Escritorio en rojo SPYWARE!!!!!!!!!!!!!!!! (Terminado)

[toXicosmos]

bueno mi problema va de muy atras y creo q mi pc no volvera a ser lo mismo sino lo formateo, no puedo hacer doble click en el escritorio ni en el icono del explorer, mi fondo de pantalla ha cambiado por uno q m advierte de q tngo spywares y mas, tampoco puedo conectarme a Internet sino es Modo A Prueba De Errores,el Spybot me dice q tengo "haxdoor-H", "CWS.yexe" y "EffectiveBandToolBar" os paso un blog del hijackthis, a ver q decis.Tambien agradeceria q me dijerais como formatear XP y donde puedo encontrar un tutorial o algo asi. Gracias de antemano[/b]

[maura63]

Desactiva la restauracion del sistema y en modo seguro pasa tu antivirus.



Segun tipo de conexion a internet con XP podras entrar en modo segurò con funciones de red, lanzar este antivirus online y limpiar



Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/



[color=red]haxdoor-H[/color] es un troyano de acceso remoto





Saludos

maura63

[toXicosmos]

el blog no lo puedo poner xq no m va el boton derecho ni m deja abrirlo

[msc hotline sat]

Lo solucionarás con el ELISTARA 6.4:



http://www.zonavirus.com/descargas/elistara.asp



saludos



ms, 13-04-2005

[maura63]

Consulta este link sobre el problema del boton secundario



https://foros.zonavirus.com/viewtopic.php?t=6182



Saludos

maura63

[toXicosmos]

cuando le doy a restaura sistema, me da un error q no puede habilitar/deshabiitar una o mas utilidades, un formateo no seria mas rapido?

[maura63]

Has descargado y pasado la utilidad que Msc y yo te ofrecimos haciendo doble click en el enlace :?:



Saludos

maura63

[toXicosmos]

acabo de pasarselo y lo unico q ha cambiado es q ahora me va internet sin star en modo a prueba de fallos, pero el escritorio y el boton derecho siguen sin ir, ahora probare otra vez xq ahora si me deja desactivar restaurar sistema, ahora os informo, ahi va el blog:



Logfile of HijackThis v1.97.7

Scan saved at 20:29:18, on 13/04/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Norton Internet Security\NISUM.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

C:\WINDOWS\System32\dev32.exe

C:\WINDOWS\System32\hwclock.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\apps\ABoard\ABoard.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\mslaugh.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\apps\ABoard\AOSD.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\notes.exe

C:\WINDOWS\System32\ntddetect.exe

C:\WINDOWS\Ask.exe

C:\temp\salm.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\inetg\winlogon.exe

C:\Documents and Settings\Javi\Escritorio\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - c:\windows\20040818\SERCH_~1.DLL

F1 - win.ini: run=C:\WINDOWS\inetg\winlogon.exe

O2 - BHO: (no name) - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - c:\windows\20040818\popup_bl.dll

O2 - BHO: (no name) - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} - C:\WINDOWS\drexinit.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Popup Blocker - {815A82AE-CDEF-11D8-BA48-A6D245798277} - c:\windows\20040818\TOOLBA~1.DLL

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [notes] notes.exe

O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe

O4 - HKLM\..\Run: [Ldv] C:\WINDOWS\Ask.exe

O4 - HKLM\..\Run: [Ker] C:\WINDOWS\System32\Vih.exe

O4 - HKLM\..\Run: [Vec] C:\WINDOWS\System32\Vlm.exe

O4 - HKLM\..\Run: [Dei] C:\WINDOWS\Cqg.exe

O4 - HKLM\..\Run: [Lbi] C:\WINDOWS\System32\Oca.exe

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

O4 - HKLM\..\Run: [wfmx] C:\WINDOWS\wfmx.exe

O4 - HKLM\..\Run: [Vic] C:\WINDOWS\System32\Iug.exe

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetg\winlogon.exe

O4 - HKLM\..\RunServices: [notes] notes.exe

O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe

O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe

O4 - HKCU\..\Run: [Ldv] C:\WINDOWS\Ask.exe

O4 - HKCU\..\Run: [Vic] C:\WINDOWS\System32\Iug.exe

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetg\winlogon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Save with Download Manager... - file://C:\Archivos de programa\J River\Media Center\DMDownload.htm

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C1523CDF-9628-432C-A80B-5CE6AC56004C}: NameServer = 194.179.1.100,194.179.1.101

[maura63]

Me lo temia, estas completamente desfasado



Logfile of HijackThis v1.97.7

Scan saved at 20:29:18, on 13/04/2005

Platform: [color=red]Windows XP [/color](WinNT 5.01.2600)

MSIE: [color=red]Internet Explorer v6.00 [/color](6.00.2600.0000)





Por mucho que limpiemos tu PC, al cabo de entrar en internet tendras de nuevo problemas, actualiza via windows update, pincha en herramientas y veras el enlace.



Te faltan cantidad de actualizaciones criticas.



Hasta el hijackthis es desfasado



Nueva versión del Hijack This : 1.99.1

Bajar :

http://www.merijn.org/files/hijackthis.zip







Saludos

maura63

[toXicosmos]

blog con nuevo hijackthis



Logfile of HijackThis v1.99.1

Scan saved at 20:44:09, on 13/04/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Desktop\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - c:\windows\20040818\popup_bl.dll

O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll

O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} - C:\WINDOWS\drexinit.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Popup Blocker - {815A82AE-CDEF-11D8-BA48-A6D245798277} - c:\windows\20040818\TOOLBA~1.DLL

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [notes] notes.exe

O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe

O4 - HKLM\..\Run: [Ldv] C:\WINDOWS\Ask.exe

O4 - HKLM\..\Run: [Ker] C:\WINDOWS\System32\Vih.exe

O4 - HKLM\..\Run: [Vec] C:\WINDOWS\System32\Vlm.exe

O4 - HKLM\..\Run: [Dei] C:\WINDOWS\Cqg.exe

O4 - HKLM\..\Run: [Lbi] C:\WINDOWS\System32\Oca.exe

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

O4 - HKLM\..\Run: [wfmx] C:\WINDOWS\wfmx.exe

O4 - HKLM\..\Run: [Vic] C:\WINDOWS\System32\Iug.exe

O4 - HKLM\..\RunServices: [notes] notes.exe

O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe

O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe

O4 - HKCU\..\Run: [Ldv] C:\WINDOWS\Ask.exe

O4 - HKCU\..\Run: [Vic] C:\WINDOWS\System32\Iug.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Save with Download Manager... - file://C:\Archivos de programa\J River\Media Center\DMDownload.htm

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C1523CDF-9628-432C-A80B-5CE6AC56004C}: NameServer = 194.179.1.100,194.179.1.101

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä #•ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkti.exe (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

O23 - Service: Provides three management service (FreeBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Provides five management service (NetBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\NISUM.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe" start (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

[maura63]

Tienes mucha basura, pero te aconsejo antes en modo seguro y desactivando las restauracion del sistema eliminar mucha de ella, que no se ve con hijacthis, que pases..



antivirus

Spybot

cws

ad_aware.



Instalas y actualizas y elimina todo lo que detecten, luego en modo normal vuelves a pegar un nuevo log por si quedase algun restro.



De eliminar directamente con HJI podrias tener mas problemas y tener que formatear y perder cosas.



Salaudos

maura63

[toXicosmos]

no puedo pasarle el antivirus on line se queda la ventana en blanco. Ya que dices eso no se si a lo mejor habre borrado algo mal con el hijackthis, pruebo ha actualizar windows?

[maura63]

Por ejemplo, esta entrada



O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe BLASTER.E VIRUS



Prueba esta utilidad y tras ello actualiza via windows update





elitriip.exe



---v1.15---(31 de Marzo del 2005) (Muestra de SdBot.worm.gen.J "HQISVC32.EXE")

e

http://www.zonavirus.com/descargas/elitriip.asp



Saludos

maura63

[toXicosmos]

Podemos dar el tema x cerrado, esta tarde n o he podido mas y he formateado....(llevaba tiempo pensandolo) de todas formas gracias x las molestias y la ayuda, espero no volver a escribir pronto x aki, una pregunta Puedo actualizar windows si no es original, xq el original q tengo es el home xro no me gusta, un abrazo

[maura63]

Windows XP home o version profesional NO puedes actualizarlo si no son productos oficiales.



Damos por terminado el tema y lo cerramos.



Saludos

maura63