Mensaje de Warning! You´re in danger

[zdalejandre]

Hola Tengo un problema con un Spyware, el clasico que activa el web del Desktop y coloca un mensaje de Warning! you´re in danger... etc etc etc....

Por mas que elimino la entrada en las propiedades del escritorio web, me aparece de nuevo. Ya elimine tambien el archivo C:\windows\web\Desktop.html y despues me aparece de nuevo. Ya trate con el Ad- Aware SE personal y no lo detecta, tambien con el Spy Sweeper y tampoco funcionó. En otros Foros he visto que mandan el log de HijacksThis para que alguien pueda detectar que entrada del registro eliminar. y eseo es precisamente lo que quiero que me ayuden a detectar cual es la forma de eliminar el latoso Spy.

les masndo el log que obtube de la pc y gracias de antemano.



Logfile of HijackThis v1.98.1

Scan saved at 7:35:00 PM, on 5/26/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WinAntiVirus 2005 Pro\AVKernel.exe

C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\00THotkey.exe

C:\Program Files\Toshiba\Toshiba Controls\TFncKy.exe

C:\toshiba\ivp\ISM\pinger.exe

C:\WINDOWS\System32\TPWRTRAY.EXE

C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

C:\WINDOWS\System32\Services\{92BCD1C1-A0E9-4D5F-9D2D-042D07277DBD}\SVCHOST.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\TOSHIBA\NetDevSw\NetDevSW.exe

C:\Program Files\WinAntiVirus 2005 Pro\AVTray.exe

C:\Program Files\Common Files\WinSoftware\wff.exe

C:\WINDOWS\explorer.exe

C:\Program Files\HbTools\Bin\4.6.2.0\HbtSrv.exe

C:\aa\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint_.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [TFncKy] C:\Program Files\Toshiba\Toshiba Controls\TFncKy.exe /Type 10

O4 - HKLM\..\Run: [Pinger] C:\toshiba\ivp\ISM\pinger.exe /run

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay_.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\System32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [duijqnhd] C:\WINDOWS\System32\spfruvvj.exe

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{92BCD1C1-A0E9-4D5F-9D2D-042D07277DBD}\SVCHOST.EXE

O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{92BCD1C1-A0E9-4D5F-9D2D-042D07277DBD}\SECURITY.EXE

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O4 - Global Startup: Network Device Switch.lnk = ?

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029YYMX_ZCxdm492YYUS

O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.toshiba.com

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab

O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = WWW

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = WWW

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = WWW

[Carli]

Es cierto es un Spyware y lo causa "My web search", elimina las siguientes entradas y listo!!!.



R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029YYMX_ZCxdm492YYUS.



Saludos.

[zdalejandre]

Gracias. he eliminado las entradas que me dijeron en la respuesta a mi mensaje y parece que si funciono. Muchisimas Gracias. de cualquier forma voy a tenerla en observacion para ver si no vuelve a suceder. De lo contrario pues les estare escribiendo de nuevo. Saludos

[zdalejandre]

Saludos. Ya estaba cantando Victoria pero me vuelve aparecer en el Desktop el mensaje de WARNING! . :cry: Que puedo Hacer ahora??????

[Carli]

Ahhh, analizando mas a fondo el mesaje y el "Warning", esto se debe al subvariantre de "COOL WEB SEARCH" un Spyware que trae muchisima publicidad, sigue los siguientes pasos y me cuentas contestando este post.



Nombre: [color=red]Smart Security[/color]

Tipo: Cambia el fondo del escritorio por [color=red]DANGER:SPYWARE[/color]

Alias: [color=red]SlimShield, SmartSecurity[/color]



Esta variante del CoolWebSearch se caracteria por cambiar el fondo de pantalla de nuestro Pc por una advertencia de DANGER: SPYWARE



Paso 1- Iniciar en modo a prueba de fallos.



Paso 2- Buscar y eliminar manualmente el Archivo [color=blue]Desktop.exe o Desktop.html [/color]

Paso 3- Buscar y eliminar los archivos [color=blue]c:\WP.BMP y c:\WP.EXE [/color]



Paso 4- Ir al Panel de Control o pulsar en el botón derecho del mouse sobre el escritorio y abrír el menu donde permite cambiar el fondo.



Paso 5- Una vez ahí, ir a las segunda pestaña que dice [color=blue]"Desktop"[/color] (Escritorio)



Paso 6- Presionar en el botón que dice [color=blue]"Customize Desktop[/color]" (Personalizar Escritorio)



Paso 7- Ahi ir a la segunda lengüeta llamada [color=blue]"Web"[/color]



Paso 8- Mirar la casilla que dice [color=blue]"My Current Home Page" (Actual pagina principal) o "Security"[/color] y si esta marcada desmarcarla, ósea que quede la casilla vacía.



Paso 9- Pulsar en Aplicar y luego Aceptar y Aceptar nuevamente.

[msc hotline sat]

Vamos a ver, en este foro puede utilizar el ELISTARA.EXE que soluciona los problemas de los varios "DANGER" conocidos:



http://www.zonavirus.com/descargas/elistara.asp



El HJT solo debe usarse cuando antivirus y antispywares no resuelven el problema, por se de nueva factura, pero se recuerda que su log solo muestra un 1 % del registro de sistema, y hay muchas claves que modifican los virus y troyanos, que no son visibles ni restaurables desde allí.



Hay muchas incidencias en este foro similares, utilicen el buscador para disponer de una rapida contestacion ONLINE de problemas ya resueltos.



saludos



ms, 27-05-2005

[maura63]

Tienes tu sistema operativo sin actualizar, ni tan siquiera tienes el SP1 en XP e IE.



Pasa



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Conecta via windows update y actualiza.



Y tienes una buena coleccion de intrusos.



tutorial anti-spyware



https://foros.zonavirus.com/viewtopic.php?t=5148



Saludos

maura63

[zdalejandre]

Parece ser que aplicando el EliStra y el EliTrip termino de quitar los spyware del PC. Bueno, Estare de cualquier forma observando la maquina para ver si no se presenta otra anomalia. Gracias.

[maura63]

No te olvides de conectar via [size=150][color=blue]windows update [/color][/size]y actualizar o en 5 minutos estaras igual.



Saludos

maura63

[msc hotline sat]

Se os recuerda que en el ELISTARA.EXE vamos acumulando la deteccion y eliminacion de los virus t troyanos que afecten a la pagina de inicio del internet explorer (StartPage) asi como a los modificaciones del registro en el apartado de BHO, HOSTS, así como claves de acceso a foindo de escritorio , aplicaciones troyanas como HOME SEARCH ASISTANT, etc, como se indica en el historico de la aplicacion, que es la mas usada de las que se pueden evaluar en este foro:



http://www.zonavirus.com/descargas/elistara.asp



y el ELITRIIP es la segunda mas usada en el foro, para control y eliminacion de los virus que entran por las tres vilnerabilidades mas usadas por los gusanos de IP, la del RPCDCOM (variantes del Blaster), la del LSASS (variantes del Sasser) y la de las comparticiones administrativas (SDBOT), incluyendo la misma utilidad la opcion de bloquear el port TCP445

para impedir el intento de intrusion por desbordamiento de buffer del LSASS, y poder asi lanzar el autoupdate, asi como el control de la existencia de los parches correspondientes, MS04-011, MS04-012 o en XP SP1 o SP2



http://www.zonavirus.com/descargas/elitriip.asp



Lo cual creo que complementa este Tema, que, una vez solucionado por la utilizacion de las indicadas utilidades, se da por solucionado el problema y se cierra el Tema



saludos



ms, 27-05-2005