CWS.dnsrelay

[toXicosmos]

hola gente, llevo una semana intentando borrarlo y no se q hacer ya, le pase el Spybot y x mas q diga resuelto no se borra, ademas de q me quita la linea de internet, me sale una barra en IE, y os pondria un blog del Hijackthis xro m da un error y no se me abre, tb m pasa con el spywareblaster, y q mas.....mm...en el cwshredder, sale el dnsrelay xro no m pone q lo tenga ni q desinfecte nada, asi q ayudaaarme plis, grasias y salu2

[maura63]

Consulta link



http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453077862



Mira si puedes pasar este antivirus online en modo seguro y con funciones de red



Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/





Todo dependera del tipo de conexcion y sistema operativo



Saludos

maura63

[toXicosmos]

Hoy me he levantado y todo sigue =, aunque el hijackthis me ha funcionado ahi dejo eso, gracias d antemano, x cierto el [b]SO[/b] es [b]Win98..[/b]



Logfile of HijackThis v1.97.7

Scan saved at 10:47:23 a.m., on 01/12/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\HPSJVXD.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGEMC.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

D:\MIS DOCUMENTOS\MIS PROGRAMAS\ANTI SPY-WARE, ANTI-TROYANOS,ETC\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bvctuztuxpyulr.com/22erERqw03adLcphWpvDdR3y7kyLMBZbiCQ65OazK3jXiuqbwW846sJzp6oHEdqO.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm

R3 - URLSearchHook: (no name) - {FDE3577A-6254-181C-4E11-339E4F746BD3} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-76746C56544C} - C:\WINDOWS\SYSTEM\VTLBAR1.DLL

O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-76746C56544C} - C:\WINDOWS\SYSTEM\VTLBAR1.DLL

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [HPSCANMonitor] C:\WINDOWS\SYSTEM\hpsjvxd.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe

O4 - HKLM\..\Run: [shim dart city book] C:\WINDOWS\Profiles\A130090\Application Data\safe seek shim dart\DART TITLE.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [PavProc] C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\PavPrS9x.exe

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [WindowInter] C:\WINDOWS\PROFILES\A130090\APPLIC~1\FLAPBASE\date itch.exe

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38320.0434837963

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.235.113.3,195.235.96.90

[maura63]

Usa la version mas reciente



· Hijackthis version: 1.98.2



Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

-------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip





Descarga y descomprimes, con todos los programas cerrados incluso el internet explorer, lo ejecutas, pulsa scan y luego en save, se abrira un fichero log txt con el resultado, haz un copiar y pegas el resultado como respuesta a este tema.



Pero pasa antes estos programas que limpiaran en parte la PC



Eliminacion de adwares y spywares



Spybot S&D



Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



Ad_Aware SE



Ad-Aware SE Personal Build 1.05 + Parche en español

http://www.infospyware.com/





Eliminación de paginas de inicio en el internet explorer y no restaurables,dialers,secuestros del navegador, etc:





CWSHREDDER 2.0



http://www.softpedia.com/public/cat/10/17/10-17-150.shtml





Descarga y actualiza, pasalos en modo seguro. Luego vuelve a mirar el log de hijackthis.



Saludos

maura63

[toXicosmos]

Le pase los programas como m dijiste y todavia me sale la barra IE (Search Now!), el spybot no me reconocio ningun espia, y despues de todo le pase el hijackthis



Logfile of HijackThis v1.98.2

Scan saved at 12:06:43 p.m., on 01/12/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\HPSJVXD.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ACCESORIOS\WORDPAD.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ikrnxejrmsxgmavup.com/22erERqw03adLcphWpvDdR3y7kyLMBZbiCQ65OazK3izn_CvyZhh9cJzp6oHEdqO.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm

R3 - URLSearchHook: (no name) - {FDE3577A-6254-181C-4E11-339E4F746BD3} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [HPSCANMonitor] C:\WINDOWS\SYSTEM\hpsjvxd.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe

O4 - HKLM\..\Run: [shim dart city book] C:\WINDOWS\Profiles\A130090\Application Data\safe seek shim dart\DART TITLE.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [PavProc] C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\PavPrS9x.exe

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [WindowInter] C:\WINDOWS\PROFILES\A130090\APPLIC~1\FLAPBASE\date itch.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.235.113.3,195.235.96.90

[maura63]

Antes de nada desinstala el mesenger Plus 3, seguramente cuando lo instalastes aceptates todos y se colo basura.



Elimina vuelve a instalar pero ojo con lo que aceptas.



Saludos

maura63

[toXicosmos]

Parece q al desistalar el Plus! han desaparecido las barras, xro n el hijackthis sigue saliendo lo mismo, ademas tb m llama la antención un archivo q se llama "èØd" q siempre aparece en el escritorio, y tb q los iconos no salen con la configuracion de color q tngo no se si m explico,, gracias



Logfile of HijackThis v1.98.2

Scan saved at 12:44:17 p.m., on 01/12/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\HPSJVXD.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vnblcpwdgrtmpmqmpwkiqnmhc.com/22erERqw03adLcphWpvDdR3y7kyLMBZbiCQ65OazK3hRkE2TnOiE8cJzp6oHEdqO.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm

R3 - URLSearchHook: (no name) - {FDE3577A-6254-181C-4E11-339E4F746BD3} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [HPSCANMonitor] C:\WINDOWS\SYSTEM\hpsjvxd.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [PavProc] C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\PavPrS9x.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.235.113.3,195.235.96.90

[maura63]

Elimina con hijackthis estas entradas



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vnblcpwdgrtmpmqmpwkiqnmhc.com/22erERqw03adLcphWpvDdR3y7kyLMBZbiCQ65OazK3hRkE2TnOiE8cJzp6oHEdqO.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm

R3 - URLSearchHook: (no name) - {FDE3577A-6254-181C-4E11-339E4F746BD3} - (no file)





Saludos

maura63

[toXicosmos]

Las elimine xro vuelven a salir, y me cambia la pagina de inicio

[maura63]

Las eliminas arrancando en modo a prueba de fallos :?: :?:



Por cierto...que antivirus usas :?:



Saludos

maura63

[maura63]

Variant 8: CWS.DNSRelay - Hey, that wasn't here before!



Approx date first sighted: August 7, 2003

Log reference: http://forums.spywareinfo.com/index.php?showtopic=9074

Symptoms: Redirections to allhyperlinks.com when omitting 'www' from an URL typed in IE

Cleverness: 8/10

Manual removal difficulty: Involves lots of Registry editing

Identifying lines in HijackThis log:



R3 - URLSearchHook: MailTo Class - {01A9EB7D-69BC-11D2-AB2F-204C4F4F5020} - C:\WINDOWS\System32\dnsrelay.dll





Saludos

maura63



A very clever hijack that uses a method never used before by any other hijacker, this variant monitored all URLs entered into the IE Address bar, and redirected any URLs starting without 'www' to allhyperlinks.com. The hijack isn't very widespread, and is also pretty hard to spot. Luckily, fixing it requires only deleting one Registry value and one file.



CWS.Dnsrelay.2: A mutation of this variant exists which uses the filename ASTCTL32.OCX instead.



CWS.Dnsrelay.3: A mutation of this varianit exists which uses the filename mswsc10.dll instead, which is located in C:\Program Files\Common Files\Web Folders. It hijacks IE to payfortraffic.net. It also adds a custom stylesheet (like CWS.Bootconf) located at C:\Program Files\Internet Explorer\Readme.txt. (This file is not present on uninfected systems.) It uses a Registry value named nvstart to re-register the main mswsc10.dll file on startup.