Tengo virus: Istbar (solucionado)

pitirijas · Mensaje por **pitirijas** » 16 Feb 2005, 21:57

Hola, soy nuevo en el foro. Me gustaria que me ayudaran con este mendigo virus!!!. Por lo que se es un trojano, al principio me puso una barra debajo de la barra de direcciones. Segun yo lo scanie con Ad-Aware y lo elimine, la barra ya no aparece pero el virus aun esta ahi.
Solo me elimina parte del virus. También lo he intentado con las instrucciones que da el bazzoka y tampoco.

HKEY_USERS\S-1-5-21-1757981266-2049760794-682003330-1003\software\ist
HKEY_USERS\S-1-5-21-1757981266-2049760794-682003330-1003\software\ist\Recover

Estos registros los elimino, pero se vuelven a inicializar. Son los unicos que no puedo eliminar. Al momanto de entrar a internet pareciara que el virus se instala y reinicia sus registros (los que ya habia eliminado).
Espero me puedan ayudar!!! ... Saludox.

caito · Mensaje por **caito** » 17 Feb 2005, 00:03

Cuando limpias la pc lo haces en modo seguro y con restaurar sistema deshabilitado(XP o ME )?

Salu2

Caito

Mensaje por **maura63** » 17 Feb 2005, 09:08

Prueba esta utilidad

http://www.zonavirus.com/descargas/elistara.asp

Saludos
maura63

pitirijas · Mensaje por **pitirijas** » 17 Feb 2005, 20:34

Lo intente con modo seguro y no me detectaba ni el virus, ni los registros. Lo hice con Restaurar Sistema deshabilitado y parece que se soluciono el problema, aunque no estoy muy seguro.

Tambien baje la utilidad que me pasaste (maura63), pero no me borraba los registros antes dichos, de todos modos gracias por tomarse la molestia de leerme. Un ultimo consejo: ¿Cual antivirus me recomiendan? Tengo XP, y esta instalado Panda Titanium 2004, pero parece que es muy chafa no??

¿Cual seria el adecuado?...

Saludox...

Mensaje por **maura63** » 17 Feb 2005, 20:40

Baja esta utilidad y pega el log

Hijack This
http://www.zonavirus.com/descargas/tren ... ckthis.asp

La bajas y guardas, cierra todos los programas incluso el internet explorer, lanza hijackthis pulsa scan y despues en save log se abrira un fichero de texto txt, guardalo asi mismo y copias y pegas el resultado como respuesta a este tema.

Saludos
maura63

pitirijas · Mensaje por **pitirijas** » 18 Feb 2005, 19:14

Bueno, pues aqui esta mi HijackThis. Si me podrian explicar como funciona esto, si no seria mucha molestia.
Saludox...
Logfile of HijackThis v1.99.1
Scan saved at 12:03:57 p.m., on 18/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Mis documentos\Mis archivos recibidos\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{0199DF25-9820-4bd5-9FEE-5A765AB4371E} - (no file)
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\ARCHIV~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: &Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: HotKey Driver.lnk = C:\Archivos de programa\HotKey\HotKey.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZZ
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/CursorManiaFWBInitialSetup1.0.0.8-2.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DB958BD-A5D1-4A1D-B958-59DAE0034561}: NameServer = 200.33.146.194 200.33.146.202
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe (file missing)

caito · Mensaje por **caito** » 18 Feb 2005, 21:26

Te queda algo de basura, vamos a eliminarla:
Busca en Agregar o Quitar Programas alguno de estos y si están elimínelos:

KeenValue
PowerSearch toolbar for IE’
MyWebSearch

Deshabilita Restaurar sistema
Arranca en Modo seguro
Cierra todas las aplicaciones(incluso Internet)
ejecuta el Hijack This: Scan y luego Fix a estas :

Código: Seleccionar todo

R3 - URLSearchHook: (no name) - _{0199DF25-9820-4bd5-9FEE-5A765AB4371E} - (no file) 
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) 
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing) 
O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\ARCHIV~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/CursorManiaFWBInitialSetup1.0.0.8-2.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

Borra Archivos Temporales de Internet,Temporales de Sistema,cookies,historial.
Vacía la Papelera
Ejecuta el AdAware Se actualizado al 16/02/05
Reinicia normal y cuenta si lo solucionaste.

Salu2
Caito

Mensaje por **maura63** » 21 Feb 2005, 10:46

Comprueba si tienes activado el firewall.

Y conecta con windows update y actualiza. Te faltan el SP1 en XP e IE. ademas del sp2 + parches.Por mucho que eliminemos seguiras con problemas.

Tu log
Logfile of HijackThis v1.99.1
Scan saved at 12:03:57 p.m., on 18/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Saludos
maura63

Mensaje por **msc hotline sat** » 21 Feb 2005, 11:28

Por si quieres informar tras haber actualizado parches como te ha indicado Maura63 y limpiada la basura que te ha indicado Caito, se mueve este Tema al apartado de analisis del log del HJT

saludos

ms, 21-02-2005

pitirijas · Mensaje por **pitirijas** » 21 Feb 2005, 18:49

hola:

No, no he visto si esta activado el firewall, Como lo veo??? Yo que sepa he bajado todas las actualizaciones. Con respecto al sp2 me habian comentado que tenia errores??? no?? por eso no lo habia instalado. lo instalo???

graxias...saludox

caito · Mensaje por **caito** » 21 Feb 2005, 23:00

No has contado si has borrado las entradas que te he puesto arriba, además quisiera saber si el Kaspersky te funciona bien.

Salu2

Caito

pitirijas · Mensaje por **pitirijas** » 22 Feb 2005, 05:48

Si ya borre las entradas, los archivos temporales y he limpiado todo como me indicaron. Anteriormente tenia el Panda y lo decidi cambiarlo por el kaspersky y hasta ahora me ha funcionado correctamente. Cual me recomiendan???

Saludox... :D

Mensaje por **maura63** » 22 Feb 2005, 09:55

Instala el SP2.

Saludos

maura63

Mensaje por **msc hotline sat** » 22 Feb 2005, 15:49

Ya hemos subido la version 4,9 del ELISTARA en la que hemos incluido todas estas eliminaciones. Probadla y a medida que se vayan conociendo mas "amiguetes" de este tipo, se le irán incluyendo en nuevas versiones.

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 22-02-2005

Mensaje por **msc hotline sat** » 22 Feb 2005, 15:59

Sobre su pregunta sobre antivirus recomendado, Caito usa el AVAST, Maura63 y yo usamos McAfee Enterprise, y tanto estos como el Kaspersky que indica que usa son buenos siempre y cuando estén actualizados a la última definicion, pues de media hay 50 nuevos virus cada día actualmente, segun indica McAfee, razon por la que pasa a ofrecer DATS diarios.

Entendiendo solucionado el problema y contestadas sus preguntas, cerramos el Tema

saludos

ms, 22-02-2005