p**o www.easy-search.biz (solucionado)

fragoba · Mensaje por **fragoba** » 21 Oct 2004, 09:00

Buenas a todos,

Estoy desesperado. No se que puñetas me ha entrado en el portatil que como pagina de inicio me sale machaconamente el dichoso http://www.easy-search.biz.

El aplicado el hijackthis en modo seguro. He eliminado todo (creo q todo) lo que haga mención al search o cualquier cosa sospechosa.... he aplicado el ELISTARTPAGE.... y NADA!!.. vuelve a salir el easy-search.biz....

Os paso listado de HijackThis por si véis algo que me haya dejado..... ESTOY DESESPERADO!!!!!

Logfile of HijackThis v1.98.2

Scan saved at 7:57:50, on 21/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {A5273D97-EF79-4A08-821B-FA7A8443405F} - C:\WINDOWS\System32\dne.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [PadTouch] "C:\Archivos de programa\TOSHIBA\PadTouch\PadExe.exe

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110304 serial=dr12wnp-9936859-ujj lang=ES

O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKLM\..\Run: [Games Acceleration] svshost.exe

O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKCU\..\Run: [Games Acceleration] svshost.exe

O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=file:///C:\Archivos de programa\TOSHIBA\Free Update Service\splash.html

O16 - DPF: {C3586FC7-CD23-11D5-9DD3-00C0DF0506D3} (TPExplorador Control) - http://www.todoperros.com/tpexplorer/tpexploradorproj.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{87C6A21A-3578-4C4F-8559-7063C7559484}: NameServer = 80.58.32.33,80.58.0.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{87C6A21A-3578-4C4F-8559-7063C7559484}: NameServer = 80.58.32.33,80.58.0.97

O18 - Filter: text/html - {06807F20-F138-4D4F-ADC8-F034788F0129} - C:\WINDOWS\System32\dne.dll

O18 - Filter: text/plain - {06807F20-F138-4D4F-ADC8-F034788F0129} - C:\WINDOWS\System32\dne.dll

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

Os agradeceria infinitamente vuestra ayuda. Mi portatil es mi herramienta de trabajo y me es imposible poder hacerlo como está.

Gracias de antemano.

Fragoba

Mensaje por **msc hotline sat** » 21 Oct 2004, 09:55

Los adwares y spywares en general, se eliminan con los antispywares que recomendamos, de los que inicialmente puede probar con el SPYBOT o el AD_AWARE

pero es muy importante que los lance, una vez instalados, arrancando en modo seguro:

Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

Sitio 1 - Descargar Spybot - Search & Destroy 1.3.1

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3.1 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

Ad-Aware SE Personal Build 1.05 + Parche en castellano

http://www.infospyware.com/

Pruebelos, elimine los bichos que detecte, y reinicie de nuevo y nos cuenta el resueltado, como respueta de este Tema, gracias

saludos

ms, 21-10-2004

fragoba · Mensaje por **fragoba** » 21 Oct 2004, 15:24

En primer lugar agradecerte el interés al contestarme.

Me he descargado Spybot (el ad-aware ya lo tenia). He arrancado el sistema en modo seguro (pulsanod f8) y le he hecho un escaneado en profundidad a todo el sistema con ambos programas.

Al reiniciar .... COMO SI NADA... lo mismo.

Otro dato: me he dado cuenta que en propiedades de internet/conexiones/configuracion LAN... "algo" me pone una conexion mediante proxy lo que me deja alucinado.... la deselecciono y pongo "detectar configuración...." (como siempre ha estado).... salgo... entro... y vuelve a estar marcado el dichoso proxy.....

POR FAVOR AYUDA!!!

Gracias anticipadas por vuestra ayuda.

Fragoba

Mensaje por **msc hotline sat** » 21 Oct 2004, 17:39

Indicas que ya tenías el ad_aware, pero ¿ era la 1.05 que te ofreciamos?

Si no lo tenías y utilizaste el antiguo, baja el nuevo y, en modo seguro, lamzalo, pues esto es el quid de la cuestion.

Si ya has pasado la 1.05 y no te detecta nada, cabe ensayar itros antispywares como el Bazooka, el X-Cleaner, etc

https://foros.zonavirus.com/viewtopic.php?t=36

saludos

ms, 21-10-2004

Mensaje por **maura63** » 21 Oct 2004, 17:58

Marca estas entradas con el hijackthis y pulsa FIX

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\sp.html

O14 - IERESET.INF: START_PAGE_URL=file:///C:\Archivos de programa\TOSHIBA\Free Update Service\splash.html

O16 - DPF: {C3586FC7-CD23-11D5-9DD3-00C0DF0506D3} (TPExplorador Control) - http://www.todoperros.com/tpexplorer/tpexploradorproj.cab

O4 - HKCU\..\Run: [Games Acceleration] svshost.exe

Has pasado este programa en modo seguro

Eliminación de paginas de inicio en el internet explorer y no restaurables,

dialers, etc:

Pasos a seguir una ver descargados es instalarlos, actualizados (update)

y escanear el sistema

· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp

Saludos

maura63

Mensaje por **maura63** » 21 Oct 2004, 18:00

O mejor Descargate el a2 que resuelve el problema. Version free

http://www.emsisoft.com/en/software/download/

Cuentanos el resultado.

Saludos

maura63

Mensaje por **msc hotline sat** » 22 Oct 2004, 09:38

Ayer que no teniamos acceso al foro para decirtelo, estuvimos estudiando este triyano, y aparte de lo indicaro por Maura63 puedo decirte que hoy estamos implementando en el ELISTARA:EXE la eliminacion de este troyano, pero mientras cabe hacer dos cosas:

La priemera es arrancar en modo seguro, pues sino por mas claves que elimines, el virus en memoria las vuelve a crear

Y segundo, elimina los ficheros runwin32.exe Y wininet32.exe DE LA CARPETA DE WINDOWS,

Si tras ello ejecutas el ELISTARA.EXE actual (el que tienes), podrás eliminar la pagina de inicio y poner la deseada sin que se te vuelva a cambiar, gracias a lo hecho.

Y repito que esta malana subiremos un nuevo ELISTARA.EXE que ya lo harña tidi, incluso no hará fakta arrancar en mkdo seguro, ya que con ella detenemos los procesos viricos en memoria, ademñas de restaurar claves y de eliminar los gusanos

saludos

ms, 22.10-2004

Mensaje por **msc hotline sat** » 22 Oct 2004, 11:25

Ya está disponible la nueva ELISTARA.EXE:

https://foros.zonavirus.com/viewtopic.php?p=15834#15834

Pruebala y nos dices algo, como respuesta de este Tema, gracias

saludos

ms, 22-10-2004

fragoba · Mensaje por **fragoba** » 23 Oct 2004, 19:12

Gracias a todos por intentar ayudarme. Se seguido como vereis a continuación todas vuestras amables indicaciones y .... SIGUE IGUAL...

Arranco en modo a prueba de errores (F8 al reiniciar) y todos los programas actualizados

* Lanzo Spybot, scaneo y obtengo un bonito DSO Exploit. Fix y Purge (en recovery). En teoria se ha limpiado un bicho.

* Lanzo el CWShredder obtengo 2 limpiezas entre ellas CWS.HiddenDll.

* Adaware 1.05 actualizado. Full scan. Limpio todo lo que sale. 5 Objetos.

* a2. full scan a todo el pc. 0 ficheros Malware

* EliStartPage ultima versión (del viernes). No detecta ni Troyano Startpage ni CWS.

* Disk Cleaner. Borro temporales, archivos.... de internet.

* Resultado de Hijack después de todo este montón de programas (todavia en modo seguro):

Logfile of HijackThis v1.98.2

Scan saved at 18:05:13, on 23/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [PadTouch] "C:\Archivos de programa\TOSHIBA\PadTouch\PadExe.exe

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110304 serial=dr12wnp-9936859-ujj lang=ES

O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe

O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKCU\..\Run: [Games Acceleration] svshost.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{87C6A21A-3578-4C4F-8559-7063C7559484}: NameServer = 80.58.32.33,80.58.0.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{87C6A21A-3578-4C4F-8559-7063C7559484}: NameServer = 80.58.32.33,80.58.0.97

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

La linea: O4 - HKCU\..\Run: [Games Acceleration] svshost.exe

la borro y al volver a escanear sale de nuevo.

Como podreis imaginar al reiniciar el ordenador sigo teniendo los mismos problemas: pagina de inicio "easy-search.biz", pop-ups interminables, inestabilidad en el pc.....

La verdad es que estoy perdiendo la esperanza. Cada vez veo más cerca el formateo del disco duro.

Por favor si se os ocurre algo, comentadmelo.

Gracias a todos.

Fragoba

Mensaje por **maura63** » 24 Oct 2004, 11:40

Has pasado los programa en modo seguro y al tener XP desactivando restaurar sistema :?: :?:

Para ello en el escritorio boton secundario del mousse sobre MI PC, se abrira una ventana pinchamos en la que pone Propiedades y luego en otra que pone Restaurar, al abrirse marcaremos la casilla desactivar restaurar sistema, aplicamos y aceptamos.

Saludos

maura63

fragoba · Mensaje por **fragoba** » 24 Oct 2004, 12:27

Hola Maura,

Efectivamente todo lo he hecho en modo seguro (msconfig /safeboot) y tengo desactivada la restauración del sistema.

¿Se os ocurre algo?

Gracias de todas formas.

Fragoba

Mensaje por **maura63** » 24 Oct 2004, 12:35

Elimina en modo seguro y desactivando restaurar sistema......... ya sabes :wink:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

Hazlo con hijackthis y pulsa FIX

Saludos

maura63

caito · Mensaje por **caito** » 24 Oct 2004, 14:22

Además tendrías que activar la opción de ver todos los archivos :

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.

Luego pasa un antivirus on line ( tienes varios bichos ):

https://www.virustotal.com/es/

Hazlo en Modo Seguro ( si tienes ADSL elige con funciones de red) y con Restaurar sistema deshabilitado, pasa en la misma forma el AdAware o el SpyBot.

reinicia normal y toma un nuevo log con el Hijack.

Salu2

Caito

fragoba · Mensaje por **fragoba** » 25 Oct 2004, 09:51

Sigo con lo mismo...

Aplicados cambios para ver todos los archivos. Arranque en modo seguro. Pasados antivirus recomendado on-line y Norton Antivirus(actualizado) que detecta "Blood.hound.exploit6"... no puede repararlo pero lo deja en cuarentena... y me lo cargo...

Pasado Spybot.. otra vez detecta... DSO.exploit... fix... imunize.... etc

Pasado Ad Aware.... nada

Pasado CWShredder.. nada

Pasado Elistart.exe... nada

HickjackThis... fix en las lineas que me comentais....

RESULTADO?... mirad el log del HijackThis tras reiniciar....

Logfile of HijackThis v1.98.2

Scan saved at 8:46:34, on 25/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\LTSMMSG.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

C:\Archivos de programa\TOSHIBA\PadTouch\PadExe.exe

C:\WINDOWS\System32\TFNF5.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\lssas.exe

C:\WINDOWS\mservice.exe

C:\WINDOWS\System32\TPSBattM.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\WINDOWS\svshost.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\stisvsq.exe

C:\WINDOWS\msqdevl.exe

C:\WINDOWS\iau.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [PadTouch] "C:\Archivos de programa\TOSHIBA\PadTouch\PadExe.exe

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110304 serial=dr12wnp-9936859-ujj lang=ES

O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe

O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKLM\..\Run: [Games Acceleration] svshost.exe

O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe

O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKCU\..\Run: [Games Acceleration] svshost.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{87C6A21A-3578-4C4F-8559-7063C7559484}: NameServer = 80.58.32.33,80.58.0.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{87C6A21A-3578-4C4F-8559-7063C7559484}: NameServer = 80.58.32.33,80.58.0.97

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

LO MISMO!!!!!!!!!..... si selecciono lo tipico.... es decir... las lineas de startpage.. proxy.... y FIX.... al momento vuelven a salir.

ESTO ES DESESPERANTE......

Gracias.

Fragoba

Mensaje por **maura63** » 25 Oct 2004, 12:44

Lanza Hijackthis selecciona estas entradas y pulsa fix

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKLM\..\Run: [Games Acceleration] svshost.exe

O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe

O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKCU\..\Run: [Games Acceleration] svshost.exe

O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe

Elimina esto en C, ojo los que estan en C:\WINDOWS\system32\xxxx NO

C:\WINDOWS\stisvsq.exe

C:\WINDOWS\svshost.exe

C:\WINDOWS\msqdevl.exe

C:\WINDOWS\Issas.exe

C:\WINDOWS\mservice.exe

Saludos

maura63

fragoba · Mensaje por **fragoba** » 25 Oct 2004, 14:12

GRACIAS.... GRACIAS .... Y MIL GRACIAS :D :D :D :D

POR FIN!!!!!... el p**o easy-search.biz NO SALE!!!!

Una vez fixeados los archivos que me comentaste, y pasados todos los programas de nuevo... FIN del bicho....

Abusando un poco mas de vuestra colaboración os pregunto...

Me ha dicho un amigo que instale la actualización de Windows Xp Sp2 (creo q se llama) que tiene incluye firewall, tapa agujeros de seguridad, etcetera.... ¿ES CIERTO?

Y por otra parte me podriais recomendar el mejor Firewall que me evite pasar por esto otra vez?... o al menos tener menos probabilidades....

Gracias de nuevo por vuestra amabilisima ayuda.

Fragoba

Mensaje por **msc hotline sat** » 25 Oct 2004, 14:51

ANTE TODO FELICIDADES !

Y hablando de cortafuegos, estos impiden la entrada de intrusos por ports de comuniaciones, no de spywares como este, que se cazan al navegar por Internet.

De todas formas, al instalar el SP2 del XP, aparte del controlador de ports tiene un protector de ejecucion de ACTIVEX que evita bastantes entradas de estas.

Pero puedes tener otrois problemas, tenlo en cuenta, muchos de ellos provocados por el cierre de ports que bloquea distribucion de algun que otro software, iactualizaciones, etc

https://foros.zonavirus.com/viewtopic.php?t=2784

Y los cortafuegos de soft, incluido el de windows, lo desactivam algunos virus, como:

http://www.vsantivirus.com/bagz-c.htm

Por ello lo mejor es ña instalacion de uno de hardware, pero de softwares, desde el ZoneAlarm hasta los mas sofgisticados de las casa antivirus, tienes mucho que elegir

Y al haberse solucionado el problema, se cierra el Tema

saludos

ms, 25-10-2004

p**o www.easy-search.biz (solucionado)

p**o www.easy-search.biz (solucionado)

nada de nada!!

MIRAD TODO LO QUE HE HECHO Y SIGUE MAL

NADA DE NADA

seguimos igual....

ALELUYA!!!!!