Pido ayuda al estar desesperado

GMB · Mensaje por **GMB** » 05 Nov 2005, 01:14

Hola amigos:

Despues de haber leido muchos de los mensajes de este foro,haber aprandido(x lo menos un poco),intentado no molestar me he visto en la obligacion ya que estoy completamente desesperado.

He comprado un ordenador, y he puesto ADSL y ento en internet mi padre y el caso es que se metio un spyware o ad-ware o lo que sea,pero que fastidia mogollon. cada muy poco tiempo me salen ventanitas,(de 3 en 3,se cambian los tamaños se quedan detras de la que estoy usando...) de publicidad,se cambió la pagina de inicio.

He probado a pasar en modo seguro el ad-aware se,microsoft antispyware ,spybot y un anti virus online recomendado por vosotros. elistara me dice que esta todo bien y el log del hijackthis es:

Logfile of HijackThis v1.99.1

Scan saved at 1:13:11, on 05/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\ddawu.dll

O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\fccax.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\RunServices: [svcdata.exe] svcdata.exe

O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe

O4 - HKLM\..\RunServices: [Browser Help Svc] BHSV.EXE

O4 - HKLM\..\RunServices: [Microsoft Security Panagers] gyldfenub.exe

O4 - HKLM\..\RunServices: [Windows Automatical Updater] dcz.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\RunServices: [Browser Help Svc] BHSV.EXE

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O15 - Trusted Zone: http://www.hotmail.com

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C39173AA-34A1-4DA6-BE0B-A84054A0BB81}: NameServer = 80.58.61.250 80.58.61.254

O20 - Winlogon Notify: ddawu - C:\WINDOWS\SYSTEM32\ddawu.dll

O20 - Winlogon Notify: fccax - C:\WINDOWS\System32\fccax.dll

O20 - Winlogon Notify: iifgd - iifgd.dll (file missing)

O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\ir8sl5l71.dll

O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\p64ulgh9164.dll (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

Si me podeis ayudar lo agradeceria mucho,gracias

buitre · Mensaje por **buitre** » 05 Nov 2005, 03:59

ok, no puedo meter mi cuchara en tu log, no se tanto como msc y es estrictamente delicado, pero si te pudeo decir como quitar los adware y recuperar tu pag de inicio

necesitas del elistara (eliminar star page) muy bueno, te va a borrar los adware y te va a dar tu pag de inicio de vuelta.

descargar elistara:

[color=darkblue]descargar elistara: [/color]http://www.zonavirus.com/descargas/elistara.asp

y para protegerte de tiempo completo de los spywares necesitas del ad-aware o del spybot. borran todo tipo de software spia a publicidad

[color=darkblue]desgragar ad-aware: [/color]http://www.zonavirus.com/datos/descargas/9/Ad-Aware_SE_Personal_Edition.asp

[color=darkblue][size=150]descargar spybot: [/size][/color]http://www.zonavirus.com/descargas/spybot-sd.asp

pasa el elistara y si persiste el problema indicalo como respuesta del tema

saludos

Mensaje por **msc hotline sat** » 05 Nov 2005, 05:30

Aparte de complementar lo correctamente indicado en el post anterior, con el lionk del tutorial antispyware:

https://foros.zonavirus.com/viewtopic.php?t=4795

paso a analizar el log y os lo comento a continuacion:

Antes, pero, cabe indicar que el ELISTARA si no detecta nada en su labor de complemento de antispywares, permite ELIMINAR la pagina de inicio ofreciendolo al principio, y en su caso, PONER UNA NUEVA, o dejarla en blanco, si bien sugiero siempre ponber algina como la del google (http://www.google.es) para saber si entra alguna spyware y la cambia a ABOUT:BLANK.html , que de lo contrario no se apercibiria de ello.

y sigo en proceso

MAGO OSCURO · Mensaje por **MAGO OSCURO** » 05 Nov 2005, 05:46

esto le pasa mucho al IE recomiendo cambiar de navegador aparte que tienes algo metido por ahi pues trata de eliminar los archivos temporales y con el elistar creo que talves borre algo...

Mensaje por **msc hotline sat** » 05 Nov 2005, 06:02

Bueno, tras la intervencion entre medio del post anterior, con sus consideraciones, termino mi analisis del HJT:

Ante todo, debe actualiuzar los parches de microsoft, que le faltanb muchos... (todos los del SP2 y posteriores). Proceda a lanzar un windowsupdate.

Luego elimine estas claves:

O4 - HKLM\..\RunServices: [svcdata.exe] svcdata.exe

O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe

O4 - HKLM\..\RunServices: [Browser Help Svc] BHSV.EXE

O4 - HKCU\..\RunServices: [Browser Help Svc] BHSV.EXE

O20 - Winlogon Notify: ddawu - C:\WINDOWS\SYSTEM32\ddawu.dll

O20 - Winlogon Notify: fccax - C:\WINDOWS\System32\fccax.dll

O20 - Winlogon Notify: iifgd - iifgd.dll (file missing)

O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\ir8sl5l71.dll

O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\p64ulgh9164.dll (file missing

y si no las conoce, tambien estas:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\ddawu.dll

O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\fccax.dll

O4 - HKLM\..\RunServices: [Microsoft Security Panagers] gyldfenub.exe

O4 - HKLM\..\RunServices: [Windows Automatical Updater] dcz.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

Nota; Es posible que alñguna de ellas no la encuntres por haberla eliminado el ELISTARA, asi como que este te haya pedido que nos envies muestras de varios ficheros, vistos la cantidad de lanzamientos a traves del WinLogon Notify, qie está de modo ser usado por actuales malwares. Si no encuentras las claves, menos trabajo, y procede a enviarnos las muestras que indique el ELISTARA dentro del C:\INFOSAT.TXT, gracias

saludos

ms, 5-11-2005

GMB · Mensaje por **GMB** » 07 Nov 2005, 19:53

He hecho lo mencionado pero lo de borrar las claves de donde las debo borrar.

Gracias

Mensaje por **msc hotline sat** » 07 Nov 2005, 20:05

Arrancas en modo seguro, lanzas el HJT de nuevo, mrcas dichas ckaves y las eliminas dandole a FIX

saludos ms, 7-11-2005

GMB · Mensaje por **GMB** » 07 Nov 2005, 21:18

en principio gracias por atender mis dudas,

empezando en modo seguro pasado el HJT,hay ciertas claves:

020- Winlogon Notyfi:ddawu - c:..............

020- Winlogon Notyfi:fccax - c:..............

02 - BHO: (no name) - {00DBDAC8-4691.....}C:\WINDOWS\system32\ddawu.dll

02 - BHO: MSEvents OBJECT - {79A576C4-B7A9.....}C:\WINDOWS\system32\fccax.dll

que me unos mensajes de error y no las borra y las paginas se me sigue abriendo solas(en menor cantidad)(tipo casino,otras raras,otras que me alertan de que tengo spyware(tiene narices me alertan de algo que me han metido ellos)

PD el elistara no encuentra nada solo pide que envie los ficheros:

c:\WINDOWS\System32\j04olah31d4.dll

c:\WINDOWS\System32\ddawu.dll

c:\WINDOWS\System32\fccax.dll

gracias

Mensaje por **maura63** » 07 Nov 2005, 21:31

Envialos anexados a un e:mail a zonavirus@satinfo.es con un texto del mensaje que ponga por ejemplo REFddawu.dll .

Tambien te recomiendo pases Spybot y Ad_aware.

Saludos

maura63

Mensaje por **msc hotline sat** » 08 Nov 2005, 07:56

Prueba de arrancar en modo seguro y lanzar el ELISTARA, que iguial te pide muestras de sospechosos, Si es asi, envianoslas

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Y además puede restaurar claves y eliminar problemas

saludos

ms, 8-11-2005

Pido ayuda al estar desesperado

Pido ayuda al estar desesperado

Duda