¡¡¡AYUDA!!! ATAQUE BACKDOOR HACKDEFENDER HXDEFDRV.SYS

[elduquenegro]

Hola,

el citado virus cada vez que abro internet explorer me impone una pantalla en la que me solicita un nombre de usuario y contraseña, por lo que no puedo entrar en internet de ningún modo. He pasado todo tipo de antivirus y antyspys y no se va. Es imposible. Siempre aparece, incluso limpiando el registro. ¿Qué se os ocurre?

Un saludo afectivo y gracias,

EDQ



Ahí va mi log:



Logfile of HijackThis v1.97.7

Scan saved at 20:18:50, on 23/11/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\Archivos de programa\SinEspias\No-Spy.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\NavNT\defwatch.exe

C:\Archivos de programa\NavNT\rtvscan.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsgSys.EXE

C:\WINDOWS\regedit.exe

C:\WinRAR.exe

C:\WinRAR.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe

O4 - HKLM\..\Run: [EnvyHFCPL] C:\Archivos de programa\Envy24\EnMixCPL.exe

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

[maura63]

Desinstala este programa



C:\Archivos de programa\SinEspias\No-Spy.exe



y marca las entradas al lanzar hijackthis y pulsa FIX.



Hazlo en modo seguro y desactia restaurar sistema.



Saludos

maura63

[elduquenegro]

Lo probaré esta tarde. Espero que funcione. He intentado de todo, pero es muy difícil pillarlo... Con el symantec me dice que hay este virus, pero no me deja eliminarlo...

[elduquenegro]

Hola Maura... He llamado por tel. y han hecho lo que indicas, y me han dicho que sigue igual... Es jodido el cabr**... Saludos

[maura63]

Comprueba que se muestran todos los archivos y carpetas



Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.



Tendras que buscar en modo seguro en C esto



C:\Archivos de programa\SinEspias\No-Spy.exe

lo borras y pulsando en hijackthis scan marcas estas entradas y pulsa FIX para eliminar



O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autoru



Saludos

maura63

[elduquenegro]

Recibe un abrazo...

Te digo algo.

Saludos,

EDQ

[caito]

Y si no se solucionó puede que sea por esto :

versión no actualizada del Hijack, el log no está completo.

Actualiza a la v. 1.98.2

Pon completo el log.

Salu2

Caito

[elduquenegro]

Mirad el log a ver lo que veis. Internet Explorer todavía me pide el usuario y la contraseña...



Logfile of HijackThis v1.98.2

Scan saved at 20:20:13, on 29/11/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

[maura63]

Has probado un antivirus online



Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/





Saludos

maura63

[elduquenegro]

Maura... El problema es que no puedo conectarme y escanear el ordenador porque antes de navegar ya me aparece la ventana flotante con el user y el password. Si me das un mail te remito las capturas de pantalla...

Gracias...

Un saludo.

EDQ