Presentación y petición de ayuda

unoquepasa · Mensaje por **unoquepasa** » 05 Jul 2004, 19:28

Primero un saludo para todos y muchas gracias por mantener abiertas este tipo de páginas que sirven de tanto ayuda.

Mi problema con el spyware no me parece especialmente serio -o al menos eso creo- pero sí me precupa un poco.

Resulta que una vez iniciada la conexión me pongo a navegar con total normalidad; abro también el e-mule, el correo o el messenger y todo marcha sin problemas.

Todo salvo una pequeña y desagradable salvedad...

Tras treinta o cuarenta minutos navegando de pronto se me abre una página en el explorador con publicidad de un site (varía) y automáticamente detecto en el historial como se crea en Mi PC/windows/temp un pequeño archivo tmp. Si no elimino del historial ese registro no vuelvo a notar nada salvo la creación cada quince o veinte minutos de nuevos archivos tmp en ese mismo directorio.

He probado con ad-aware, spyboth, pestpatrol, cleaner...pero no hay forma de eviar la dichosa ventanita y los dichos archivitos tmp (valga este este como ejemplo file:///C:/WINDOWS/TEMP/NDrD085.TMP.html) mientras navego (porque si no abro el navegador no noto nada pese a estar conectado a la red).

¿Alguna idea?

PD: mi sistema operativo es windows 98.

Muchísimas gracias a todos por vuestra ayuda.

Daniel · Mensaje por **Daniel** » 05 Jul 2004, 21:41

Hola.

El SpyBot 1.3 o el Ad-aware, ya te lo debió de haber detectado. ¿Lo tenés actualizado?

Pásalo otra vez reiniciando tu PC en modo a prueba de fallos e igualmenta haz con tu antivirus.

Otra cosa, una vez que lo pases, elimina toda los archivos que te detecten, yo así lo hago y no he perdido funcionalidad.

Luego bájate el Spywareblaster y lo actualizas.

Te dejo algunos links de interes, el ZoneAlarm en un buen FireWall y gratis para uso casero.

[quote]
Gracias a Maura63,MSC y Admin, te dejo estos otros links

Como antispyware: Bajar, instalar, actualizar y lanzar el Spybot o el AD_AWARE:

Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

AD_AWARE:

http://descargas.terra.es/informacion_extendida.phtml?n_id=12381&plat=1

y una vez limpios de spywares, como protección residente, SPYBOT recomienda SPYWAREBLASTER:

http://www.javacoolsoftware.com/spywareblaster.html

No olvides actualizarlos.

Para el ZoneAlarm te dejo este link:

http://www.softonic.com/ie/9886

Para test ONLINE antivirus:

https://www.virustotal.com/es/

Las utilidades completas ofrecidas por ADMIN están en:

[/quote]

Dios Te Bendiga

Mensaje por **flacoroo** » 06 Jul 2004, 17:19

Ya que usas win 98....ve a MS-DOS y borra todo lo que encuentres en la carpeta de TEMP, y tambien en C: busca ahi mismo en MS-DOS todo los archivos con extension TMP..que seria asi....

dir *.tmp

dir *.chk

si te sale algun archivo con estas extensiones borralas......y como te dijo Daniel haslo en modo de prueba de fallos...

nos dices como te fue....

unoquepasa · Mensaje por **unoquepasa** » 06 Jul 2004, 18:42

Gracias por responder.

Daniel, he probado en modo prueba de fallos pero nada. Hoy he vuelto a conectarme y fiel a su cita de nuevo la dichosa ventanita y de inmediato su correspondiente archivitos tmp.

Eso sí, he descubierto también que cuando vuelvo a pasar el PestPatrol me detecta siempre 4 entradas de Bearshare. Las elimino, reinicio el ordenador, pero cada vez que me conecto y empiezo a navegar se repite el proceso: ventanita que se abre cada cierto, tmp y las famosas 4 entradas de Bearshare en el PestPatrol en los siguientes directorios:

HKEY_LOCAL_MACHINE\software\classes\ed2k

HKEY_LOCAL_MACHINE\software\classes\ed2kurl protocol

HKEY_LOCAL_MACHINE\software\classes\ed2k\defaulticon

HKEY_LOCAL_MACHINE\software\classes\ed2k\shell\open\command

¿Podría ser este el problema? ¿Qué puedo hacer para eliminarlo definitivamente?

PD: Cito el PestPatrol porque es el único programa que me detecta esas entradas de Bearshare (el SpyBot o el Ad-aware, no)

Gracias.

:oops: :oops: :oops: :oops:

Mensaje por **maura63** » 06 Jul 2004, 18:55

Tienes descargado este programa???

Bearshare 4.6.0 beta 12, Freeware. valoración. BearShare es un programa de intercambio de archivos compatible con las redes Gnutella.

Pasa Pestpatrol en modo seguro o a prueba de fallos.

Pero si esta basado en P2P estaras expuesto a una infinidad de virus.

Saludos

maura63

unoquepasa · Mensaje por **unoquepasa** » 06 Jul 2004, 19:10

[quote]Tienes descargado este programa???

Bearshare 4.6.0 beta 12, Freeware. valoración. BearShare es un programa de intercambio de archivos compatible con las redes Gnutella.
[/quote]

No, maura63, no lo tengo.

Esas entradas de Bearshare las reconoce claramente como "pest".

[quote]Pasa Pestpatrol en modo seguro o a prueba de fallos[/quote]

¿Qué quieres decir exactamente?

:oops: :cry:

PD: por cierto, las ventanas que se abren siempre quedan registradas en el historial de navegación como www8.paypopup.com (http://www.pay8popup.com)

Ciao.

Mensaje por **maura63** » 07 Jul 2004, 11:00

Descarga esta utilidad y tras ejecutarla haz un copiar y pegar del resultado y no lo envias como respuesta a este mismo tema.

· Hijackthis

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

----------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.z

Saludos

maura63

unoquepasa · Mensaje por **unoquepasa** » 07 Jul 2004, 18:14

[quote]Descarga esta utilidad y tras ejecutarla haz un copiar y pegar del resultado y no lo envias como respuesta a este mismo tema.
[/quote]

Logfile of HijackThis v1.97.7

Scan saved at 18:11:21, on 07/07/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\NVSVC.EXE

C:\ARCHIVOS DE PROGRAMA\TREND MICRO\PC-CILLIN 2002\PCCIOMON.EXE

C:\ARCHIVOS DE PROGRAMA\TREND MICRO\PC-CILLIN 2002\PCCPFW.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\IRMON.EXE

C:\ARCHIVOS DE PROGRAMA\TREND MICRO\PC-CILLIN 2002\PCCGUIDE.EXE

C:\ARCHIVOS DE PROGRAMA\TREND MICRO\PC-CILLIN 2002\PCCCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\TREND MICRO\PC-CILLIN 2002\POP3TRAP.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\PESTPATROL\PPCONTROL.EXE

C:\ARCHIVOS DE PROGRAMA\PESTPATROL\PPMEMCHECK.EXE

C:\ARCHIVOS DE PROGRAMA\PESTPATROL\COOKIEPATROL.EXE

C:\ARCHIVOS DE PROGRAMA\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE

C:\WINDOWS\SYSTEM\FTVVR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE

C:\ARCHIVOS DE PROGRAMA\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\EMULE\EMULE.EXE

C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

C:\WINDOWS\ESCRITORIO\KLCODEC227F.EXE

C:\WINDOWS\TEMP\IS-9IDL3.TMP\IS-KPMTK.TMP

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\SYSTEM\YUAOAE.DLL

O2 - BHO: (no name) - {3CF84405-BC40-7BE4-8753-60550DA62D4A} - C:\WINDOWS\SYSTEM\ZQUB.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [IrMon] IrMon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\pccguide.exe"

O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCIOMON.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\Pop3trap.exe"

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe

O4 - HKLM\..\Run: [mswspl] C:\WINDOWS\ESCRITORIO\INFAMOUS_DOWNLOADER.EXE

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [NVSvc] C:\WINDOWS\SYSTEM\nvsvc.exe -runservice

O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCIOMON.exe"

O4 - HKLM\..\RunServices: [PCCPFW] C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCPFW.exe

O4 - HKCU\..\Run: [Hqjuuw] C:\WINDOWS\SYSTEM\ftvvr.exe

O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Backward &Links - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38060.1356944444

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab