Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Primero presentarme ya ke soy nuevo por aki, me llamo Javi y os paso a komentar el problema.

Hace unos dias se me infecto el ordenata kon el Spysheriff y sin mas lo desinstale y se akabo el problema.
Pero ahora su pongo yo ke me kedaran residuos o algo asi q lo ke me hacen es q el PC vaya lentisimo y se terminen blokeando las pasginas de los exploradores(uso Mozilla y IE) y termina por blokearse al ordenador entero con lo kual toka reiniciar. (esto lo hace al rato de estar iniciado el PC)
Le eh pasado un monton de progrmas y de antivirus online aprate del mio el NOD32.
Ya no se lo ke hacer.
Tb he seguido los once pasos q proponeis vosotrso pero nada.

Os dejo un logfile:
Logfile of HijackThis v1.99.1
Scan saved at 19:04:52, on 20/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\CTSvcCDA.exe
D:\Archivos de programa\Eset\nod32krn.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\atiptaxx.exe
D:\Archivos de programa\Eset\nod32kui.exe
D:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
D:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
D:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Program Files\FinePixViewer\QuickDCF.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Archivos de programa\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] D:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [nod32kui] D:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = D:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Descargar con Fl&ashGet - D:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - D:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - D:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\ARCHIV~1\FlashGet\flashget.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C161B67-DF3E-46F9-921D-73E2C30CB2A5}: NameServer = 62.36.225.150 62.37.228.20
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Archivos de programa\Eset\nod32krn.exe

GRacias de antemano.

paso todos los progrmaas ke puedo y no me encuentran nada.
solo me keda formatear???

Hola!!!

Te recomiendo desinstalar FlashGet, ya que agrega adware.

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Descarga y ejecuta TZ-Kill.inf .

3) Cierra todos los programas, ejecuta HijackThis y marca estas entradas para darles "Fix Checked":

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

4) Reinicia a prueba de fallos

5) Limpia el registro con RegSeeker y pasa ewido actualizado.

6) Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

7) Reinicia normal y nos cuentas los resultados.

Saludos

Muchas gracias por contestar y siento la tardanza en mi respuesta.

Pues despues de realizar todo lo ke me comentas, la situcaion sigue siendo exactamente la misma. y es mas lo ke me has mandado limpiar kon el Hijackthis vuelve a aparecer, vamos ke no hay manera de eliminarlo.

Osea esto:
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

Quite el Flashget komo me rekomendaste.
En el logfile ke te paso la linea 02 no esta pero hay veces ke vuelve a aparecer pero las del 15 nunca desaparecen.

Logfile of HijackThis v1.99.1
Scan saved at 15:12:50, on 04/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\CTSvcCDA.exe
D:\Archivos de programa\ewido\security suite\ewidoctrl.exe
D:\Archivos de programa\ewido\security suite\ewidoguard.exe
D:\Archivos de programa\Eset\nod32krn.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\atiptaxx.exe
D:\Archivos de programa\Eset\nod32kui.exe
D:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
D:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
D:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
D:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Program Files\FinePixViewer\QuickDCF.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\Archivos de programa\Microsoft AntiSpyware\GIANTAntiSpywareUpdater.exe
D:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] D:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [nod32kui] D:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = D:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - D:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C161B67-DF3E-46F9-921D-73E2C30CB2A5}: NameServer = 62.36.225.150 62.37.228.20
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - D:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

gracias por todo.
un saludo.

Hola!!!

Para que desaparezcan las entradas 015, primero debes ejecutar la herramienta TZ-Kill.inf . No es suficiente el simple FIX del HijackThis. ¿La has ejecutado como te recomendé anteriormente?.

El tema de que te aparezca la entrada 02, es que seguramente Spybot no te está permitiendo el cambio en el registro, por lo que antes de realizar los pasos desactiva el residente de Spybot y una vez hayas terminado y reiniciado tu pc lo vuelves a activar.

Sigue los mismos pasos, pero ahora hazlos estando a prueba de fallos .

Ya nos contarás...

Saludos

pues nada he seguido paso a paso fijandome perfectamente ne lo ke me decias, y de veras no se ke koño hago mal porq no hay manera de ke se vayan.
el Ewido si ke me reconoce ke hay spyware y lo elimino pero esto sigue igual.
(tengo un archivo guardado kon todo lo ke elimino).

Siento darte el ocñazo de nuevo pero sigo estando igual.
Muchas gracias por la ayuda.

Bien, Descarga la herramienta:TZ-Kill.zip y descomprímela en el escritorio de Windows. Ejecuta el archivo TZ-Kill.bat y presiona cualquier tecla para continuar., reinicias y nos cuentas los resultados.

Saludos

Muchas gracias, las entradas de O 15 estan eliminadas, la unika ke perdura es la O 2 pero bueno por lo menos todos los problemas ke tenia de bloqueos, lentitud y demas, se han esfumado.

Muchas gracias por todo.
Este foro es de gran ayuda.
Buen trabajo.

Bien...

La entrada 02 no es nada importante, es simplemente restos del programa FlashGet que aún quedan en tu registro.

Prueba a desactuvar el residente de Spybot, le das Fix, limpia el registro con RegSeeker (pásalo varias veces hasta que no te detecte nada) y reinicia.

Creo que podemos dar el tema por solucionado.

Saludos

ok , pues muchas gracias de nuevo!!!