Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Cuando escribo como ahora posteando esto a veces pasa que no se escriben palabras aunque pareciera que si, y las tengo que escribir de nuevo, uso ie7 con win xp sp2, Spybot S&D, todo actualizado, manualmente he intentado limpiar el troyano pero me es imposible, siempre vuelve a aparecer a pesar de eliminar los archivos infectados con nod32, Spybot, o manualmente, lo mismo pasa con las entradas al registro de windows.

En Modo seguro aparece un mensaje antes de iniciar windows que dice "Presione escape para cancelar la ejecucion de FDSP.SYS" he intentado iniciar modo seguro dandole a Escape a ese mensaje y sin darle escape tambien, pero al iniciar windows en modo seguro no se abre la barra de explorer.exe y la tengo que abrir desde ejecutar nueva tarea, pero solo dura unos segundos y se vuelve a cerrar, y asi la tengo que abrir constantemente para poder usar la pc en modo seguro.

Internet Explorer 7 me abre en casi todas las paginas que abro una barra de Adult Friend en la parte superior, como si ya fuera parte de IE, tambien se abren ventanas emergentes de mercadolibre, casino y pornografia, pero hay dos ventanas emergentes que se abren pero no muestran ningun contenido y son las siguientes:

http://llehs.com/go/?cmp=wav_misspel...07&lid=ware+ac

http://89.188.16.16/trafc-2/rfe.php

El log del Nod32 es el siguiente (Nod32 o Spybot los borran, vuelven a salir a veces con diferente nombre):

Comienzo: 26/06/2007 11:52:17 a.m.
Registro de sucesos
NOD32 Scanner versión 2355 (20070626) NT
- Está correcto en memoria operativa

Fecha: 26.6.2007 hora: 11:52:26
La Tecnología Anti-Stealth está activada.
Discos, carpetas y archivos analizados: C:; D:; E:
C:\hiberfil.sys - Error abriendo archivo (El archivo está bloqueado) [4]
C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Administrador\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Administrador\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\System Volume Information\MountPointManagerRemoteDatabase - Error abriendo archivo (Acceso denegado) [4]
C:\WINDOWS\retadpu2000352.exe - Variante modificada de Win32/TrojanDownloader.Agent.BLS (Troyano)
C:\WINDOWS\SoftwareDistribution\EventCache\{12BB96 A2-6DD4-4038-9043-1D0D4CE639E8}.bin - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\autorun3.exe - Win32/PcClient.WI (Troyano)
C:\WINDOWS\system32\kas.exe - Win32/PcClient (Troyano)
C:\WINDOWS\system32\OfcpfwSvcs.exe - Win32/PcClient.WI (Troyano)
C:\WINDOWS\system32\uyetufnf.exe - Win32/Agent.ANR (Troyano)
C:\WINDOWS\system32\yqfprhqr.d1l - Variante modificada de Win32/PcClient.IF (Troyano)
C:\WINDOWS\system32\CatRoot2\edb.log - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\CatRoot2\tmp.edb - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\default - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\default.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\drivers\sptd.sys - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\drivers\yqfprhqr.sys - Variante modificada de Win32/PcClient (Troyano)
C:\WINDOWS\Temp\IH210.tmp - Error abriendo archivo (El archivo está bloqueado) [4]
D:\lineage2cyberworld\system\GameGuard\npsc.npz »ZIP »npsc.des - Archivo comprimido dañado
D:\System Volume Information\MountPointManagerRemoteDatabase - Error abriendo archivo (Acceso denegado) [4]
E:\System Volume Information\MountPointManagerRemoteDatabase - Error abriendo archivo (Acceso denegado) [4]
Cantidad de archivos analizados: 125977
Cantidad de amenazas detectadas: 7
Hora de finalización: 12:34:08 . Tiempo total de análisis: 2502 seg (00:41:42)

Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.


El log del HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 09:04:19 p.m., on 26/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\ESET\nod32kui.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lineage2.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\hctdbaus.dll",forkonce
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1182877051656
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

No se imaginan lo dificil que fue postear por como dije al principio, se come palabras, ademas destaco que mi pc trabaja muy lento en comparacion como venia haciendo, agradezco mucho su ayuda, voy a esperar un poco a ver si esto tiene solucion que no me gustaria tener que formatear, de antemano gracias por sus respuestas.

Levanto mi post que en la 2da pagina dudo que alguien se compadezca a responderme, de antemano gracias a quien me pueda ayudar.

** Si te autorespondes , es muy probable que no recibas ayuda

Politicas del foro de HijackThis:

Cita:

5) Si ya creaste un tema y aún no has recibido respuesta, evita responderte a ti mismo, ya que si no tu mensaje NO aparecerá con cero respuestas, lo que nos hará pensar que ya esta siendo atendido por otro Moderador, con lo cual ese mensaje pasará desapercibido y puede que nunca recibas respuesta. Si quieres añadir algo a ese mensaje usa el botón "Editar" en lugar del botón "Responder"

Hola calzon123 bienvenido al foro


Mientras te contestes tu mismo seguiras sin respuesta. Por otro lado ese log esta incompleto... no le quitaste nada, lo realizaste en que modo?


Realiza estos pasos:

1. Apaga Restaurar Sistema

2. Activa Ver Archivos Ocultos

3. Con todos los programas cerrados ejecuta el HijackThis y dale “FIX Cheked” a las siguientes entradas:

O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\hctdbaus.dll",forkonce

4. Busca y elimina estos archivos con el KillBox, usando la opcion delete on reboot.

C:\WINDOWS\system32\hctdbaus.dll

Si no encuentras alguno usa el buscador (Inicio/Buscar/Todos los archivos y/o carpetas)

5. Le pasas:

• El SuperAntiSpyware actualizado.
• El CCleaner, debes usar la opción Limpiar Registro, pásalo las veces que sean necesarias hasta que no aparezca nada.
• Luego lo usas para limpiar cookies y temporales.

Reinicias y te recomiendo que instales el SpywareBlaster 3.5.1, y su Manual .

Debes visitar Windows Update para que descargues las últimas actualizaciones criticas de seguridad, y Aquí para el internet explorer.

Al finalizar deshaces los dos primeros pasos, pegas un nuevo log para ver los resultados y nos cuentas como te fue.

Saludos.

Gracias por tu respuesta, me disculpo, he leido las normas y no volvere a cometer ese error, el log es de windows en modo normal y con restaurar sistema desactivado.

Hice todos los pasos que me mostraste al pie de la letra y ahora el problema esta resuelto, o al menos eso me parece dado que ya no se me abren las ventanas publicitarias y siento que mi pc volvio a su velocidad normal, es decir no se alenta.

El nuevo log que me pides esta aqui (sacado en modo normal):

Logfile of HijackThis v1.99.1
Scan saved at 09:55:01 a.m., on 29/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lineage2.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {066A2CDC-319E-4460-BA45-C24562CD51AA} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - (no file)
O2 - BHO: (no name) - {598CBC4C-B20D-4C16-B1E1-609D370D1C1C} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182877051656
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: urqqrsr - urqqrsr.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winemx32 - winemx32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Muchas gracias por tu ayuda, en verdad te lo agradezco, creo que ahora esta todo bien, salvo que me digas lo contrario con este nuevo log, de cualquier forma gracias.

Hola de nuevo

El log esta limpio, puedes estar tranquilo solo falta reparar algunas entradas, Con todos los programas cerrados ejecuta el HijackThis y dale “FIX Cheked” a las siguientes entradas:

O2 - BHO: (no name) - {066A2CDC-319E-4460-BA45-C24562CD51AA} - (no file)

O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - (no file)
O2 - BHO: (no name) - {598CBC4C-B20D-4C16-B1E1-609D370D1C1C} - (no file)

O20 - Winlogon Notify: urqqrsr - urqqrsr.dll (file missing)

O20 - Winlogon Notify: winemx32 - winemx32.dll (file missing)

Por lo demas todo bien asi que demos el tema como solucionado.

Saludos