la barra de herramientas maldita y otras leyendas (soluciona

indywear · Mensaje por **indywear** » 23 Nov 2004, 22:30

Hola a todos...

Estoy frustrado, llevo toda la mañana luchando contra esa barra de herramientas que llego a mi gracias al messenger plus (si, culpa mia lo de no leer las condiciones, pero uno coge carrerilla...), y no hay manera de quitarla. Me he leido el foro todo lo posible, he aplicado los metodos expuestos, como bajarme el spybot, ad-aware, cwshredder, bazooka...corriendolos en modo seguro y con la restauracion de sistema desactivada, y nada.

Me descargue el archivo "quitar.zip" que vi por ahi, pero casi ha sido peor el remedio, porque si bien me quito la barra de inmediato, cuando reinicie no solo volvio la barra, sino los accesos directos y enlaces de favoritos que habia eliminado manualmente antes.

He ejecutado el Hijackthis creando logs en varios momentos: al principio, despues de ejecutar el "quitar" (hubo un cambio: realmente me quito una de las lineas con pinta sospechosa, pero al siguiente reinicio volvio todo a la "normalidad), despues de pasar todos los programas anteriormente citados aun en modo seguro, y nuevamente al volver al modo normal y ver de nuevo la barra misteriosa.

Ayer, cuando inicie mi rebelion, me baje primeramente de softonic un programa que se llama Giant Anti-spyware, porque vi varias opiniones favorables y tenia buena pinta. Y parece que va bien, me avisa de cuando algo intenta cambiar mi página de búsqueda, de programas que tocan el registro...y "teóricamente", me había eliminado peligros como el Common Hijacker ese. De hecho, al ejecutar todos en modo seguro, los demas me decian que todo ya estaba en orden, y este aun me encontro el Common Hijacker...y me prometio que lo habia arreglado (tambien me lo prometio varias veces antes, aunque no en modo seguro y con restauracion desactivada, claro).

Y al volver al modo normal, durante un breve espacio de tiempo parecia que habia arreglado todo...hasta que me han aparecido varios avisos seguidos del Giant indicandome que algo trataba de cambiar la URL de la pagina de busqueda. Le he dado a bloquear en todos, pero en uno de ellos, me he dejado marcada la opcion "Send to Spynet", y justo despues de eso ha vuelto a aparecer la barra, y el siguiente mensaje de alerta ya me decia que algo queria cambiar la URL actual que era algo como "http://aosnidnosindaosdasdnjaosjndaoisnjd" por otra parecida...vamos, que ya me la habia cambiado.

En fin, ya no se que mas hacer, si pudierais ayudarme os lo agradeceria muchisimo. Dejo por aqui el ultimo log del Hijackthis por si es de utilidad.

Saludos!

Logfile of HijackThis v1.98.2

Scan saved at 13:14:24, on 24/11/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\hpnra.exe

C:\WINDOWS\System32\wuauclt.exe

D:\daemon\daemon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

D:\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\ACD Systems\ImageFox\ImageFox.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

D:\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realevent.exe

D:\Jordi\Programas\Defensa\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cudntbnjfiec.net/zUhWoa64M5BpLnXzBT1_k_vyIZrrD4yv4bhYnF1SIwgdXNeF/Q_PDJ4ntwLdWSg0.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\System32\hpnra.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\daemon\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [gcasServ] "D:\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Anti-Dialers] D:\Anti-Dialers\Anti-Dialers.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ChinShow] C:\DOCUME~1\J4E10~1.GUT\DATOSD~1\UPLOAD~1\Mix Cash.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: ImageFox.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab

O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://www.structuralia.com/cdl1/cvdata/curso151/material/asg391/install/AuthorwareFull/AwareWebPlayer/Download/Smart/Cab/awswaxf.cab

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\ACAD2000\InstFred.ocx

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

O16 - DPF: {5445BE81-B796-11D2-B931-002018654E2E} (MeadCo Security Manager) - http://chatcenter.wanadoo.es:8883/wcsapp/weblib/Javascript/messaging/ie/SecMgr.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\ACAD2000\AcDcToday.ocx

O16 - DPF: {7DD62E58-5FA8-11D2-AFB7-00104B64F126} (Sview Control) - https://www.lineacaminos.com/visor/visor.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\ACAD2000\InstBanr.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\ACAD2000\AcPreview.ocx

O19 - User stylesheet: (file missing)

caito · Mensaje por **caito** » 23 Nov 2004, 23:39

Ejecuta el hijack, Scan y luego Fix a estas :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cudntbnjfiec.net/zUhWoa64M5BpLnXzBT1_k_vyIZrrD4yv4bhYnF1SIwgdXNeF/Q_PDJ4ntwLdWSg0.htm

O19 - User stylesheet: (file missing)

Borra Archivos Temporales de Internet,Archivos Temporales de sistema,cookies,historial y vacía la papelera.

Pasa el AdAware Se actualizado , reinicia y cuenta como anda.

Salu2

Caito

Pd :

esta entrada no se que pueda ser a ver si la conoces :

O4 - HKCU\..\Run: [ChinShow] C:\DOCUME~1\J4E10~1.GUT\DATOSD~1\UPLOAD~1\Mix Cash.exe

indywear · Mensaje por **indywear** » 24 Nov 2004, 01:43

Nada, todo sigue igual...

He ejectuado el hijack y he "fixeado" las entradas que me has comentado (esa de 04 que pones en la PD ni idea de lo que es tampoco...bueno, la verdad es que no tengo mucha idea de nada, jeje), he borrado temporales y vaciado papelera, y he ejecutado el Ad-aware en scan completo, y me ha encontrado tres objetos criticos llamados Lop.

Los he eliminado y he reiniciado, pero ahi estaba la barra, y el Giant avisandome de que algo queria cambiar mi URL de la pagina de busqueda, de una que ya era horrible, a otra peor. Y para colmo, le he dado a block y al poco me ha salido un mensajillo diciendome que se habia permitido el cambio de url como yo habia dicho, asi que ya me he mosqueado y lo he desinstalado.

Nuevamente he pasado el Ad-aware, en scan inteligente y ahi estaba uno de esos Lop que se suponia me habia eliminado en el episodio anterior, asi que otra vez le he dado a eliminar. He reiniciado en modo seguro, y nueva ejecucion del ad-aware, que esta vez no ha encontrado nada. Pero al volver al modo normal...en efecto, ese Lop y esa barra inmortal seguian ahi! :evil:

He apuntado la ruta del llamado Lop: "c:\documen-1\j4e10.gut\config-1\temp\srqhpyvy.exe", y al buscarlo en el explorador de windows...misterio! el directorio esta aparentemente vacio! (con las opciones de ver todo tipo de archivos activadas, claro).

*Suspiro* Creo que voy a tener que rendirme :roll:

caito · Mensaje por **caito** » 24 Nov 2004, 20:58

Intenta esto :

Para configurar Windows XP para que muestre las extensiones de archivo:

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.

Ahora ejecuta otra vez el hijack en modo normal y manda un nuevo log.

Salu2

Caito

caito · Mensaje por **caito** » 24 Nov 2004, 20:58

Intenta esto :

Para configurar Windows XP para que muestre las extensiones de archivo:

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.

Ahora ejecuta otra vez el hijack en modo normal y manda un nuevo log.

Salu2

Caito

Mensaje por **maura63** » 26 Nov 2004, 02:06

Has leido la informacion que hay en la pagina principal de Giant Anti-spyware :?: :?: .

Hay un apartado en el cual comenta contar con el servicio Send to Spynet y conectar con un servidor para ver el problema digamos el tiempo real y ver si se trata de spyware.

Yo probaria a desinstalarlo y colocar Spybot que si lo pones como residente te avisara tambien de cualquier intento de cambio en el registro de windows.

Por probar que no quede.

Saludos

maura63

indywear · Mensaje por **indywear** » 27 Nov 2004, 01:33

Buenas de nuevo!

Parece que algo ha debido funcionar, no canto victoria, pero llevo ya un poco mas de un dia sin que ocurra nada extraño :)

Lo ultimo que hice fue desinstalar el giant pero completamente, incluyendo una limpieza del registro con el regclean, y aunque al volver a pasar el ad-aware volvio a encontrarme el dichoso lop, esta vez lo elimine tanto en el programa como eliminando el directorio misterioso completo, y volvi a ejecutar el new_install )el del "quitar.zip"), y de momento no he vuelto a tener noticias ni de la barra ni del common hijacker ni del lop.com...En un momento derrotista pense que siempre podia andar pasando el new_install cada vez que saliera la barra, que aparentemente funcionaba aunque al reiniciar todo volvia al principio...

Quien sabe, lo mismo era que el Giant y todo lo demas que habia bajado despues por alguna razon se interferian en la defensa o algo...Vamos, que yo no tengo ni idea de estas cosas, y el Giant me parecia un buen programa, pero lo mismo es de algun modo incompatible con los otros o alguna movida.

En fin, por el momento parece que la tranquilidad ha vuelto a mi PC. Muchisimas gracias por los consejos que me habeis dado, y por todo lo que he descubierto buscando en este foro.

Un saludo :D

carolxsiempre · Mensaje por **carolxsiempre** » 27 Nov 2004, 03:15

A veces suele ser peor el remedio que utilizamos que la enfermedad, asi que solucionado el asunto se da por cerrado el tema.

Saludos

Carolxsiempre