No puedo sacar un spyware

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
PabloMDQ
Mensajes: 1
Registrado: 28 May 2005, 04:08

No puedo sacar un spyware

Mensaje por PabloMDQ » 28 May 2005, 04:21

Hola. Les escribo porque estoy realmente desesperado. Tengo un spyware y no lo puedo sacar.



Características:

* Página de inicio del IE: me pone un buscador entitulado "Search for".

* Además me pone como fondo de pantalla (escritorio) un "security warning" que dice que un error fatal ha ocurrido al IE causado por "Trojan-Spy.HTML.Smitfraud.c"

* Por último, me aparecen ventanitas promocionando generalmente Casinos.



Ejecuté en Modo a prueba de fallos el Ad-Aware (con update), el Spybot (idem), los cuales me detectan porquerías, las borro, pero el problema no se soluciona y vuelven a aparecer.

El CWSHREDDER y el ELISTARA no me andan. No sé por qué.



Les paso el log del hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 10:53:36 p.m., on 27/05/2005

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.copetel.com.ar:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {C2BFA801-CED0-11D9-91E6-4445385465E7} - C:\WINDOWS\SYSTEM\HAJG.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O4 - HKCU\..\Run: [WindowsFY] C:\BSW.EXE

O4 - HKCU\..\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Microsoft AntiSpyware helper - {1608C320-CED1-11D9-91E6-444553540000} - C:\WINDOWS\SYSTEM\WLDR.DLL

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {1608C320-CED1-11D9-91E6-444553540000} - C:\WINDOWS\SYSTEM\WLDR.DLL

O9 - Extra button: Microsoft AntiSpyware helper - {1608C320-CED1-11D9-91E6-444553540000} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {1608C320-CED1-11D9-91E6-444553540000} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)

O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O18 - Filter: text/html - {C2BFA800-CED0-11D9-91E6-44455718C07C} - C:\WINDOWS\SYSTEM\HAJG.DLL

O18 - Filter: text/plain - {C2BFA800-CED0-11D9-91E6-44455718C07C} - C:\WINDOWS\SYSTEM\HAJG.DLL



SALUDOS Y GRACIAS. Les pido por favor que me ayuden.

Pablo
Arriba
Avatar de Usuario
caito
Mensajes: 1538
Registrado: 30 May 2004, 06:29
Ubicación: Argentina

Mensaje por caito » 28 May 2005, 04:35

Imprime o copia estas indicaciones!!!

Desinstala el Microsoft Antispiware ya que no funciona en tu sistema operatvo ( es para XP )

Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/

Y el AdAware Se :

ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Reinicia en Modo seguro

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Lanza el Hijack

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

atiupdpl.exe

BSW.EXE

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {C2BFA801-CED0-11D9-91E6-4445385465E7} - C:\WINDOWS\SYSTEM\HAJG.DLL

O4 - HKLM\..\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O4 - HKLM\..\RunServices: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O4 - HKCU\..\Run: [WindowsFY] C:\BSW.EXE

O4 - HKCU\..\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O4 - HKLM\..\RunServices: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O4 - HKCU\..\Run: [WindowsFY] C:\BSW.EXE

O4 - HKCU\..\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O18 - Filter: text/html - {C2BFA800-CED0-11D9-91E6-44455718C07C} - C:\WINDOWS\SYSTEM\HAJG.DLL

O18 - Filter: text/plain - {C2BFA800-CED0-11D9-91E6-44455718C07C} - C:\WINDOWS\SYSTEM\HAJG.DLL

Cierra el Hijack.

Busca estos archivos y los eliminas:

C:\WINDOWS\SYSTEM\HAJG.DLL

C:\WINDOWS\SYSTEM\atiupdpl.exe

C:\BSW.EXE

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 25/05/05

Reinicia normal, conecta Internet y pega un nuevo log

Salu2

Caito
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 28 May 2005, 09:42

Y como que las entradas de about:blank pueden ocultar la instalacion de un HOME SEARCH ASSISTANT, lo cual no puede verse desde el log del HiJackThis, dugiero lance nuestra utilidad ELISTARA.EXE que lo solucionaría:



http://www.zonavirus.com/descargas/elistara.asp





saludos



ms, 28-05-2005
Arriba
Responder

Volver a “Foro HijackThis - copia y pega tu log”