Ware out. (TERMINADO)

[hector_16]

hola, soy nuevo en este foro espero que me ayuden porque ya que no se que hacer...he [b][i]hecho[/i][/b] de todo pero nada, he analizado con varios antyspywares y nada...hace unos días el internet me [b][i]iba[/i][/b] lento pero no le di importancia y al día siguiente cuando ponía en google algo al pinchar en el enlace me redireccionaba a otras paginas que no tenían nada que ver...me informe y ejecute el fixwareout pero nada [b][i]iba[/i][/b] el internet 1 minuto bien pero despues volvia a salir el redireccionamiento.



aqui el log a ver si me pueden ayudar...si no a formatear XD con linux no me pasaba esto :( jajajaja





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 3:52:07, on 30/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\ARCHIV~1\AVG\AVG8\avgtray.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\ARCHIV~1\AVG\AVG8\avgrsx.exe

C:\ARCHIV~1\AVG\AVG8\avgemc.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [AVG8_TRAY] "C:\ARCHIV~1\AVG\AVG8\avgtray.exe"

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe (file missing)

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Archivos de programa\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe (file missing)

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. (http://www.webroot.com) - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe



--

End of file - 2966 bytes





PD: tengo el win UE 7.0





gracias de antemano :D

[msc hotline sat]

Pues elimine esta clave del SPYBRO:





O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y para la variante del FLUSH o DNSCHANGER que debe tener instalada, pruebe el ELISTARA:





ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 30 de Agosto de 2008

[hector_16]

hola, lo primero gracias por tu tiempo, lo segundo he echo lo que tu me has dicho aquí el infosat.





Sat Aug 30 12:39:54 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinDir%\PeerNet"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Aug 30 12:40:38 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Archivos de programa\Power Translator 11\Addins\LECOUTLOOKADDIN.DLL --> Eliminado, MoviePass

C:\fixwareout\FindT\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 4463

Nº Total de Ficheros: 47114

Nº de Ficheros Analizados: 18039

Nº de Ficheros Infectados: 3



pero el problema aún continua :? no se, ya me dices si ves algo raro...GRACIAS!!

[msc hotline sat]

Puede tratarse de una variante no controlada.



Lanza este AV ONLINE y posteanos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





saludos



ms, 30 de Agosto de 2008

[hector_16]

ya probé analizarlo con kapersky online pero no se porque el firefox i el IE no me muestran la pagina, no se si se tratará que el mismo spyware que la bloquea, o es que temporalmente esta inactiva.



saludos y gracias

[msc hotline sat]

Prueba con el I.E. y acepta la instalacion de los Active X que te proponga, es de confianza...



saludos



ms, 30 de Agosto de 2008

[hector_16]

[quote="msc hotline sat"]Prueba con el I.E. y acepta la instalacion de los Active X que te proponga, es de confianza...



saludos



ms, 30 de Agosto de 2008[/quote]



no me va ni con el IE ni con el firefox...



salu2 y gracias de nuevo.

[msc hotline sat]

Bueno, pues arranca en modo seguro con funciones de red y prueba de nuevo lanzarlo con el I.E. ...



saludos



ms, 30 de Agosto de 2008

[hector_16]

[quote="msc hotline sat"]Bueno, pues arranca en modo seguro con funciones de red y prueba de nuevo lanzarlo con el I.E. ...



saludos



ms, 30 de Agosto de 2008[/quote]



tampoco me carga la pagina, voy a descargarme la versión trial del kapersky y a ver que tal, ya te cuento...



saludos y gracias!

[msc hotline sat]

Buena idea. Suerte !



Y posteanos igualmente el informe del proceso, aunque ya haya eliminado los malwares que encuentre.



saludos



ms, 30 de Agosto de 2008

[hector_16]

bueno lo ejecute, actualize y me encontro 24 virus :? ya los he borrado todos, pero el problema sigue...a alguien se le ocurre algo para hacer??





eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\1UUMPVVW\B3042763[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\1UUMPVVW\CAP8WJLP.htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\1UUMPVVW\google[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\1UUMPVVW\iesettings[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\37FBNVGZ\01hom_comprar_il[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\37FBNVGZ\ads72890[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\37FBNVGZ\ax[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\37FBNVGZ\banner2[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\37FBNVGZ\cache[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\37FBNVGZ\download;plat=2;cat=548;type=sponsor;sz=655x131;ord=1223229602[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\37FBNVGZ\jump1[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\37FBNVGZ\zredirect[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\CDEFKDEN\01hom_comprar[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\CDEFKDEN\CALG6HTB.htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\CDEFKDEN\CheckUpdateSdkV1[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\CDEFKDEN\trojanscan[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\RRSQJEO5\01hom_info[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\RRSQJEO5\01hom_info_il[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\RRSQJEO5\ax[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\RRSQJEO5\brand[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Archivos temporales de Internet\Content.IE5\RRSQJEO5\sfredirect[1].htm

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Configuración local\Temp\a2onlinescan\axscanengine.ini

eliminado: Un caballo de troya Trojan-Downloader.JS.Agent.cnn Fichero: C:\Documents and Settings\hector\Datos de programa\Spyware Terminator\info.htm

detectado: Un caballo de troya Trojan-Dropper.Win32.Agent.qnx Fichero: C:\Documents and Settings\hector\Escritorio\DVD_SYMBIAN_3G_v1.0.iso//Tutoriales/TUTORIALES PARA CREAR CERTIFICADOS PARA FIRMAR APLICACIONES/Xpress Signer/XpressSigner_eng.exe





saludos y gracias!!

[hector_16]

bueno lo pasé otra vez y me ha encontrado7 virus nuevos, todos troyanos...estaba asta [b][i]arriba[/i][/b] de troyanos, creo que kaspersky sera mi antivirus porque ya no me fió de los otros...



otra cosa, el causante del mal me rediccerionaba a través de analytich-checks.google.com(pagina que no existe) es lo único que he averiguado...el problema persiste...creo que pondré formatear y ya ta porque a otras personas con elistara ya les iba bien...que me recomendáis?

[msc hotline sat]

Pues envianos este fichero [b][i]XpressSigner_eng.exe[/i][/b] y lo analizaremos y monitorizaremos para ver lo que hace y modifica, y poder controlarlo y restaurarlo con nuestras utilidades:



detectado: Un caballo de troya Trojan-Dropper.Win32.Agent.qnx Fichero: C:\Documents and Settings\hector\Escritorio\DVD_SYMBIAN_3G_v1.0.iso//Tutoriales/TUTORIALES PARA CREAR CERTIFICADOS PARA FIRMAR APLICACIONES/Xpress Signer/[b][i]XpressSigner_eng.exe[/i][/b]



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y mientras renombra su extension a .VIR para que no pueda ser usado a partir del proximo reinicio.



saludos



ms, 31 de Agosto de 2008

[hector_16]

[quote="msc hotline sat"]Pues envianos este fichero [b][i]XpressSigner_eng.exe[/i][/b] y lo analizaremos y monitorizaremos para ver lo que hace y modifica, y poder controlarlo y restaurarlo con nuestras utilidades:



detectado: Un caballo de troya Trojan-Dropper.Win32.Agent.qnx Fichero: C:\Documents and Settings\hector\Escritorio\DVD_SYMBIAN_3G_v1.0.iso//Tutoriales/TUTORIALES PARA CREAR CERTIFICADOS PARA FIRMAR APLICACIONES/Xpress Signer/[b][i]XpressSigner_eng.exe[/i][/b]



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y mientras renombra su extension a .VIR para que no pueda ser usado a partir del proximo reinicio.



saludos



ms, 31 de Agosto de 2008[/quote]





no puedo, ya lo he borrado, ya que lo único por lo que no podía ser eliminado era por una contraseña, que era la del rar donde estaba dentro ese fichero...

[msc hotline sat]

Pues "has quemado las naves". Sin muestra que monitorizar, no podemos ver lo que hace para deshacerlo.



Por esto usamos el ONLINE, que informa sin eliminar, pero como que en este caso no podías y has tenido que descargar el trial, se supone que debería haber hecho lo necesario...



Por si el virus eliminó algun fichero de sistema que sea necesario, puedas REPARAR el sistema:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



y nos informas del resultado, gracias



saludos



ms, 31 de Agosto de 2008

[hector_16]

[quote="msc hotline sat"]Pues "has quemado las naves". Sin muestra que monitorizar, no podemos ver lo que hace para deshacerlo.



Por esto usamos el ONLINE, que informa sin eliminar, pero como que en este caso no podías y has tenido que descargar el trial, se supone que debería haber hecho lo necesario...



Por si el virus eliminó algun fichero de sistema que sea necesario, puedas REPARAR el sistema:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



y nos informas del resultado, gracias



saludos



ms, 31 de Agosto de 2008[/quote]

ya pero no se si instalar ubuntu en una particion y win UE 7.0 sp3 en la otra...de todas maneras ya os contaré...



muchas gracias por todo y saludos!!

[msc hotline sat]

Ni del uno ni del otro damos soporte en este foro, pero eres libre de hacer lo que quieras, claro.



Y dando por terminado el Tema, procedemos a cerrarlo



saludos



ms, 1-09-2008