Encontrado adaware q no puedo quitar

jimenin · Mensaje por **jimenin** » 19 Ago 2005, 19:29

pues eso, el panda online m ha encontrado lo siguiente: Adaware:adaware.searchaid, y dice q es un registro d windows. El caso es q el panda no lo elimina y tampoco el spyboot y el ccleaner, aqui, en la apgina d panda dice q adaware es pero no se como eliminarlo:

http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=45589

GRACIAS

Mensaje por **msc hotline sat** » 19 Ago 2005, 20:14

Pues actualiza tu SPYBOT y arrancando en modo seguro y desactivada la restauracion de sistema si usas XP, lanzando dicha utilidad lofraras eliminarlo.

Incluso con el ELISTARA, indicado en el tutorial podrías hacerlo:

https://foros.zonavirus.com/viewtopic.php?t=4795

saludos

ms, 19-08-2005

jimenin · Mensaje por **jimenin** » 19 Ago 2005, 21:31

Pues nada, he pasado en modo seguro el spybot actualizado, el ccleaner y el elistara y nada, no han encontrado nada asi q no se q pasa, no se si son movidas del panda online o q porq siempre pasa lo mismo, q m encuentra algun spybot o adaware y no puedo eliminarlo.

ENDROGAO · Mensaje por **ENDROGAO** » 20 Ago 2005, 01:10

Hola.

En el scan de panda casi siempre aparece un spyware que no puede borrar, cuando escane y te de el resultado haz un copiar y pegar de lo que te salga, puede ser un spyware que ya hubieras eliminado y que aun te quede alguna clave en el registro. Si es asi no hay ningun problema ya que tu pc no estara infectado, simplemente pasas el Hijackthis y borras las cleves que hagan referencia a este malware.

saludos.

Mensaje por **msc hotline sat** » 20 Ago 2005, 12:37

Como que tocar las claves mostradas por HJT es delicado, mira de qué se trata, u peganos el log que te ofrezva el HJT en ti ordenador, y nos lo pegas en ti proximo post de respuesta a este, y te orientaremos sobre lo que debes hacer:

[quote][size=150][color=darkblue]~~[b]~~Como utilizar el Hijackthis para analizar su contenido[/b][/color][/size]

[i]¿Que son los Hijack?[/i]

Es un termino en ingles que en español quiere decir, secuestrador del navegador.

[i]¿Y que es el Hijackthis?[/i]

El HijackThis es un programa que analiza todos los añadidos de nuestro navegador, entre ellos están, barras de herramientas, active x, dll y programas que arrancan en el inicio del sistema ademas de otra informacion, permitiendo activarlos y desactivarlos.

[i]¿Como utilizar el Hijackthis en los foros?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta en el [url=http://foros.zonavirus.com/viewforum.php?f=13]~~[b]~~foro HijackThis[/b][/url].

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]
[/quote]

Si con el SPYBOT en modo seguro no te ha detectado nada, posiblemente sean restos de claves que procederemos a elimimnar con lo indicado

saludos

ms, 20-08-2005

jimenin · Mensaje por **jimenin** » 21 Ago 2005, 14:34

Aqui esta:

Logfile of HijackThis v1.99.1

Scan saved at 14:33:08, on 21/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ScsiAccess.EXE

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\wkcalrem.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\GUILLE~1.TQE\CONFIG~1\Temp\Rar$EX00.687\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe

O4 - HKLM\..\Run: [WorksFUD] C:\Archivos de programa\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Archivos de programa\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Avisos del Calendario de Microsoft Works.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{59F38BFE-272F-4434-8F93-97F05F7B4D39}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Mensaje por **msc hotline sat** » 21 Ago 2005, 16:30

Suponiendo que la pagina de inicio de http://www.marca.com es a voluntad tuya (sinmo elimina la clave R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.com)

solo se han de eliminar las 015 PROTOCOL DEFAULTS, para garantizar la seguridad de la navegacion. Estas claves no las podrás eliminar facilmente, sino que habrás de seguir el proceso que se indica a continuacion:

solucion manual a la eliminacion de claves 015 protocol defaults: (que se añadirá al ELISTARA)

Seleccionar el contenido entre líneas del siguiente script y pegarlo en el bloc de notas y guardarlo como ELIPROTO.REG y después arrancar en modo seguro y con restauracion de sistema deshabilitada, ejecutar el ELIPROTO.REG generado y aceptar los cambios:

_______________________

REGEDIT4

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]

@="http://"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]

"ftp"="ftp://"

"gopher"="gopher://"

"home"="http://"

"mosaic"="http://"

"www"="http://"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]

@=""

"http"=dword:00000003

"https"=dword:00000003

"ftp"=dword:00000003

"file"=dword:00000003

"@ivt"=dword:00000001

"shell"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]

@=""

"http"=dword:00000003

"https"=dword:00000003

"ftp"=dword:00000003

"file"=dword:00000003

"@ivt"=dword:00000001

"shell"=dword:00000000

___________________

sañudos

ms, 21-08-2005

jimenin · Mensaje por **jimenin** » 21 Ago 2005, 16:41

Lo siento, pero no m he enterado d lo q tengo q hacer. Podrias explicarlo mas detalladamente porq no tengo ni idea.

MUCHAS GRACIAS

Mensaje por **msc hotline sat** » 21 Ago 2005, 17:09

Selecciona el script entre lineas de mi popst anterior, pulsas CRL-C para copiarlo y abres el blov de notas y pilsas CTRL-V para pegarlo, y lo salvas como ELIPROTO.REG

Liego ejecutas el ELIPROTO.REG y aceptas cuando te pregunta si quieres modificar las claves de registro

Luego lanza el HJT u compruebas que ya no estén estas 015

Y lo de la pagina de inicio con la web del marca, si no la quieres, la seleccionas en el HJT y la eliminas con FIX

Y eso es todo amigo...

saludos

ms, 21-08-2005

jimenin · Mensaje por **jimenin** » 21 Ago 2005, 17:46

Vale, pero no se a q t refieres con lo de "Seleccionar el contenido entre líneas del siguiente script", desde REGEDIT4 hasta el final de tu primer post??????

Mensaje por **msc hotline sat** » 22 Ago 2005, 07:01

seleccionar el contenido entre lineas, desde la línea de antes del "REGEDIT4" hasta la linea de antes del "saludos" - las lineas no, claro !

saludos

ms, 22-08-2005

jimenin · Mensaje por **jimenin** » 22 Ago 2005, 14:14

Pos ya esta, he quitado los 15 esos, pero l panda online sigue encontrando eso y el spybot actualizado no. Yo no se si es una movida del panda online o q. pruebo algo +???

GRACIAS

Mensaje por **msc hotline sat** » 22 Ago 2005, 17:25

Puede tratarse de un resto de una clave que no se eliminara cuando eliminaste el Searchaid, y que no tiene porqué estar en el log del HJT, ya que este solo muestra un 1 % de las claves del registro.

La descripcion del McAfee al respecto es la siguiente, por si quieres buscar dichas claves en otras partes del registro:

http://vil.nai.com/vil/content/v_101159.htm

y la de TREND:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FESEPOR%2ER&VSect=T

Pero si no la encuentras, es mas la molestia de que te lo detecte tu amntivirus que otra cosa, pues solo se trata de un resto, el adware ya no lo tienes

sañudos

ms, 22-08-2005

Mensaje por **msc hotline sat** » 30 Ago 2005, 14:47

ATENCION A LA NUEVA VERSION DE ELIBDCSL.EXE 1.3

Puede ser interesante para solucionar este Tema

Mirar lo indicado en:

https://foros.zonavirus.com/viewtopic.php?t=8250&highlight=

y para descargarla:

ELIBDCSL.EXE

http://www.zonavirus.com/datos/descargas/178/ELIBDCSLEXE.asp

saludos

ms, 30-08-2005