zestyfind ayuda

[gero]

tengo xp con sp2 y desde hace unos dias al arrancar el spydoctor me detecta un troyano el "zestyfind", lo elimina y al volver a reiniciar vuelve a salir, he probado varios programas pero nada vuelve a salir, he desactivado la restauracion del sistema, pero nada vuelve a salir, he cambiado de antivirus del panda a kaspersky, y nada sigue todo igual, he usado: spybot,BPS Spyware Remover, adware,spydoctor,panda internet securyty. alguna ayuda gracias

[gero]

esto es exactamente lo que me dice el spydoctor



[i]Alias Adware.Winfavorites. Kaspersky antivirus calls this Trojan.Win32.StartPage.ar. This is a Browser Help Object (BHO) toolbar that hijacks both your home page and search page.[/i]

y antes de eliminar cierra rundll32.exe





gracias

[Daniel]

Ejecuta el SpyBot y borra todo lo que te detecte.



A su vez, buscate un buen firewall, (te recomiendo el ZoneAlarm)


[quote]
· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp
[/quote]

[quote]
Para el ZoneAlarm te dejo este link:

http://www.softonic.com/ie/9886

http://www.vsantivirus.com/otros.htm#otr
[/quote]

Cuentanos como te fue

[gero]

ya lo he pasado 100 veces pero nada

[Daniel]

ya reiniciastes tu pc en modo seguro y lo ejecutastes?



una vez eliminado, instalate el spywareblaster, lo instalas y lo actualizas.



http://www.javacoolsoftware.com/spywareblaster.html





ahora, después de esto recuerda usar un firewall

[gero]

nada, entro aprueba de fallos y entonces no me detecta el troyano, al reiniciar normalmente si.no se que hacer. gracias

[maura63]

Informacion al respecto de este Adware



http://sarc.com/avcenter/venc/data/adware.zestyfind.html



Saludos

maura63

[gero]

a ver si me podeis ayudar con esta pagin a pues la verdad no me aclaro:

http://sarc.com/avcenter/venc/data/adware.zestyfind.html



:shock:

[maura63]

Segun tu conexcion a internet mira de pasar este antivirus online en modo seguro y con funciones de red



· Panda Software

http://www.pandasoftware.es/activescan/es/activescan_principal.htm





Saludos

maura63

[gero]

nada no detecta nada en modo de fallos.ayudaaaaaaaaaaaaaaaaaaaaaaaaaaa

[Daniel]

Ya hicistes lo que dice en la página que Maura63 te pasó?


[quote]
Adware.ZestyFind

Last Updated on: February 17, 2004 12:12:33 PM



Type: Adware



Name: ZestyFind



Publisher: Look2me.com

Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Systems Not Affected: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x



Removal: Medium

Damage: Low









Intelligent Updater Definitions*

February 17, 2004





LiveUpdate™ Definitions **

February 18, 2004





*

Intelligent Updater definitions are released daily, but require manual download and installation.

Click here to download manually.



**

LiveUpdate definitions are usually released every Wednesday.

Click here for instructions on using LiveUpdate.











This threat can be detected only by Symantec products that support expanded threats. For more information on expanded threats, please go here.









Behavior

Adware.ZestyFind monitors visited web sites, uploads the information to a server, and then displays pop-up advertisements.



Symptoms



Pop-up ads appear.

You Symantec program detects Adware.ZestyFind.

C:\WINNT\msg117.dll is inaccessible.



Transmission

This adware component can be manually installed or installed as a component of another program.







File names:

msg117.dll



When the Adware.ZestyFind is executed, it performs the following actions:





Drops a file, %System%\msg117.dll.





--------------------------------------------------------------------------------

Note: %System% is a variable. The adware locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

--------------------------------------------------------------------------------





Creates the following registry keys:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Shell Extensions\Approved\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}

HKEY_CLASSES_ROOT\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}





URLs visited are logged, uploaded to http://www.look2me.com, and then pop-up advertisements are shown.





Replaces any of its registry keys, if they are deleted.





Causes errors when users or antivirus scanners attempt to access it. For example Norton AntiVirus will show the following error message:



Unable to open the file C:\WINNT\System32\msg117.dll. The file is in use by another application or you don't have permission to open the file





--------------------------------------------------------------------------------

Note: Reports indicate this adware can cause severe system instability on Windows 95/98/Me. It may also cause instability on other operating systems.

--------------------------------------------------------------------------------





[color=blue][b]removal instructions



The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.





Rename msg117.dll.

Disable System Restore (Windows Me/XP).

Update the virus definitions.

Delete the subkeys from the registry.

Run a full system scan and delete all the files detected as Adware.ZestyFind.



For specific details on each of these steps, read the following instructions.





1. Rename msg117.dll.



Shut down the computer and turn off the power. Wait for at least 30 seconds, and then restart the computer.



Press the F8 key while rebooting, then select "Safe mode command prompt only" in Windows 95/98/Me or "Safe Mode with Command Prompt" in Windows NT/2000/XP.



At the command prompt, type:



ren %system%\msg117.dll zesty.nav





Shut down the computer and turn off the power. Wait for at least 30 seconds, and then restart the computer.[/b] [/color]


[/quote]

Te puse en negrita lo que recomienda symantec para eliminar el virus, fijate que dice esperar unos 30 segundos antes de iniciar la pc en modo a prueba de fallos

[Daniel]

Que en español, sería algo así:


[quote][b][color=blue]

Las instrucciones siguientes pertenecen a todos los productos actuales y recientes del antivirus de Symantec, incluyendo las líneas de productos de Symantec AntiVirus y de Norton AntiVirus.





Renombre msg117.dll.

Inhabilite El Restore Del Sistema (Windows Me/XP).

Ponga al día las definiciones del virus.

Suprima los subkeys del registro.

Haga una exploración completa del sistema y suprima todos los archivos detectados como Adware.ZestyFind.



Para los detalles específicos en cada uno de estos pasos, lea las instrucciones siguientes.





1. Renombre msg117.dll.



Apague la computadora y desconecte la Energía. Espere por lo menos 30 segundos, y después reinicie la computadora.



Presione la tecla F8 mientras reinicia, después seleccione "Prompt de comandos en modo seguro sólamente" en Windows 95/98/Me o "modo seguro con prompt de comando" en Windows NT/2000/XP.



En el prompt , digite:



ren %system%\msg117.dll zesty.nav





Apague la computadora y desconecte la energía. Espere por lo menos 30 segundos, y después reinicie la computadora.[/color][/b]
[/quote]

[gero]

la verdad es que mi ingles no es muy bueno y traducirlo on line es peor, pero hay cosas que me pierdo totalmente como



[color=red]At the command prompt, type:



ren %system%\msg117.dll zesty.nav [/color]



necesitaria una ayudita de traducción. gracias

[gero]

donde encuentro : msg117.dll.

no lo veo

[gero]

y esto como lo hago? :Suprima los subkeys del registro.

[Daniel]

Bueno, yo usé el traductor de google y acomodé algunas palabras


[quote="gero"]
[color=red]At the command prompt, type:



ren %system%\msg117.dll zesty.nav [/color]



necesitaria una ayudita de traducción. gracias[/quote]

Antes tuvistes que reiniciarlo en modo seguro pero con el prompt (osea en modo MS-DOS).



Ahí escribes ren %system%\msg117.dll zesty.nav y das enter



Otra parte que debés tomar encuenta en la eliminación de las claves de registro


[quote="Página de Symantec"]
4. Borrar las subclaves del registro





--------------------------------------------------------------------------------

WARNING: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions.

--------------------------------------------------------------------------------



Click Start, and then click Run. (The Run dialog box appears.)



Type regedit



Then click OK. (The Registry Editor opens.)



Navigate to and delete the following keys:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}

HKEY_CLASSES_ROOT\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}



Exit the Registry Editor.


[/quote]

Que básicamente, luego de hacerte la advertencia de tener mucho cuidado de tocar el registro te dice que en el menú inicie escojas la opcion Ejecutar.



Ahí escribes Regedit, busca y borra las entradas que te dan ahí, luego salite del Editor de Registro.



Espero te sirva (ojo, ten mucho cuidado si vas a tocar el registro, fijate muy bien que sean las claves que te dan, sino sabes o te complicas mucho pide ayuda a alguien que tenga más conocimiento de esto)



Espero te sirva



Dios Te Bendiga

[gero]

ok parece que ya lo tengo más claro ya os contare. muchisimas gracias

:wink:

[Daniel]

A la orden.



Haz el favor de decirnos como te fue.



Dios Te Bendiga

[gero]

bueno pues ya termine de hacer pruebas os comento:





1º_ el archivo ren %system%\msg117.dell zesty.nav desde modo seguro msdos, me dice que no encuentra, lo probe desde c:\.



2º_los archivos que habia que borrar en el registro, no estan.



pero el maldito troyano me aparece cuando reinicio y scaneo con el spayware doctor. si lo borro me borra tambien rund32.exe.

desesperacion absoluta, tendre que formatear lo mas seguro ¿que me recomendais? . gracias

[caito]

Descarga este programa



· Hijackthis version: 1.98.2



Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

-------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip





Descarga y descomprimes, con todos los programas cerrados incluso el internet explorer, lo ejecutas, pulsa scan y luego en save, se abrira un fichero log txt con el resultado, haz un copiar y pegas el resultado como respuesta a este tema.

Salu2

Caito

[gero]

el resultado es este:





[color=darkred]Logfile of HijackThis v1.98.2

Scan saved at 14:46:00, on 02/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\Tweak-XP Pro\transtask.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Messenger\msmsgs.exe

D:\mis programas 4\spyware\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKCU\..\Run: [TransTask] "C:\Archivos de programa\Tweak-XP Pro\transtask.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098954991859

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab[/color]

[maura63]

Al parecer con esto de desinstala



http://www.look2me.com/cgi-bin/UnInstaller





Saludos

maura63