no puedo eliminar un spyware

[wanchoperro]

Hola a todos, llevo dias eliminando todo tipo de spyware y troyanos de mi ordenador pero tengo un problrma con un spyware que no puedo eliminar y cada poco tiempo me pone una pagina llamada "realsearch" en el ordenador. si alguien sabe como eliminar este viirus para que me deje de aparecer la dichosa pagina le agradeceria que m lo explique. mi sistema opertativo es el xp. gracias de antemano y un saludo.

[maura63]

Si has realizado los pasos de



https://foros.zonavirus.com/viewtopic.php?t=4795







· Hijackthis version: 1.99



Sitio 1 - Descargar Hijackthis



http://www.spywareinfo.com/~merijn/files/hijackthis.zip





Descarga y descomprimes, con todos los programas cerrados incluso el internet explorer, lo ejecutas, pulsa scan y luego en save, se abrira un fichero log txt con el resultado, haz un copiar y pegas el resultado como respuesta a este tema.



Movemos el tema al foro log de hijacthis.



Saludos

maura63

[msc hotline sat]

Aparte de indicarte las claves a eliminar el el log del HJT que nos envies, las R2, las terminadas en .cc, etc, parece ser que el realsearch se elimina con el SPYBOT en modo avanzado, lo cual se comenta por si puedes solucionarlo, y si es el caso, nos lo comentas, y sino, te indicaremos el proceso manual



saludos



ms, 25-01-2005

[wanchoperro]

Logfile of HijackThis v1.99.0

Scan saved at 16:18:42, on 26/01/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\windows\system32\earoatlf.exe

C:\WINDOWS\System32\??anregw.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {DF668E96-27EB-767C-CDC7-40ADB11675F2} - C:\WINDOWS\system32\iejb.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe

O4 - HKLM\..\Run: [862703DB] C:\windows\system32\earoatlf.exe

O4 - HKLM\..\Run: [DCC135D3] C:\WINDOWS\system32\accterro.exe

O4 - HKLM\..\Run: [8BDBB806] C:\WINDOWS\system32\ivxmuiagl.exe

O4 - HKLM\..\Run: [8868530E] C:\WINDOWS\system32\p32me.exe

O4 - HKLM\..\Run: [53EDCD4E] C:\WINDOWS\system32\metdi.exe

O4 - HKLM\..\Run: [4FC7D3EE] C:\WINDOWS\system32\snttmf.exe

O4 - HKLM\..\Run: [d3tf32.exe] C:\WINDOWS\system32\d3tf32.exe

O4 - HKLM\..\Run: [syskp.exe] C:\WINDOWS\system32\syskp.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\no-spy.exe" /autorun

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKCU\..\Run: [Daba] C:\Documents and Settings\PARRA\Datos de programa\toiw.exe

O4 - HKCU\..\Run: [Btwadhpa] C:\WINDOWS\System32\??anregw.exe

O4 - HKCU\..\Run: [862703DB] C:\windows\system32\earoatlf.exe

O4 - HKCU\..\Run: [DCC135D3] C:\WINDOWS\system32\accterro.exe

O4 - HKCU\..\Run: [8BDBB806] C:\WINDOWS\system32\ivxmuiagl.exe

O4 - HKCU\..\Run: [8868530E] C:\WINDOWS\system32\p32me.exe

O4 - HKCU\..\Run: [53EDCD4E] C:\WINDOWS\system32\metdi.exe

O4 - HKCU\..\Run: [4FC7D3EE] C:\WINDOWS\system32\snttmf.exe

O4 - HKCU\..\Run: [SPYWAREREMOVER] C:\Archivos de programa\BulletProofSoft.com\BPS Spyware & Adware Remover\SpyRem.exe /STARTUP

O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O15 - Trusted Zone: http://*.093qpeuqpmz6ebfa.com

O15 - Trusted Zone: http://*.0texkax7c6hzuidk.com

O15 - Trusted Zone: http://*.69sexsearch.com

O15 - Trusted Zone: http://*.afendis.de

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.crazywinnings.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: http://*.rapid-pass.net

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.awmdabest.com (HKLM)

O15 - Trusted Zone: *.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O15 - Trusted IP range: (HKLM)

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst_int2.exe

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {2517F764-6F60-4ADD-8FCF-137E5B220FF6} (VacPro.emsat_ver4) - http://advnt01.com/dialer/emsat_ver4.CAB

O16 - DPF: {27592082-A964-1E97-8123-250778D3FD81} - http://66.117.37.5/1/rdgES298.exe

O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://advnt01.com/dialer/emsat_ver3.CAB

O16 - DPF: {6D627952-84B4-5FB5-2E3A-742A757BE050} - http://66.117.37.5/1/rdgES298.exe

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-es/es/games3.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C6356279-3982-400B-834A-4DD4C1A9C074}: NameServer = 80.58.0.33,80.58.32.97

O21 - SSODL: zDEzzCMy - {18AB6D21-B201-C78B-EDCF-C71255EBB962} - C:\WINDOWS\System32\wryqk.dll

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Machine Debug Manager - Unknown - C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NOD32 Kernel Service - Unknown - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe



Este es el log, os lo envio y a ver si podeis ayudarme a sulocionar mi problema. Gracias de antemano y un saludo.

[maura63]

Antes de nada intenta actualizar via windows update tu sistema operativo tanto el XP como el IE.



No tienes ni siquiera el SP1 del IE ni del XP que va por el SP2



Saludos

maura63

[maura63]

Tendras que eliminar despues de seguir con problemas estas entradas.



Para ello en modo seguro y desactivando rstaurar sistema, lanzas hijackthis pulsa scan y marca las siguientes entradas, pulsa FIX y acepta.



Las dos primeras que estan en C usa el buscador en inicio



C:\windows\system32\earoatlf.exe

C:\WINDOWS\System32\??anregw.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com

O2 - BHO: (no name) - {DF668E96-27EB-767C-CDC7-40ADB11675F2} - C:\WINDOWS\system32\iejb.dll (file missi

O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe

O4 - HKLM\..\Run: [862703DB] C:\windows\system32\earoatlf.exe

O4 - HKLM\..\Run: [DCC135D3] C:\WINDOWS\system32\accterro.exe

O4 - HKLM\..\Run: [8BDBB806] C:\WINDOWS\system32\ivxmuiagl.exe

O4 - HKLM\..\Run: [8868530E] C:\WINDOWS\system32\p32me.exe

O4 - HKLM\..\Run: [53EDCD4E] C:\WINDOWS\system32\metdi.exe

O4 - HKLM\..\Run: [4FC7D3EE] C:\WINDOWS\system32\snttmf.exe

O4 - HKLM\..\Run: [d3tf32.exe] C:\WINDOWS\system32\d3tf32.exe

O4 - HKLM\..\Run: [syskp.exe] C:\WINDOWS\system32\syskp.exe

O4 - HKCU\..\Run: [Daba] C:\Documents and Settings\PARRA\Datos de programa\toiw.exe

O4 - HKCU\..\Run: [Btwadhpa] C:\WINDOWS\System32\??anregw.exe

O4 - HKCU\..\Run: [862703DB] C:\windows\system32\earoatlf.exe

O4 - HKCU\..\Run: [DCC135D3] C:\WINDOWS\system32\accterro.exe

O4 - HKCU\..\Run: [8BDBB806] C:\WINDOWS\system32\ivxmuiagl.exe

O4 - HKCU\..\Run: [8868530E] C:\WINDOWS\system32\p32me.exe

O4 - HKCU\..\Run: [53EDCD4E] C:\WINDOWS\system32\metdi.exe

O4 - HKCU\..\Run: [4FC7D3EE] C:\WINDOWS\system32\snttmf.exe

O4 - HKCU\..\Run: [SPYWAREREMOVER] C:\Archivos de programa\BulletProofSoft.com\BPS Spyware & Adware Remover\SpyRem.exe /STARTUP



[color=red]borra tambien todos los registros que empiecen por 015 que hay bastantes [/color]

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst_int2.exe

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {2517F764-6F60-4ADD-8FCF-137E5B220FF6} (VacPro.emsat_ver4) - http://advnt01.com/dialer/emsat_ver4.CAB

O16 - DPF: {27592082-A964-1E97-8123-250778D3FD81} - http://66.117.37.5/1/rdgES298.exe

O16 - DPF: {27592082-A964-1E97-8123-250778D3FD81} - http://66.117.37.5/1/rdgES298.exe

O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://advnt01.com/dialer/emsat_ver3.CAB

O16 - DPF: {6D627952-84B4-5FB5-2E3A-742A757BE050} - http://66.117.37.5/1/rdgES298.exe

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-es/es/games3.cab

O21 - SSODL: zDEzzCMy - {18AB6D21-B201-C78B-EDCF-C71255EBB962} - C:\WINDOWS\System32\wryqk.dll

O23 - Service: Machine Debug Manager - Unknown - C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe (file missing)





Saludos

maura63

[maura63]

La entrada que te he marcado



O4 - HKCU\..\Run: [SPYWAREREMOVER] C:\Archivos de programa\BulletProofSoft.com\BPS Spyware & Adware Remover\SpyRem.exe /STARTUP



pertenece a BPS Spyware & remover y segun informacion existente en la red es de un anti-spyware que trae regalo incluido, contiene spy.



Saludos

maura63

[wanchoperro]

muchas gracias, llevo una hora conectado y no me ha aparecido nada!!!!!, de todas formas no cantare victoria. que programas me recomiendas para proteger el ordenador? gracias de nuevo.

[maura63]

Pero has actualizado tu sistema en windows update :?: si no lo haces dentro de media hora estaras igual o peor.



Debes tener antivirus residente y al dia, firewall y programas anti-spy



Saludos

maura63

[wanchoperro]

si, ya he actualizado el windows update y por ahora parece que sigue sin haber probleemas. tomo nota de todo para proteger el ordenador. gracias de nuevo :lol:

[maura63]

Pues damos por solucionado el tema. De surgir algo ya sabes donde encontrarnos.



Y no te olvides del antivirus



Saludos

maura63