Momentos antes de ponerlo, le pasas el * RegSeeker para limpiar el registro y su manual pasalo varias veces hasta q ya no te salga nada. Y acontinuación lo pones.

saludos

Hola, aquí os pongo el logfile actual de HijackThis:
(no he utilizado el reg seeker, sino Reg Supreme, ya que me pareció algo más seguro):

Logfile of HijackThis v1.99.1
Scan saved at 17:43:52, on 16/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\vssvc.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\ARCHIV~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\Mis descargas\FreeRAM XP Pro 1.40.exe
C:\Archivos de programa\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\ARCHIV~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Archivos de programa\HJT\HijackThis.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.beep.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 205.242.0.19:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Mis descargas\FreeRAM XP Pro 1.40.exe" -win
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Archivos de programa\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.beep.es
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120587034937
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4484/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{613CC4F4-117C-43C9-A969-2DCFE32FC34E}: NameServer = 193.152.63.197,194.179.1.100
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Unknown owner - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

Hola 696

Sobre el SinEspias,deverias de leer todo esto y pulsar en los enlaces q hay.

El FreeRAM XP,tambien se carga al arranque del sistema y no tiene porqué hacerlo.

Esta son las 2 entradas q hay un tanto sospechosas. Si decides eliminarlas sigues éstos pasos.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

*Ver archivos ocultos en todos los Windows

*Apagar Restaurar Sistema (Systema Restore)

*Reinicia el PC en Modo a prueba de fallos

Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKCU\..\Run: [FreeRAM XP] "C:\Mis descargas\FreeRAM XP Pro 1.40.exe" -win

Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\Archivos de programa\SinEspias\no-spy.exe /autorun
C:\Mis descargas\FreeRAM XP Pro 1.40.exe -win

Utiliza ahora el HSRemover

Pasa estas herramientas:

*Ad-Aware 1.06 SE Personal

*Disk Cleaner para limpiar cookis y temporales

El Reg Supreme

Te instalas el *SpywareBlaster 3.4 manual

Reinicia y te conectas a la red.

Pones otro log para ver como esta todo y nos cuentas los resultados.

saludos

Hola NeoByte,

muchas gracias por tus propuestas, pero creo que ya no son necesarias - el Panda ActiveScan on-line ya NO detecta el Home Search Asisstant

El programa SinEspías (sólo la versión gratuita de prueba) lo descargué para ver lo que encontraba - TAMPOCO encontró el Home Search...
Me parece muy bien que me comuniques que el SinEspías era considerado hasta hace poco un AntiSpyware no confiable, pero eso ya lo sabía...lo comunica el profesor Eric L. Howes en su sitio Spyware Warrior...
En nuevos estudios (Junio y Julio de 2005) ha sido testeado de nuevo este programa y parece ser que ya no existen razones para considerarlo sospechoso (por lo menos en estos momentos).
Lo de que arrancase con Windows lo configuré YO MISMO así....
De todas formas, lo desinstalaré, puesto que ahora ya no me hace falta y la versión comercial es demasiado cara.

También instalé la versión de prueba del SpySweeper, como pudiste ver - ESTE TAMPOCO ENCONTRO NADA.

Respecto al FreeRAM XP Pro 1.40 también lo he configurado YO MISMO para que arranque con Windows, marcando la casilla "Automatically Start with Windows" dentro del apartado "Settings" - ya sé que no tiene porqué hacerlo, si no se desea....

Como ves, no es necesario eliminar ningún archivo, ya que nunca he tenido el Home Search.
EL PROBLEMA RESIDE MÁS BIEN EN EL MISMO PANDA ACTIVE SCAN. No sé si es casualidad o se hace quizás INTENCIONADAMENTE (??) que se obtengan resultados falsos, para promocionar los productos de esta empresa.
Esto es sólo una conjetura, difícil de demostrar....

Bueno, con esto doy por finalizado el tema.

Salu2