Imposible eliminar adware

Pixx · Mensaje por **Pixx** » 16 May 2010, 14:43

Buenas!

Primero expongo algo en problemilla; en el PC de mi hermana se han hallado diferentes adwares que se hacían pasar por 'antivirus' (al paracer siempre han cambiado, o sea, han sido diferentes, por lo que el nombre del mismo no le queda muy claro). Esto creaba problemas entre el firewall de windows y el mismo

También dice que tiene ciertos programas que no consigue borrar o eliminar con solo darle a "Desinstalar", así que, si podríais miraros un poco el log en busca de más cositas sopechosas o cuya presencia en el PC podría estorbar, os estaría agradecido.

Una cosa que quisiera añadir es una screenshot, de un mensaje que me sale al analizar el PC. No voy a mentir, me podría imaginar lo que quiere decir y cómo hacerlo, pero no tengo ni la menor idea del 'porqué' exactamente. Por lo tanto no voy a mover dedo hasta que alguien me pueda decir lo que es, como lo hago sin estropear algo y quizá el porqué. Aquí la teneis:

[img]http://img263.imageshack.us/img263/4458/hjthisscreen.png[/img]

Comienza aquí el log del HijackThis-scan:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:03:23, on 16.05.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17023)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R3 - URLSearchHook: (no name) - - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

O1 - Hosts: 74.125.45.100 4-open-davinci.com

O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com

O1 - Hosts: 74.125.45.100 privatesecuredpayments.com

O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com

O1 - Hosts: 74.125.45.100 getantivirusplusnow.com

O1 - Hosts: 74.125.45.100 secure-plus-payments.com

O1 - Hosts: 74.125.45.100 http://www.getantivirusplusnow.com

O1 - Hosts: 74.125.45.100 http://www.secure-plus-payments.com

O1 - Hosts: 74.125.45.100 http://www.getavplusnow.com

O1 - Hosts: 74.125.45.100 safebrowsing-cache.google.com

O1 - Hosts: 74.125.45.100 urs.microsoft.com

O1 - Hosts: 74.125.45.100 http://www.securesoftwarebill.com

O1 - Hosts: 74.125.45.100 secure.paysecuresystem.com

O1 - Hosts: 74.125.45.100 paysoftbillsolution.com

O1 - Hosts: 74.125.45.100 protected.maxisoftwaremart.com

O1 - Hosts: 173.232.108.157 http://www.google.com

O1 - Hosts: 173.232.108.157 google.com

O1 - Hosts: 173.232.108.157 google.com.au

O1 - Hosts: 173.232.108.157 http://www.google.com.au

O1 - Hosts: 173.232.108.157 google.be

O1 - Hosts: 173.232.108.157 http://www.google.be

O1 - Hosts: 173.232.108.157 google.com.br

O1 - Hosts: 173.232.108.157 http://www.google.com.br

O1 - Hosts: 173.232.108.157 google.ca

O1 - Hosts: 173.232.108.157 http://www.google.ca

O1 - Hosts: 173.232.108.157 google.ch

O1 - Hosts: 173.232.108.157 http://www.google.ch

O1 - Hosts: 173.232.108.157 google.de

O1 - Hosts: 173.232.108.157 http://www.google.de

O1 - Hosts: 173.232.108.157 google.dk

O1 - Hosts: 173.232.108.157 http://www.google.dk

O1 - Hosts: 173.232.108.157 google.fr

O1 - Hosts: 173.232.108.157 http://www.google.fr

O1 - Hosts: 173.232.108.157 google.ie

O1 - Hosts: 173.232.108.157 http://www.google.ie

O1 - Hosts: 173.232.108.157 google.it

O1 - Hosts: 173.232.108.157 http://www.google.it

O1 - Hosts: 173.232.108.157 google.co.jp

O1 - Hosts: 173.232.108.157 http://www.google.co.jp

O1 - Hosts: 173.232.108.157 google.nl

O1 - Hosts: 173.232.108.157 http://www.google.nl

O1 - Hosts: 173.232.108.157 google.no

O1 - Hosts: 173.232.108.157 http://www.google.no

O1 - Hosts: 173.232.108.157 google.co.nz

O1 - Hosts: 173.232.108.157 http://www.google.co.nz

O1 - Hosts: 173.232.108.157 google.pl

O1 - Hosts: 173.232.108.157 http://www.google.pl

O1 - Hosts: 173.232.108.157 google.se

O1 - Hosts: 173.232.108.157 http://www.google.se

O1 - Hosts: 173.232.108.157 google.co.uk

O1 - Hosts: 173.232.108.157 http://www.google.co.uk

O1 - Hosts: 173.232.108.157 http://www.google.co.za

O1 - Hosts: 173.232.108.157 http://www.google-analytics.com

O1 - Hosts: 173.232.108.157 http://www.bing.com

O1 - Hosts: 173.232.108.157 search.yahoo.com

O1 - Hosts: 173.232.108.157 http://www.search.yahoo.com

O1 - Hosts: 173.232.108.157 uk.search.yahoo.com

O1 - Hosts: 173.232.108.157 ca.search.yahoo.com

O1 - Hosts: 173.232.108.157 de.search.yahoo.com

O1 - Hosts: 173.232.108.157 au.search.yahoo.com

O2 - BHO: (no name) - {0E12D48D-6FAE-4C9F-B914-D891FC426F3d} - C:\WINDOWS\system32\muzhhmzw.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5BC0354D-8881-497F-94A6-F1FC2231C66B} - c:\windows\system32\ntaiwth.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000

O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)

O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231159125328

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C44649A9-7ED6-4A9E-B03A-812F4271E682}: NameServer = 195.235.113.3,195.235.96.90

O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\DOKUME~1\Besitzer\LOKALE~1\Temp\AVSETUP_4bec1cd8\basic\avupgsvc.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Seekeen Service - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Seekeen\seekeen140.exe (file missing)

O23 - Service: SeekeenSrch Service - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SeekeenSrch\seekeen147.exe (file missing)

--

End of file - 10530 bytes

Mensaje por **msc hotline sat** » 16 May 2010, 18:27

Pues se ven estos ficheros sospechosos:

C:\WINDOWS\system32\muzhhmzw.dll

c:\windows\system32\ntaiwth.dll

añade .VIR a la extension de los tres ficheros y tras reiniciar, envianoslos para analizar

Luego vemos este que sin duda es un RootKit ZBOT: C:\WINDOWS\system32\sdra64.exe, pero para él debes descargar el ELISTARA.EXE y el ELINOTIF.DLL en una misma carpeta y tras lanzar el ELISTARA, reiniciar y postearnos el contenido de c:\infosat.txt con un copiar y pegar. Posiblemente te pida que nos envies el que habrá movido a C:\muestras\SDRA64.EXE, procede en consecuencia junto con los otros antes indicados:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 16-5-2010

Mensaje por **msc hotline sat** » 16 May 2010, 18:48

Por otro lado, mira si puedes encontrar estos dos ficheros, que podrían estar ocultos:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Seekeen\seekeen140.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SeekeenSrch\seekeen147.exe

Ya que tienes claves que intentan lanzarlos:

http://www.threatexpert.com/report.aspx?md5=1a4ae1dfb58997088719bbb295cd2648

http://www.prevx.com/filenames/1428642718257846974-X1/SEEKEEN147.EXE.html

Para ello prueba con el ELIMOVER.EXE y marca la casilla del final para renombrar a .VIR los ficheros originales, si los encuentra, y luego, si es el caso, envianos los que te haya copiado a C:\muestras

~~[b]~~ELIMOVER[/b]

http://www.zonavirus.com/descargas/elimover.asp

y otra vez, recuerda: https://foros.zonavirus.com/viewtopic.php?f=13&t=29543

saludos

ms, 16-5-2010

Mensaje por **msc hotline sat** » 17 May 2010, 09:49

Y para solucionar lo del HOSTS, una vez pasado el ELISTARA indicandole limpiar el HOSTS, te habrá creado un HOSTS.tmp , pues arrastra el HOSTS original al escritorio y una vez allí lo borras, y de la carpeta de marras (C:\windows\system32\drivers\etc\) , renombra el HOSTS.tmp a HOSTS , con lo cual quedará normalizado su acceso.

Es una historia que ya nos hacen el Fake AV Clean UP, el FAKE AV Live PC Care y el FAKE AV live security engine, y ahora este tuyo, que pasaremos a controlar tras recibir las muestras pedidas.

saludos

ms, 17-5-2010

NOTA : Ver https://foros.zonavirus.com/viewtopic.php?f=12&t=31722&p=172219#p172219

crapo · Mensaje por **crapo** » 07 Jun 2010, 21:59

Hola!

No entiendo nada de los artículos publicados! No puede ser que sea tan burro. Simplemente quiero <interceptado> , donde lo puedo bajar y configurara parar eliminiar virus en mi PC??

gracias, y perdonen mi ignoracia!

saludos!

[img]http://img85.imageshack.us/img85/3052/barrehorizontale55xx0.gif[/img]

No postear links externos !!!

Mensaje por **msc hotline sat** » 08 Jun 2010, 13:23

Posiblemente mis compañeros, a la vista de lo indicado, se lo podrán explicar mejor.

En 10 minutos salgo de viaje por una semana y no puedo entrar detalles, pero espero y deseo que basandose en lo indicado o en lo que se les ocurra de cosecha propia, le puedan resolver el problema.

saludos y hasta la vuelta !

y aprovecho para despedirme desde aqui del foro, ya que tengo que ultimar detalles de ultima hora y solo tendré abierto el ordenador hasta las 13:30

Me llevo un portatil para los mails y demás de trabajo, pero no se si me dará tiempo para entrar en el foro, aunque por gusto bien que lo haría :) ...

ms, 8-6-2010

Imposible eliminar adware

Imposible eliminar adware

Re: Imposible eliminar adware

Re: Imposible eliminar adware

Re: Imposible eliminar adware

Re: Imposible eliminar adware

Re: Imposible eliminar adware