mi log a ver como andamos... y problema con el spywablaster

[wau]

hola gente! gracias por poder ayudarnos...

les cuento.. se me metió un troyano.,.. el starpage, y el cws... luego de pasarle todo ... spybot, ad-ware, cwsheeder, elistara, spyweeper, cpysubstract, y algun otro... ademas de ponerme como antivirus el AVG (antes tenia avast) . Creo que ahora todo se solucionó... pero me inutilizó el spywareblaster.. me dice que el programa fue dañado o por un sector malo del HD o por un virus...que lo reinstale... al parecer el disco está ok... pero leí por ahí que alguno de estos troyanos me lo puede estar bloqueando... les dejo mi log por si alguno encuentra algo raro...

graciaaassss!!

Logfile of HijackThis v1.99.0

Scan saved at 03:13:55 p.m., on 21/02/2005

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\SIS630_V1.03.51\UTILITY\SISTRAY.EXE

C:\WINDOWS\TASKMON.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGCC.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGEMC.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\SGMAIN.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\SGBHP.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.123.1:21;gopher=192.168.123.1:119;http=192.168.123.1:6588;https=192.168.123.1:6588;socks=192.168.123.1:119

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\DLPROTECT.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [SiS Tray] C:\ARCHIVOS DE PROGRAMA\SIS630_V1.03.51\UTILITY\SISTRAY.EXE

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunOnce: [MRUBlaster] C:\ARCHIVOS DE PROGRAMA\MRU-BLASTER\indexcleaner.exe -CC

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe

O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Archivos de programa\MRU-Blaster\mrublaster.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\MSN Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\MSN Messenger\MSMSGS.EXE

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1

[maura63]

Prueba desinstalando spywareblaster y vuelve a instalar y actualizar.



Las restricciones claves 06 estan puestas por ti :?:



O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present



Saludos

maura63

[wau]

hola... sí ya probé desinstalando y volviendo a instalar... tambien descargandolo de nuevo de su pagina... y nada...

y las restricciones claves 06 son sé si fueron puestas por mi... como puedo hacer para averiguarlo??? seran estas las que me j**e la instalacion del spywareblaster???

gracias por la ayuda.

[maura63]

Arranca en modo seguro, eliminalas con hijackthis y comprueba.



Comprueba tambien que se muestra archivos y carpetas ocultos, lanza un scan en modo normal a vr si aparece algo nuevo en el log.





Saludos

maura63

[carolxsiempre]

O6: Es el Acceso restringido -por el Administrador- a las Opciones de IE



Si el acceso está restringido puede ser por 2 razones: 1. por el Administrador o 2. porque empleamos Spybot S&D y aplicamos su protección-bloqueo de las Opciones del IE (en Herramientas > Modificaciones de IE: Bloquear la configuración de la pág. de Inicio...), aparecerá un ítem como el sgte.:



O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present



Si por ejemplo en ese mismo apartado de Spybot S&D no hemos marcado el casillero Bloquear el acceso... , observaríamos este otro:



O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present



Si el acceso restringido (primer ítem de ejemplo) aparece y no se debe a medidas intencionadas por parte del Administrador y/o la acción preventiva de Spybot, suele ser conveniente aplicarle el "fix", para borrarla.





Saludos

Carolxsiempre