S.O.S.

[maria dolores]

Hola



Tenemos problemas con un spyware, ejecutamos:

Ad-Aware SE Personal

Spybot - Search & Destroy

y Hijackthis



Y sigue ahí, coloca como página de inicio en el IE: about:blank



Y van apareciendo una serie de ventanas con mensajes como:

Spyware detectado en su PC y similares.



El log es el siguiente:



Logfile of HijackThis v1.99.0

Scan saved at 10:28:31, on 27/05/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\TMPSTER\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

N3 - Netscape 7: # Mozilla User Preferences

// This is a generated file!



user_pref("__000.aim.buddy.SndPlayFirstIncoming_ICQ", false);

user_pref("__000.aim.buddy.SndPlayIncoming_ICQ", false);

user_pref("__000.aim.buddy.SndPlayOutgoing_ICQ", false);

user_pref("__000.aim.buddy.SndPlaySignOn_ICQ", false);

user_pref("__000.aim.general.im.enterCR", false);

user_pref("__000.aim.general.im.tabKey", false);

user_pref("__000.aim.general.im.timeStamp", false);

user_pref("__000.aim.session.listonly", false);

user_pref("__000.icq.im.playall", false);

user_pref("__sys.aim.general.im.enterCR", false);

user_pref("__sys.aim.general.im.smilies", false);

user_pref("__sys.aim.general.im.tabKey", false);

user_pref("__sys.aim.general.im.timeStamp", false);

user_pref("__sys.aim.general.snsautosignon", false);

user_pref("__sys.aim.general.today", false);

user_pref("aim.session.firsttime", false);

user_pref("browser.bookmarks.added_static_root", true);

user_pref("browser.history.last_page_visited", "http://ar.atwola.com/html/931512

O2 - BHO: (no name) - {8A6E47E2-CDB8-11D9-B868-004F9B838DC9} - C:\WINDOWS\SYSTEM\FOBNAA.DLL

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIVOS DE PROGRAMA\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [WinampAgent] "C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPa.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\SYSTEM\dsldbaccess[1].exe -N

O4 - HKLM\..\Run: [Sin Espias] "C:\ARCHIVOS DE PROGRAMA\SINESPIAS\NO-SPY.EXE" /autorun

O4 - HKCU\..\Run: [IncrediMail] C:\ARCHIV~1\INCRED~1\bin\IncMail.exe /c

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: AVP Monitor.lnk = C:\Archivos de programa\AntiViral Toolkit Pro\avpm.exe

O4 - Startup: Agenda Recordatorio.lnk = C:\Archivos de programa\perikonet\Agenda Recordatorio\Alerta.exe

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll

O16 - DPF: TruePass LocalEPF 6,0,200,81 - https://tp.seg-social.es/TruePassSample/applets/entrusttruepassapplet-localepf.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - http://www.cert.fnmt.es/clase2/XENROLL.DLL

O16 - DPF: {7A252985-D109-46C7-9667-4D30A70006A2} (SIACrypto Class) - https://www.delta.mtas.es/activex/deltaActiveX.dll

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 80.58.61.250,80.58.61.254



De antemano gracias por la ayuda que puedan darnos.

[maura63]

Prueba de pasar esta utilidad



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Saludos

maura63

[maria dolores]

Hola



La aplicación que me recomendaste funcionó, aparentemente lo eliminó peroooooo, todos los días vuelve a aparecer, la volvemos a quitar y al día siguiente o a las horas, de nuevo.



Por favoooor

[maura63]

Vuelve a pasar la utilidad arrancando en modo a prueba de fallos



Si persiste



Elimina estas entradas con hijackthis lo lanzas pulsa scan marcas estas entradas y FIX



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\TMPSTER\se.dll/sp.html -

O2 - BHO: (no name) - {8A6E47E2-CDB8-11D9-B868-004F9B838DC9} - C:\WINDOWS\SYSTEM\FOBNAA.DLL -



O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab -



Estas las conoces? de no conocer elimina tambien



O16 - DPF: {7A252985-D109-46C7-9667-4D30A70006A2} (SIACrypto Class) - https://www.delta.mtas.es/activex/deltaActiveX.dll -

O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\SYSTEM\dsldbaccess[1].exe -N -

O4 - Startup: Agenda Recordatorio.lnk = C:\Archivos de programa\perikonet\Agenda Recordatorio\Alerta.exe -



Saludos

maura63

[maria dolores]

Hola de nuevo estoy recurriendo a ustedes. Seguí las nuevas instrucciones y en todo el día de ayer no volvió a salir, pero hoy desde que prendimos el ordenador SORPRESA!!! ahí estaba otra vez.



Las entradas que me dijiste que quitara si no las conocía, no pude quitar ninguna, ya que la 016 - DPF:... es una aplicación que utilizamos, al igual que la 04 - Startup:... que es una agenda recordatorio. Y la 04 - HKLM... no aparecía.



Podrá ser la Agenda Recordatorio que está dando problema, está instalada hace algún tiempo, y comenzó a dar un error pero seguía funcionando, no se si podrá ser eso.



Por favor, disculpa las molestias, pero tus respuestas me han acercado a la solución, mas que todas las pruebas que había hecho. Así que si puedes por favooor S.O.S.



Gracias

[maura63]

Comprueba que se muestren los archivos y carpetas ocultos del sistema para lanzar hijackthis.



Actualiza tu hijackthis pues va por la 1.99.1



Prueba a eliminar esa agenda que comentas que usas.



Y como comentario, el W98 esta obsoleto, hay muchas vulnerabilidades que ya no son reportadas por Microsoft en sus boletines de windows update, y por mucho que intentemos solucionar siempre acabamos contaminados de bichejos.



Y viendo en tu log que conectas con seguridad social, agencia tributaria y tienes certificado de la FNMT yo en tu lugar intentaria cambiar el sistema operativo a ser posible.



Para mostrar archivos ocultos

Mostrar las extensiones verdaderas de los archivos



Para ver aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.





Saludos

maura63