Me siguen apareciendo ventanas al cerrar el IE

jjkk · Mensaje por **jjkk** » 19 Oct 2004, 13:20

Después de varios intentos, conseguí eliminar varios archivos espías, sobre todo gracias al Spybot versión beta. Ya no me detecta nada y conseguí inmunizar también totalmente. El ad-aware tampoco me detecta nada ya. La página de inicio, no se me cambia. Sin embargo a veces, al cerrar el IE, se abre de nuevo con una página porno. Qué más puedo hacer? Gracias. Os pego la secuencia que me sale en el hijackthis.

Logfile of HijackThis v1.98.2

Scan saved at 13:14:25, on 19/10/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\etg.exe

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\Archivos de programa\Norton Internet Security\IAMAPP.EXE

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton Internet Security\NISUM.EXE

C:\Archivos de programa\Norton Internet Security\NISSERV.EXE

C:\Archivos de programa\Norton Internet Security\SymProxySvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Norton Internet Security\ATRACK.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propietario\Mis documentos\Mis archivos recibidos\HijackThis.exe

R3 - URLSearchHook: (no name) - {A23C1AFE-1077-F742-4D6D-610D82251586} - C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\etg.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [F098B983] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\4cpl.exe

O4 - HKLM\..\Run: [8A2B14F3] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\etg.exe

O4 - HKLM\..\Run: [AA985566] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\e51bywoxmnb.exe

O4 - HKLM\..\Run: [49158276] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\30rd2.exe

O4 - HKLM\..\Run: [FD88BF4B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\tn8hjx2be.exe

O4 - HKLM\..\Run: [AA5F9F5B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\g97odknnhi08.exe

O4 - HKLM\..\Run: [DD1D51CB] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\ztrdlqy3.exe

O4 - HKLM\..\Run: [403D49EE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\vhv5wg.exe

O4 - HKLM\..\Run: [5FC2BADE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\wy5p7htste.exe

O4 - HKLM\..\Run: [481B24CE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\v0gfm.exe

O4 - HKLM\..\Run: [A009E556] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\lnxj3v4hu.exe

O4 - HKLM\..\Run: [FA7D80CE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\mi0bv.exe

O4 - HKLM\..\Run: [4C5B50F6] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c37ox.exe

O4 - HKLM\..\Run: [5E6F97F6] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c1wxii23st.exe

O4 - HKLM\..\Run: [8856456E] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\mgpkgdjfgn.exe

O4 - HKLM\..\Run: [DF4EB6FB] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\ureuyl119m.exe

O4 - HKLM\..\Run: [8F6E7B06] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\khhf.exe

O4 - HKLM\..\Run: [87D85EF3] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\0ou.exe

O4 - HKLM\..\Run: [C9F90286] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\az2b.exe

O4 - HKLM\..\Run: [9523FA5B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\zv240dul8dda.exe

O4 - HKLM\..\Run: [D7282573] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c8x.exe

O4 - HKLM\..\Run: [5BDA1656] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\796ax.exe

O4 - HKLM\..\Run: [9681B4DE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\2xq6mj1dvmqs.exe

O4 - HKLM\..\Run: [99AE3903] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\8mdf.exe

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [iamapp] C:\Archivos de programa\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SP32] C:\WINDOWS\SP32.exe

O4 - HKCU\..\Run: [F098B983] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\4cpl.exe

O4 - HKCU\..\Run: [8A2B14F3] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\etg.exe

O4 - HKCU\..\Run: [AA985566] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\e51bywoxmnb.exe

O4 - HKCU\..\Run: [49158276] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\30rd2.exe

O4 - HKCU\..\Run: [FD88BF4B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\tn8hjx2be.exe

O4 - HKCU\..\Run: [AA5F9F5B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\g97odknnhi08.exe

O4 - HKCU\..\Run: [DD1D51CB] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\ztrdlqy3.exe

O4 - HKCU\..\Run: [403D49EE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\vhv5wg.exe

O4 - HKCU\..\Run: [5FC2BADE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\wy5p7htste.exe

O4 - HKCU\..\Run: [481B24CE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\v0gfm.exe

O4 - HKCU\..\Run: [A009E556] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\lnxj3v4hu.exe

O4 - HKCU\..\Run: [FA7D80CE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\mi0bv.exe

O4 - HKCU\..\Run: [4C5B50F6] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c37ox.exe

O4 - HKCU\..\Run: [5E6F97F6] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c1wxii23st.exe

O4 - HKCU\..\Run: [8856456E] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\mgpkgdjfgn.exe

O4 - HKCU\..\Run: [DF4EB6FB] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\ureuyl119m.exe

O4 - HKCU\..\Run: [8F6E7B06] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\khhf.exe

O4 - HKCU\..\Run: [87D85EF3] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\0ou.exe

O4 - HKCU\..\Run: [C9F90286] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\az2b.exe

O4 - HKCU\..\Run: [9523FA5B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\zv240dul8dda.exe

O4 - HKCU\..\Run: [D7282573] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c8x.exe

O4 - HKCU\..\Run: [5BDA1656] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\796ax.exe

O4 - HKCU\..\Run: [9681B4DE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\2xq6mj1dvmqs.exe

O4 - HKCU\..\Run: [99AE3903] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\8mdf.exe

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Corel Network monitor worker - {1EF6C2A1-BEB6-402A-B7A3-25A9F5164833} - (no file)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1EF6C2A1-BEB6-402A-B7A3-25A9F5164833} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Corel Network monitor worker - {1EF6C2A1-BEB6-402A-B7A3-25A9F5164833} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1EF6C2A1-BEB6-402A-B7A3-25A9F5164833} - (no file) (HKCU)

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DC814452-7142-419A-A984-99F4BAC3B874}: NameServer = 80.58.0.33,80.58.32.97

Mensaje por **msc hotline sat** » 19 Oct 2004, 14:35

Indicanos el link de la pagimna en cuestion y trataremos de buscar el spuware que la carga, y la utilidad correspondiente de eliminacion.

saludos

ms, 19-10-2004

jjkk · Mensaje por **jjkk** » 19 Oct 2004, 18:08

La última que se me abrió es http://teen-attack.com/ y se crearon dos cookies, que son: propietario@door.maturezz.com y propietario@teen-attack.com

Mensaje por **maura63** » 19 Oct 2004, 18:34

Desactiva restaurar sistema y enciende en modo seguro, ejecuta hijackthis marca estas entradas en el cuadro de la izquierda y pulsa FIX

R3 - URLSearchHook: (no name) - {A23C1AFE-1077-F742-4D6D-610D82251586} - C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\etg.exe

O4 - HKLM\..\Run: [F098B983] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\4cpl.exe

O4 - HKLM\..\Run: [8A2B14F3] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\etg.exe

O4 - HKLM\..\Run: [AA985566] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\e51bywoxmnb.exe

O4 - HKLM\..\Run: [49158276] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\30rd2.exe

O4 - HKLM\..\Run: [FD88BF4B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\tn8hjx2be.exe

O4 - HKLM\..\Run: [AA5F9F5B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\g97odknnhi08.exe

O4 - HKLM\..\Run: [DD1D51CB] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\ztrdlqy3.exe

O4 - HKLM\..\Run: [403D49EE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\vhv5wg.exe

O4 - HKLM\..\Run: [5FC2BADE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\wy5p7htste.exe

O4 - HKLM\..\Run: [481B24CE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\v0gfm.exe

O4 - HKLM\..\Run: [A009E556] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\lnxj3v4hu.exe

O4 - HKLM\..\Run: [FA7D80CE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\mi0bv.exe

O4 - HKLM\..\Run: [4C5B50F6] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c37ox.exe

O4 - HKLM\..\Run: [5E6F97F6] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c1wxii23st.exe

O4 - HKLM\..\Run: [8856456E] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\mgpkgdjfgn.exe

O4 - HKLM\..\Run: [DF4EB6FB] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\ureuyl119m.exe

O4 - HKLM\..\Run: [8F6E7B06] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\khhf.exe

O4 - HKLM\..\Run: [87D85EF3] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\0ou.exe

O4 - HKLM\..\Run: [C9F90286] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\az2b.exe

O4 - HKLM\..\Run: [9523FA5B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\zv240dul8dda.exe

O4 - HKLM\..\Run: [D7282573] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c8x.exe

O4 - HKLM\..\Run: [5BDA1656] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\796ax.exe

O4 - HKLM\..\Run: [9681B4DE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\2xq6mj1dvmqs.exe

O4 - HKLM\..\Run: [99AE3903] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\8mdf.exe

O4 - HKCU\..\Run: [F098B983] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\4cpl.exe

O4 - HKCU\..\Run: [8A2B14F3] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\etg.exe

O4 - HKCU\..\Run: [AA985566] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\e51bywoxmnb.exe

O4 - HKCU\..\Run: [49158276] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\30rd2.exe

O4 - HKCU\..\Run: [FD88BF4B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\tn8hjx2be.exe

O4 - HKCU\..\Run: [AA5F9F5B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\g97odknnhi08.exe

O4 - HKCU\..\Run: [DD1D51CB] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\ztrdlqy3.exe

O4 - HKCU\..\Run: [403D49EE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\vhv5wg.exe

O4 - HKCU\..\Run: [5FC2BADE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\wy5p7htste.exe

O4 - HKCU\..\Run: [481B24CE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\v0gfm.exe

O4 - HKCU\..\Run: [A009E556] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\lnxj3v4hu.exe

O4 - HKCU\..\Run: [FA7D80CE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\mi0bv.exe

O4 - HKCU\..\Run: [4C5B50F6] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c37ox.exe

O4 - HKCU\..\Run: [5E6F97F6] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c1wxii23st.exe

O4 - HKCU\..\Run: [8856456E] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\mgpkgdjfgn.exe

O4 - HKCU\..\Run: [DF4EB6FB] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\ureuyl119m.exe

O4 - HKCU\..\Run: [8F6E7B06] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\khhf.exe

O4 - HKCU\..\Run: [87D85EF3] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\0ou.exe

O4 - HKCU\..\Run: [C9F90286] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\az2b.exe

O4 - HKCU\..\Run: [9523FA5B] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\zv240dul8dda.exe

O4 - HKCU\..\Run: [D7282573] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\c8x.exe

O4 - HKCU\..\Run: [5BDA1656] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\796ax.exe

O4 - HKCU\..\Run: [9681B4DE] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\2xq6mj1dvmqs.exe

O4 - HKCU\..\Run: [99AE3903] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\8mdf.exe

Tienes puestas algunas restricciones en el Explorer por tu parte? :?: :?: de no ser asi borra tambien estas

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Saludos

maura63

Mensaje por **msc hotline sat** » 19 Oct 2004, 18:46

Prueba lo indicado por Maura63, además mira la informacion relativa a dicha pagina:

http://research.internetfilter.com/research.php?pg=496

Cometanos los resultadops como respuesta de este Tema, gracias

Si veo informacion relativa al respecto, os lo comentar´ñe

saludos

ms, 19-10-2004