Imposible eliminarlos? (SOLUCIONADO)

[muntsa22]

Hola, hace ya muchos dias que entró uno o varios spywares en mi ordenador. Tengo mucho desconocimiento de estos temas pero he estado buscando información, me he bajado programas antispywares pero hasta hoy no he conseguido eliminar nada.
El ordenador funciona pero se cuelga a menudo aparte que le cuesta arrancar teniendo que reiniciarlo varias veces. Internet a ratos va lenta i se añaden a favoritos unas direcciones de farmacias, anti-spywares y viagras varias.
Instalé el Ewido, el reegseeker, el Diskcleaner, el spyweareBlaster. El panda residente no detecta nada en cambio el Activescan si, al igual que el Ewido. Sé que los causantes del problema son estos 4 :

C:\WINDOWS\system32\bndmod.exe
C:\WINDOWS\system32\hlmicro.exe
C:\WINDOWS\system32\favme.exe
C:\WINDOWS\system32\hwiper.exe

El problema es que no los encuentro para eliminarlos ni entrando en la carpeta system 32 ni con la busqueda, todo y que tengo a la vista los archivos ocultos.

Os pego un log del Hijtachis, por favor agradeceria pudierais ayudarme, ya no sé que hacer para evitar formatear.
Grácias


Logfile of HijackThis v1.99.1
Scan saved at 22:09:47, on 18/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\apvxdwin.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Archivos de programa\InterVideo\Common\bin\WinCinemaMgr.exe
C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe
C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\system32\rundll32.exe
C:\ARCHIV~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
C:\Archivos de programa\Messenger\MSMSGS.EXE
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Archivos de programa\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WinCinemaMgr] "C:\Archivos de programa\InterVideo\Common\bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Sunkist2k] C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BackupNotify] c:\Archivos de programa\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnlineX Control) - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

[msc hotline sat]

Deben ser restos inocuos que dejo en el registro de sistema, en zopnba no mostrada por el HJT, el eliminador de estos troyanos.

SI quiere terminar de limpiarlos, puede utilizar el BUSCAREG e introducirle uno a uno estos nombres para que busque las claves de registro que los usan, y tras dar doble click sobre lo encontrado, aparecera una ventana con la clave y le ofrecerá eliminarla, para que no la llame, aunque si no está...

Pruebe esta utilidad descargándola de esta web:

BuscaReg (SATInfo)
Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

Descargar BuscaReg

saludos

ms, 19-11-2005

[muntsa22]

Pues el BuscaReg no ha encontado nada pero está ahi porque el panda y windows siguen notificando que detecta malaware.

Con ayuda de un entendido anteriormente ya eliminé entradas en HJT y en Regseeker. Ahora me ha sucedido en dos ocasiones que no puedo instalar algun programa tipo ACDSee, temo haber borrado algo importante todo y conservar los backups.

Podeis ayudarme?

[msc hotline sat]

He encontrado esta descripcion de AVIRAGmbH que se ajusta a tu caso.

Tengo que acudir a una comida, pero mas tarde sigo

Nombre: TR/Dldr.Agent.tc.4
Descubierto: 28/10/2005
Tipo: Troyano
Subtipo: Downloader
En circulación (ITW): No
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 28.160 Bytes
Suma de control MD5: f128d971ad293672f2ced609c51cb6b2
Versión del VDF: 6.32.00.111

General Método de propagación:
• No tiene rutina propia de propagación


Alias:
• Symantec: Trojan.Flush.A
• Kaspersky: Trojan-Downloader.Win32.Agent.tc
• Bitdefender: Trojan.DNSChanger.R


Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Efectos secundarios:
• Descarga ficheros dañinos
• Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\hgqhp.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
• %SYSDIR%\hgqhp.exe


Intenta descargar algunos ficheros:

– La dirección es la siguiente:
• http://195.**********.100/users/serg/web/files/images/coded1.jpg
El fichero está guardado en el disco duro en: %SYSDIR%\coded1.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Xsvix


– La dirección es la siguiente:
• http://195.**********.100/users/serg/web/files/images/logo_small.jpg
El fichero está guardado en el disco duro en: %SYSDIR%\logo_small.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Pipas.A


– La dirección es la siguiente:
• http://195.**********.100/users/serg/web/files/images/hlmicro.jpg
El fichero está guardado en el disco duro en: %SYSDIR%\hlmicro.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: ADSPY/Msnagent.B


– La dirección es la siguiente:
• http://195.**********.100/users/serg/web/files/images/hwiper.jpg
El fichero está guardado en el disco duro en: %SYSDIR%\hwiper.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Qhost.DF


– La dirección es la siguiente:
• http://195.**********.100/users/serg/web/files/images/favme.jpg
El fichero está guardado en el disco duro en: %SYSDIR%\favme.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Favadd.AN


– La dirección es la siguiente:
• http://195.**********.100/users/serg/web/files/images/bndmod.jpg
El fichero está guardado en el disco duro en: %SYSDIR%\bndmod.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral.

– La dirección es la siguiente:
• http://85.**********.43/dgprpsetup.exe
El fichero está guardado en el disco duro en: %SYSDIR%\dgprpsetup.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Agent.SY


– La dirección es la siguiente:
• http://the**********.com/config.php
El fichero está guardado en el disco duro en: %WINDIR%\rdt.ini

– La dirección es la siguiente:
• http://195.**********.100/users/serg/web/files/images/empty.gif
El fichero está guardado en el disco duro en: %SYSDIR%\%serie de caracteres aleatorios de cinco dígitos%.dll Detectado como: TR/Drop.Small.XL

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "hgqhp.exe"="%SYSDIR%\hgqhp.exe"



Elimina del registro de Windows el valor de la siguiente clave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "%ficheros ejecutados%"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "hgqhp.exe"="%SYSDIR%\hgqhp.exe"



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\1dedoc]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\llams_ogol]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwh]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\emvaf]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\domdnb]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\orcimlh]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
• "1dedoc"=hex:%valores hex%
• "llams_ogol"=hex:%valores hex%
• "repiwh"=hex:%valores hex%
• "ytpme"=hex:%valores hex%
• "emvaf"=hex:%valores hex%
• "domdnb"=hex:%valores hex%
• "orcimlh"=hex:%valores hex%
• "putesprpgd"=hex:%valores hex%

– [HKLM\SOFTWARE\SearchToolbar\Toolbar]
• "Version"="1.1"
• "OptdateTest"=dword:4365eb0a

– [HKCR\ToolBand.ToolBandObj.1]
• @="SearchToolbar"

– [HKCR\ToolBand.ToolBandObj.1\CLSID]
• @="{08BEC6AA-49FC-4379-3587-4B21E286C19E}"

– [HKCR\ToolBand.ToolBandObj]
• @="SearchToolbar"

– [HKCR\ToolBand.ToolBandObj\CLSID]
• @="{08BEC6AA-49FC-4379-3587-4B21E286C19E}"

– [HKCR\ToolBand.ToolBandObj\CurVer]
• @="ToolBand.ToolBandObj.1"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}]
• @="SearchToolbar"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}\InprocServer32]
• @="%SYSDIR%\hzpvq.dll"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}\ProgID]
• @="ToolBand.ToolBandObj.1"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E\VersionIndependentProgID]
• @="ToolBand.ToolBandObj"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0]
• @="IDEHandler"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\0\win32]
• @="%SYSDIR%\hzpvq.dll"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\FLAGS]
• @="0"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\HELPDIR]
• @="%sysdir%"

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %fichero dll viral%

Nombre del proceso:
• explorer.exe

Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.

Seguro que con ello sabremos las claves que hemos de eliminar.

hasta luego

saludos

ms, 19-11-2005

[msc hotline sat]

De lo indicado en la descripcion...

como que dice que añade todas estas claves:

Añade las siguientes claves al registro:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\1dedoc]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\llams_ogol]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwh]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\emvaf]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\domdnb]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\orcimlh]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
• "1dedoc"=hex:%valores hex%
• "llams_ogol"=hex:%valores hex%
• "repiwh"=hex:%valores hex%
• "ytpme"=hex:%valores hex%
• "emvaf"=hex:%valores hex%
• "domdnb"=hex:%valores hex%
• "orcimlh"=hex:%valores hex%
• "putesprpgd"=hex:%valores hex%

– [HKLM\SOFTWARE\SearchToolbar\Toolbar]
• "Version"="1.1"
• "OptdateTest"=dword:4365eb0a

– [HKCR\ToolBand.ToolBandObj.1]
• @="SearchToolbar"

– [HKCR\ToolBand.ToolBandObj.1\CLSID]
• @="{08BEC6AA-49FC-4379-3587-4B21E286C19E}"

– [HKCR\ToolBand.ToolBandObj]
• @="SearchToolbar"

– [HKCR\ToolBand.ToolBandObj\CLSID]
• @="{08BEC6AA-49FC-4379-3587-4B21E286C19E}"

– [HKCR\ToolBand.ToolBandObj\CurVer]
• @="ToolBand.ToolBandObj.1"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}]
• @="SearchToolbar"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}\InprocServer32]
• @="%SYSDIR%\hzpvq.dll"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}\ProgID]
• @="ToolBand.ToolBandObj.1"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E\VersionIndependentProgID]
• @="ToolBand.ToolBandObj"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0]
• @="IDEHandler"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\0\win32]
• @="%SYSDIR%\hzpvq.dll"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\FLAGS]
• @="0"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\HELPDIR]
• @="%sysdir%\"

pues cualquiera de ellas podría ser la incordiante, si no las ha borrado el proceso que eliminó los ficheros viricos

Y lance un antiirus ONLINE a ver si pillara algo al respecto, aunque si ya no hay los ficheros, mas bien habra de buscar las claves manualmente.

https://www.virustotal.com/es/


Prueba tambien nuestro

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Cuentenos sus progresos, como respuesta de este Tema, gracias

saludos

ms, 20-11-2005

[muntsa22]

Bien, he pasado el elistara, este és el report que me deja.



Lista de Acciones:

Eliminados Ficheros Temporales del IE



Sun Nov 20 13:23:11 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SONIC\EXPRESS LABELER\STAX.EXE --> Eliminado, StartPage-IN

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\DUMMIES\DUMMY.CD_CLINT.DLL --> Eliminado, CyDoor

C:\WINDOWS\SYSTEM32\LTFIL13N.DLL --> Eliminado, WinAd



En cuanto al antivirus, el activescan me detecta uno de los bichos que no puede desinfectar.



Adware:Adware/Adultpage No desinfectado C:\WINDOWS\system32\favme.exe

El Ewido detecta los 4, no entiendo porque no los encuentro en la ruta indicada, dices que son rastros inocuos pero el ordenador funciona mal. A menudo cuando entro para buscar en C/ el ordenador se cuelga.

No entiendo muy bien que tengo que hacer con toda la información que me habeis dado, ya os dije que soy poco entendida. Busco una a una en el registro estas entradas y las elimino? Todas?

[msc hotline sat]

Deciamos que debian ser restos inocuos si ya no tenia los ficheros, pues nos decia que este:



C:\WINDOWS\system32\favme.exe



y los demás ya no los tenía, pero si en cambio resulta que los detecta es que los tiene...



A ver si todo es porque no está arrancando como debe.



Siempre para eliminar virus y spuwares ha de arrancarse en modo seguro, u si es XP, además deshabliitar la restauracion de sistema.



Si a pesar de esto, el ewido o cualquier otro antispyware. se los detecta pero no los puede eliminar, apague el ordenador y arranque pulsando repetidamente F8, y de las tres maneras que le ofrece de modo seguro, escoja la tercera: arrancar en modo seguro con solo simbolo de sistema y en DOS, vaya a la carpeta donde tenga los antispywares indicados (con CD...) y lancelos en modo de opciones de comando, esto es, por su nombre y ENTER



y cuentenos el resultado, gracias



saludos



ms, 20-11-2005

[muntsa22]

He estado buscando en el registro y no encuentro nada. Supongo que HKCR corresponde a HKEY- CLASSES-ROOT

y que HKLM a HKEY- LOCAL- MACHINE.

Bien, pues no encuentro ninguna de las rutas indicadas en estas entradas.

Se supone que todas son maliciosas y yo tengo que tener alguna de ellas? Si el procedimiento de busqueda es correcto lo vuelvo a mirar más detalladamente. Si encuentro alguna borro?



Gracias.

[muntsa22]

Si, lo de entrar en modo seguro y deshabilitando restaurar sistema ya lo hacia. Sé tambien que estos ficheros los tengo pero no sé como encontrarlos ya que aparentemente no estan en su ubicación ni la busqueda los localiza. He intentado entrar con F8 siguiendo lo que me habeis indicado, en modo prueba de fallos, la 3ª opción MS Simbolo de sistema, pero luego solo me da dos opciones :

Microsoft windows XP Home edition

Consola de recuperación Microsoft XP.



Si acepto la primera no entra a MSDos.

Podeis indicarme la manera?



Una vez ahi, la ruta exacta que debo escribir es:



CD:/C:\WINDOWS\system32\bndmod.exe





O como es?

[muntsa22]

Perdón la confusión, lo he estado mirando, es la inexperiencia!



Entro en la 3ª opción Modo prueba de fallos. Una vez ahi, desde INICIO/PROGRAMAS/ACCESORIOS/SIMBOLO DEL SISTEMA.



Podeis detallar que debo escribir ahi exactamente?

[msc hotline sat]

No te decimos esto.

Arrancando pulando repetitivamente F8 te muestra el menu de inicio en el cual, como modo seguro hat 3 maneras:

la 1ª ARRANCAR EN MODO SEGURO
La 2ª Arrancar en modo seguro comn funciones de red
y la 3ª que es la que te decimos que es ARRANCAR EN MODO SEGURO CON SOLO SIMBOLO DE SISTEMA

Entrando con esta tercera no tendrñas entorno grafico, sino MSDOS, directamente, sin necesidad de entorno grafico en el que ir a buscar el MSDOS, y asi no carga el EXPLORER, que puede ser la manera como entra el virus en marcha, tal como indica la descripcion al respecto:

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %fichero dll viral%

Nombre del proceso:
• explorer.exe

De esta forma lance el ELISTARA, y parab ello debe ir al directorio donde lo ha copiado y ehecutarlo entrandop su nombre y <ENTER>, o mejor copielo en el directorio raiz y asi lo tendra a mano

y cuidado con tocar nada del registro no ejecutar la instruccion que hacia referencia al bndmod.exe, que no sé lo que quería hacer con ella !!!

Dado que sus conocimiento no son suficientes para hacerlo solo, sugerimos pida ayuda a algun amigo om vecino un poco mas conocedor de la informatica básica, o nos pregunte cada paso, porque su problema puede ser mas complejo si tras todos los programas que aplicó no lo resolvió, a no ser que no arrancara debidamente ???

O lo resuelve arrancando como indicamos y con las utilidades indicadas o procurese la ayuda de algun amigo habituado a manejar comandos de MSDOS, o armese de paciencia y vaya preguntandonos lo que no entienda, si bien esto último es peligroso, pues lo que hemos explicado, no lo ha entendido bien ni nosotros lo que nos decía sobre que los ficheros ya no estaban ??? y no quisieramos que fuera peor el remedio que la enfermedad !

Tenga, como siempre ha de tener, copia de seguridad al día de los datos contenidos en su ordenador, no sea caso de que por una accion incorrecta se perdieran.

saludos

ms, 20-11-2005

[muntsa22]

Hola, me gustaria explicar la situación porque veo que no me explico, de todas maneras leyendo vuestra respuesta creo que no me podreis ayudar. Ahora mismo no tengo a nadie con conocimiento de MSDos y pienso que esta debe ser la única solución a no ser que sepáis otra. Tengo interés en que entendais el tema de los archivos infectados que no encuentro. Tanto el panda como el Ewido como el SPy sweeper que instale ayer detectan y neutralizan o eliminan diferentes spywares como :

Findspy que se ecuentra en el archivo C/Windows/System32/bndmod.exe



Adultpage en C/Windows/System32/favme.exe



Quickweb en C/Windows/System32/hlmicro.exe



y otro en C:\WINDOWS\system32\hwiper.exe



Arranco en modo prueba de fallos deshabilitando restaurar sistema con todos los archivos a la vista, no ocultos, y voy a la carpeta C:\WINDOWS\system32\ a buscarlos pero no estan, hasta he impedido que el panda residente los eliminara para ver si los encontraba pero en esta carpeta no estan. Los antivirus siguen avisando cada dia que los detectan, por eso sé que siguen ahi y por lo mal que sigue funcionando el ordenador. Incluso ayer el SPy sweeper que detecta dos de ellos me hizo reiniciar el ordenador para eliminarlos en el arranque, hoy vuelven a estar.

Por todo esto creo que hay alguna orden dada en el registro que activa todo esto.

Las claves a buscar son todas las expuestas en el mensaje anterior tipo... y las que siguen:



[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\1dedoc]

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\llams_ogol]

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwh]

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\emvaf]

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\domdnb]

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\orcimlh]

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]

• "1dedoc"=hex:%valores hex%



Entendeis porque no encuentro los archivos? Habia pensado que el Panda los renombraba por eso en una ocasión impedi su eliminación pero sin ninguna solución.



Hay alguna manera de actuar con todo esto que pueda hacer por mi cuenta sin ayuda ?

Veis más fàcil formatear o puedo ahorrarmelo aunque me cueste tiempo?



Os agradezco de todas maneras vuestra ayuda y atención.

Saludos

[msc hotline sat]

Efectivamente, conocemos los pormenosres del FLUSH que es como llamamos a lo que tiene.



Ya desde hace tiempo, con el ELISTARA controlamos este DNSCHANGE, FLUSH o DOWNLOADER que cambia las URL de los servidores DNS, descarga troyanos y se inyecta al EXPLORER.EXE para lanzarse en cada reinicio.



Con la actual version 10.63 del ELISTARA controlamos las 8 URL (de setbidores de DNS de Ukraina y California), para poder aplicar el CONFGDNS.EXE en el caso de ser detectadas, y todo lo demás, por lo que le pedimos que la descargue a un disquete, luego apague el ordenador y arranque pulsando repetitivamente F8 hasta que salga el menú de inicio, y de allí escoja la tercera de las opciones del MODO SEGURO, esto es modo seguro con solo simbolo de sistema.



A continuacion inserte el disquete donde descargó el ELISTARA.EXE, y ejecute:



A: <enter>



ELISTARA <enter>



tras ello informenos de lo que le ga detectado, pedido, avisado y demás, que se lo habrña grabado en C:\infosat.txt, lo cual podrá leer y pegarnos en su proximo postm tras reiniciar normalmnete (saque el disquete de la disquetera)



No se lo puedo poner mas facil



saludos



ms, 21-11-2005

[muntsa22]

Por fin, parece que lo he conseguido!

Finalmente tras buscar descargué la herramienta Fixwareout (por si os puede ser de ayuda) y a partir de ahi, todo a vuelto a funcionar a la perfección. Los antivirus no detectan nada y ya no he tenido ningun otro problema.

Les agradezco enormemente su dedicación y paciencia.



Muchas gracias

[msc hotline sat]

Pues claro que interesa saberlo, gracias por decirnoslo. Veremos de qué se trata. y lástima que no pudiera seguir nuestras indicaciones, pues estabamos casi al final...



Y solucionado el problema, procedemos a cerrar el Tema



saludos





ms, 23-11-2005