Problemas con Spyware a ver si me ayudais viendo el log.

[pakhowell]

Bueno... Ya se me ha acabado la paciencia con el spy falcon de los huevos he seguido todos los pasos que se recomiendan en la sección del foro sobre spy ware. Pero es imposible. Lo he hecho dos veces y la seguna ya parecía que me iba a dejar en paz pero no. hace un minuto se ha vuelto a instalar el programita y otra vez a aparecerme los pop ups os pondré el log para que me ayudeis.



De verdad he seguido los pasos dos veces y ha sido imposible... con el killbox había eliminado el spyfalcon.exe, h pasado del disk cleaner después, y ahora justo cuando vuelvo a hacer un scan con el avast y con el spy bot search and destroy vuelve a salir el bicharraco.



os pego el log aquí:



Logfile of HijackThis v1.99.1

Scan saved at 23:52:44, on 26/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\Archivos de programa\USB 2.0 Flash Drive Utility\PLBkMon.exe

C:\WINDOWS\System32\HotfixQ0306270.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Kodak\Kodak EasyShare Software\bin\EasyShare.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\AvidSDMService.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\Crazy Browser\Crazy Browser.exe

C:\Archivos de programa\Alwil Software\Avast4\ashSimpl.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe

C:\Archivos de programa\SpyFalcon\SpyFalcon.exe

C:\Archivos de programa\SpyFalcon\SpyFalcon.exe

C:\Descargas\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.bcn.ttd.net:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {37841BC3-0B15-B2CD-F660-A7DB2749D787} - (no file)

O2 - BHO: (no name) - {8670193A-D5C0-498F-20EE-D01FFFB510B9} - (no file)

O2 - BHO: (no name) - {DA2BEE12-EE81-9641-C916-D187055D2DA2} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll (file missing)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [MindSoft SystemGo] C:\Archivos de programa\MindSoft\Utilities XP 7.8\systemgo.exe

O4 - HKLM\..\Run: [TSE_PLUtil] C:\Archivos de programa\USB 2.0 Flash Drive Utility\PLBkMon.exe

O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe

O4 - HKLM\..\Run: [DIGStream] C:\Archivos de programa\DIGStream\digstream.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [xgfuuvfr] C:\WINDOWS\System32\xgfuuvfr.exe

O4 - HKLM\..\Run: [bpospcal] C:\WINDOWS\System32\bpospcal.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [mxuj] C:\WINDOWS\mxuj.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [etcoqjsf] C:\WINDOWS\System32\etcoqjsf.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SpyFalcon] C:\Archivos de programa\SpyFalcon\SpyFalcon.exe /h

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare Software\bin\EasyShare.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab

O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://es.mayeticvillage.com/qp2.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/miniclipGameLoader.dll

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {ABB8B806-3B56-4F58-9709-D83593461FCD} (xgaLauncher.ctlxgaLauncher) - http://62.81.63.147/aa/cabinet/xgaLauncher.CAB

O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://www.advnt01.com/dialer/internazionale_ver10.CAB

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_ES_XP.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_ES_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D82C7AF-7A0C-4C3C-A8A6-2092FB2412D3}: NameServer = 85.255.115.37,85.255.112.93

O17 - HKLM\System\CCS\Services\Tcpip\..\{C8DD5F95-0CB4-4537-95A0-EED551D4B2E6}: NameServer = 85.255.115.37,85.255.112.93

O17 - HKLM\System\CS1\Services\Tcpip\..\{7D82C7AF-7A0C-4C3C-A8A6-2092FB2412D3}: NameServer = 85.255.115.37,85.255.112.93

O17 - HKLM\System\CS2\Services\Tcpip\..\{7D82C7AF-7A0C-4C3C-A8A6-2092FB2412D3}: NameServer = 85.255.115.37,85.255.112.93

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe

O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - rundll32.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Perdón por las molestias no quería escribir nada sin haberme repasado toda la información sobre mi problema pero mi paciencia se ha agotado cuando he hecho el proceso dos veces y me sigue saliendo.



Gracias y Un saludo

[TheJoker]

Buenos dias...



Realiza lo siguiente



Desinstala desde Agregar/quitar programas el SpyFalcon



Luego ejecuta en modo seguro este programa



____________________________________



INTERVENIDO POR ADMINISTRADOR



DE HABERLAS, SE DEBEN USAR LAS UTILIDADES DE ESTE FORO:



EN ESTE CASO:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Perp desactiva el AVAST para desrcargarlo, que tiene falsos positivos, y luego arranca en modo seguro y lanza el ELISTARA



QUEDAS AVISADO TheJoker !!!

__________________________________





Pasa el Ad-Aware



Pega un nuevo log de HiJackThis



Saludos

[msc hotline sat]

No tienes aplicado ningun parche de microsoft !!!



Lanza un windowsupdate y actualiza





t eklinmina estas claves:



O2 - BHO: (no name) - {37841BC3-0B15-B2CD-F660-A7DB2749D787} - (no file)



O2 - BHO: (no name) - {8670193A-D5C0-498F-20EE-D01FFFB510B9} - (no file)



O2 - BHO: (no name) - {DA2BEE12-EE81-9641-C916-D187055D2DA2} - (no file)



O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll (file missing)



O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/miniclipGameLoader.dll



O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab



O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://www.advnt01.com/dialer/internazionale_ver10.CAB



O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_ES_XP.cab



O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_ES_XP.cab



O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)



O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)



O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - rundll32.exe (file missing)







y muy importante: Mira el grupo 017 del HJT



parece que has sido hackeado y redirigido tu servidor de DNS a webs ukranianas dudosas



@:may be nasty for spanish users, DNS server in Ukraina ???:

85.255.115.37 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.93 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company





Pregunta a tu ISP sus servidores de DNS recomendados y prueba el CONFGDNS.EXE para cambiarlo, pero no elimines todas las claves del grupo 017 con el HJT o te quedarias sin poder navegar !





CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp





y si ya has utilizado el ELISTARA, (sino hazlo), posteanos el resultado que está en C:\infosat.txt , gracias

-y si pide que nos envies muestras, ya sabes...



saludos



ms, 13-3-2006

[pakhowell]

Pues gracias por lo que me habeis respondido. He hecho lo que me habeis hecho y nada aún así intentaré mandaros las muestras esta tarde noche a ver...



Gracias de todas maneras la verdad es que el eliastara, el adaware y el spybot me han eliminado el spy falcon 80 veces sin exito la útlima vez nada más arrancar el ordenador durante el inicio y nada de nada.



Seguiré luchando gracias ;)

[msc hotline sat]

Recuerda que si no cambias el servidor de DNS de lo pueden estar metiendo cada vez que vas a navegar, Estas en sus manos...



Arrancando en modo seguro con la restauracion de sistema deshabilitada, y pasando el ELISTARA actual, deberias eliminarlo aunque se pidiera muestra, por no conocer la variante precisa, pero da igual, se elimina el fichero de donde está y se copia en la carpeta de WinLogon y alli esta en cuarentena...



Igualmente estamos acabando la nieva version, que ya lo identificarña y no pedirá muestra, pero el problema no es este, sino que posiblemente lo estes importando cada vez que navegas !



Has cambiado ya los servidores de DNS ???



Si quieres postea de nuevo el log actual de HJT y te diremos que te falta hacer



Y POSTEANOS TAMBIEN EL C:\INFOSAT.TXT



saludos



ms, 13-3-2006