spyware de claria (SOLUCIONADO)

[MARY_ENIAC]

hola!!!



estoy desesperada. llevo toda la mañana intentando eliminar un malware. He probado con el modo a pruebade fallos con Ad-Aware y SpyBot pero no hay manera. He pasado el HijackThis y estos son los resultados. Espero que podais ayudarme. Gracias.



Logfile of HijackThis v1.99.1

Scan saved at 16:15:08, on 24/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\ltmoh\Ltmoh.exe

C:\Archivos de programa\Launch Manager\LaunchAp.exe

C:\Archivos de programa\Launch Manager\PowerKey.exe

C:\Archivos de programa\Launch Manager\HotkeyApp.exe

C:\Archivos de programa\Launch Manager\CtrlVol.exe

C:\Archivos de programa\Launch Manager\OSDCtrl.exe

C:\Archivos de programa\Launch Manager\Wbutton.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe

C:\Archivos de programa\Archivos comunes\Siemens\S7ubtoox\s7ubtstx.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Archivos de programa\Archivos comunes\Siemens\Sqlany\dbsrv7.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\maria\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Archivos de programa\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [LaunchAp] C:\Archivos de programa\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [PowerKey] "C:\Archivos de programa\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] C:\Archivos de programa\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [CtrlVol] C:\Archivos de programa\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [LMgrOSD] C:\Archivos de programa\Launch Manager\OSDCtrl.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Archivos de programa\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [S7UB Start] "C:\Archivos de programa\Archivos comunes\Siemens\S7ubtoox\s7ubtstx.exe" -StartDB

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [Trickler] "c:\archivos de programa\divx\divx pro codec\gain_trickler_3202.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACE7A84-9042-4BAD-AF3E-17A6D536CD6C}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{97146747-F8A3-4FE7-B384-1C1C11F09D5F}: NameServer = 192.168.2.1,192.168.2.254

O23 - Service: BlackICE - Unknown owner - C:\Archivos de programa\ISS\BlackICE\blackd.exe (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

O23 - Service: RapApp - Unknown owner - C:\Archivos de programa\ISS\BlackICE\rapapp.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

[maura63]

De no conecer estas aplicaciones, eliminalas





C:\Archivos de programa\Launch Manager\OSDCtrl.exe -

C:\Archivos de programa\Archivos comunes\Siemens\S7ubtoox\s7ubtstx.exe -

C:\Archivos de programa\Archivos comunes\Siemens\Sqlany\dbsrv7.exe -



Arranca en modo seguro y desactiva la restauracion del sistema, busca con el explorador y elimina.



A estas lanzando el hijackthis pulsa scan, marcas las entradas y FIX.



R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch -

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll -

O4 - HKLM\..\Run: [LManager] C:\Archivos de programa\Launch Manager\HotkeyApp.exe -

O4 - HKLM\..\Run: [LMgrOSD] C:\Archivos de programa\Launch Manager\OSDCtrl.exe -

O4 - HKLM\..\Run: [S7UB Start] "C:\Archivos de programa\Archivos comunes\Siemens\S7ubtoox\s7ubtstx.exe" -StartDB -

O4 - HKLM\..\Run: [Trickler] "c:\archivos de programa\divx\divx pro codec\gain_trickler_3202.exe" -



O23 - Service: BlackICE - Unknown owner - C:\Archivos de programa\ISS\BlackICE\blackd.exe (file missing) -

O23 - Service: RapApp - Unknown owner - C:\Archivos de programa\ISS\BlackICE\rapapp.exe (file missing) -





Saludos

maura63

[MARY_ENIAC]

desgraciadamente sigue acompañandome.



hice lo q me dijiste, pero lo elimina y cuando reinicio vuelve a cargarse.



Esto es lo que se de él:



Fabricante: Claria

CAtegoria: DAta Miner

Tipo de objeto: RegValue

Tamaño:69 bytes

Ubicación: software\microsoft\windows\currentversion\run"Trickler"

Valor TAC:7

Comentario: "Trickler"

Descripción: Opens pop up ads. Tracks browser use.





No se qué hacer. He cargado el SpywareBlaster para evitar que me entren más cosas.

[caito]

Tienes que eliminar el archivo en cuestión:

c:\archivos de programa\divx\divx pro codec\gain_trickler_3202.exe

Luego pon un nuevo log del hijack (en modo normal)

Salu2

Caito

[msc hotline sat]

Creo que el problema ha sido no usar las versiones actuales y actualizadas de Ad-Aware 1.06y Spybot 1.4



Seguro que te lo hubieran eliminado.



Y si eliminas el fichero indicado en el anterior post, muero el perro... , y si tienes problemas arrancando en modo normal, hazlo en modo seguro, aunque ya habiendo eliminado la clave de carga no deberá estar en uso y podrá eliminarse facilmente.



Indicanos el resultadO, como respuesta de este Tema, gracias



saludos



ms, 25-07-2005

[MARY_ENIAC]

hola chic@s!!!



estoy aqui de nuevo, yo y mi spyware q sigue conmigo.javascript:emoticon(':cry:')

Crying or Very sad



si que tengo las ultimas versiones de ad-aware y spybot. tambien he pasado spy doctor q me han recomendado en los foros de hackxcrack, pero nada.



respecto a lo de eliminar el archivo, es q desinstale el divx que era dondo me venia el bicho y ahora el buscador me dice que no lo tengo, pero si que esta en las Key Local Machine. Yo ya no lo entiendo, porque paso los anti spyware en modo seguro y lo limpian todo, pero luego se vuelve a ejecutar en cuanto reinicio, que locura.



si alguien puede ayudarme....... lo agradeceria mucho mucho.



gracias. :wink:

[carolxsiempre]

ve a inicio/ejecutar/regedit y busca la clave del registro que te aparece.





Saludos

Carolxsiempre

[MARY_ENIAC]

pues lo abro y pone:



Nombre del valor: Trickler



Valor: "c:\archivos de programa\divx\divx pro codec\gain_trickler_3202.exe"



tipo: REG_SZ



yo no entiendo q significa, este es mi 2º año con windows y no teng ni idea q acer. yo siempre e usado mac, pero a nivel usuario normal, nada de programar, aora se algo de c y ensamblador q e aprendido en la carrera (hago industriales).



Puedes ayudarme? gracias

[msc hotline sat]

En primer lugar no te preocupes demasiado por este adware, pues es simplemente publicidad.



Microsoft lo incluía en el Windows Media Player, con el Gator, hecho tambien por la misma compañía Claria, y ahora esta en litigio el que se considere o no adware indeseable, pues microsoft con su antispyware lo encubre.



Si tu antispyware lo elimina cada vez que lo detecta, arrancando en modo seguro, simplemente se trata de que alguna aplicacion que utilizas te lo instala de nuevo, y así será hasta que no cambies dicha aplicacuion o la elimines.



Pero no es un virus, simplemente es un adware que te puede ofrecer publicidad por medio de popups y demás, y no solo está consentido por Microsoft sino utilizado y todo.



Mira de ver cuando te sale, despues de lanzar qué aplicacion, para lo que, tras eliminarlo, lanzas una aplicacion y testeas con el antispyware, y asi hasta que encuentres la que te lo instala, y nos lo comentas como respuesta de este Tema.



saludos



ms, 26-07-2005

[MARY_ENIAC]

HOLAAAAAAAAA!!!



q bien, por fin teng el ordenata limpito!!



he estado abriendo poco a poco las aplicaciones q teng y pasando despues los diferentes anti-spywares q tengo y nada. Hasta que se me ha ocurrido q hace poco en el ad-aware habilité una opción que arranca una protección al encender el ordenador, y yo sabia que mi "espia" se regeneraba al arrancar. así que he desinstalado el ad-aware y he eliminado la clave (Machine Local Key, que tenía esta ruta: Microsoft\Windows\CurrentVersion\Run\trickler). He reiniciado y al pasar los spybot y spydoctor ya no lo detectan. He vuelto a instalar ad-aware para hacer la prueba pero sin actualizarlo online y sorprendentemente ya no tengo mi espia!!



Yo creo que el spyware se introdujo en mi ordenata al actualizar el ad-aware, un poco contradictorio, ya lo se.



Muchas gracias por todo. Nos vemos!! :lol:

[maura63]

Pues nos alegramos de ello, y solucionado el tema lo cerramos.



Saludos

maura63 -6 dias