Spyware en mi ordenador...

[Yolandi]

Desde hace días mi ordenador no abre algunas páginas web y me imaginé que tenía algún bichito. Descargué el programa Spybot, pasé el Ewido y no aparece nada de nada... en cambio paso el PandaSoftware y me aparece esto:



Incidencia



Adware:adware/toolbarsimbar No desinfectado Registro de windows

Spyware:Cookie/Adserver No desinfectado C:\Documents and Settings\usuario\Cookies\usuario@adserver.terra[3].txt

Spyware:Cookie/ademails No desinfectado C:\Documents and Settings\usuario\Cookies\usuario@www.ademails[1].txt ¿Que puedo hacer?

[msc hotline sat]

Parecen cookies y temporales de Internet.



Prueba el ELITEMPO:





ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



y NOS INFORMAS DEL RESULTADO, GRACIAS



SALUDOS



MS, 25-5-2006

[Yolandi]

Cookies eliminadas, pero sigue estando presente el adware/toolbarsimbar en el Registro de Windows.. ¿que hago?

[msc hotline sat]

Si ya ha borrado el fichero, por lo que se ve, ya no puede enviarnos una muestra para que podamos elimnar o restaurar las claves que crea, en consecuencia



En consecuencia trate de eliminar los restos siguiendo el tutorial de antispywares:



https://foros.zonavirus.com/viewtopic.php?t=4795



Pero no se preocupe demasiado por ellas si solo es por la deteccion, que sin fichero poco hará, mas bien solo estar...



saludos



ms, 25-5-2006

[Yolandi]

Seguí el tutorial tal como me indicastes, pero sigue sin desaparecer. El log del panda software sigue notificando que está en el registro de Windows.



Saqué el log del HijackThis:



Logfile of HijackThis v1.99.1

Scan saved at 9:59:23, on 26/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Firewall\PavFires.exe

C:\WINDOWS\system32\CAPM1RSK.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Pavkre.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\psimsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Archivos de programa\WinPoET\WrOS.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\WinPoET\winpppoverethernet.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\usuario\CONFIG~1\Temp\Rar$EX00.953\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Ventana de estado de Canon PC1200 iC D600 iR1200G.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2951215B-E4C2-4642-9E3A-B0B7A97051DC}: NameServer = 212.145.4.97,212.145.1.98

O17 - HKLM\System\CS1\Services\Tcpip\..\{2951215B-E4C2-4642-9E3A-B0B7A97051DC}: NameServer = 212.145.4.97,212.145.1.98

O17 - HKLM\System\CS2\Services\Tcpip\..\{2951215B-E4C2-4642-9E3A-B0B7A97051DC}: NameServer = 212.145.4.97,212.145.1.98

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\psimsvc.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET\WrOS.EXE



El problema que me da es sobre todo pq no puedo acceder a muchas páginas web y me imagino que sea de eso.

[msc hotline sat]

Lo que tienes es un bicho pululando !!!:



C:\WINDOWS\system32\CAPM1RSK.EXE



Envianos este fichero a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques como referencia "REF CAPM1RSK" y lo analizaremos, tras lo cual informaremos



saludos



ms, 26-5-2006

[Yolandi]

De momento iba controlando pero ahora me perdí... como os envío el fichero a traves del e-mail?



Jo, y mil gracias por las molestias.

[maura63]

Copia el fichero CAPM1RSK.EXE a diskette, si no se deja por estar en uso, hazlo arrancando en modo.



Comprimero en ZIP y lo adjuntas al e:mail.



Saludos

maura63

[Yolandi]

Ya envié el fichero.. a ver si ahora hay suerte :)

[maura63]

Pues espera contestacion en este mismo post.



Saludos

maura63

[msc hotline sat]

Al ver que tardaba mas de 1 hora, he revisado la direccion de envio y he visto que habia un error (faltaba la u). La he corregido debidamente, La correcta es zonavirus@satinfo.es



Repita el envio anexando de nuevo el fichero, gracias



El que envió antes lo recibirá devuelto



saludos



ms, 26-5-2006

[Yolandi]

Enviado otra vez sin problemas :wink:

[maura63]

OK.



Saludos

maura63

[msc hotline sat]

Recibido y analizado:



Mo hay quien detecte virus, a pesar de ser desconocido:



En el analisis de VirusTotal

reportó:


[quote="VirusTotal"]ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "1__CAPM1RSK.EXE" que VirusTotal ha recibido el día 26.05.2006 a las 13:56:04 (CET).



Antivirus Version Actualización Resultado

AntiVir 6.34.1.32 26.05.2006 no ha encontrado virus

Authentium 4.93.8 26.05.2006 no ha encontrado virus

Avast 4.6.695.0 26.05.2006 no ha encontrado virus

AVG 386 25.05.2006 no ha encontrado virus

BitDefender 7.2 26.05.2006 no ha encontrado virus

CAT-QuickHeal 8.00 26.05.2006 no ha encontrado virus

ClamAV devel-20060426 25.05.2006 no ha encontrado virus

DrWeb 4.33 26.05.2006 no ha encontrado virus

eTrust-InoculateIT 23.72.18 26.05.2006 no ha encontrado virus

eTrust-Vet 12.6.2229 26.05.2006 no ha encontrado virus

Ewido 3.5 26.05.2006 no ha encontrado virus

Fortinet 2.77.0.0 26.05.2006 no ha encontrado virus

F-Prot 3.16c 26.05.2006 no ha encontrado virus

Ikarus 0.2.65.0 26.05.2006 no ha encontrado virus

Kaspersky 4.0.2.24 26.05.2006 no ha encontrado virus

McAfee 4770 25.05.2006 no ha encontrado virus

Microsoft 1.1441 26.05.2006 no ha encontrado virus

NOD32v2 1.1560 26.05.2006 no ha encontrado virus

Norman 5.90.17 26.05.2006 no ha encontrado virus

Panda 9.0.0.4 26.05.2006 no ha encontrado virus

Sophos 4.05.0 26.05.2006 no ha encontrado virus

Symantec 8.0 26.05.2006 no ha encontrado virus

TheHacker 5.9.8.148 26.05.2006 no ha encontrado virus

UNA 1.83 24.05.2006 no ha encontrado virus

VBA32 no 25.05.2006 no ha encontrado virus





Información adicional

Tamaño archivo: 28672 bytes

MD5: 56d60b099d88d101dddc7b58776d2bf7

SHA1: a331c8ba00963c0dcde057d55077b05f9e60e798 [/quote]

Y mirando en su interior parece ser algun driver de una impresora de Canon, asi que si tiene instalado una, entenderemos que es de instalacion voluntaria no virica.



saludos



ms, 26-5-2006

[Yolandi]

Pq me reconoce entonces eso como virus? Si que tenemos una impresora Canon pero desde hace mucho, el problema viene de ahora



En todo caso a que puede deberse que antes pudiera abrir toda clase de páginas web y ahora algunas no pueda?



Gracias por la ayuda.

[msc hotline sat]

Porque algo que se ejecutó modificó el registro de sistema y así ha quedado...



Posiblemente se eliminó algun troyano sin restaurar las claves, y ahora vaya a saber cual fué. Puede venir de hace tiempo.



El ewido es un gran antispywar que se deja probar en concepto shareware por 15 dias, puede ser que examine el registro y se lo restaure aunque no haya ya el bicho.Pruebelo y nos comenta el resultado, gracias.





http://ewido-anti-malware.softonic.com/ie/38189



saludos



ms, 26-5-2006