problemas varios * <S.O. y resto clave adware HBTO>

Huno · Mensaje por **Huno** » 31 Jul 2006, 13:33

Hola:

Me he quedado sin cortafuegos (el zonealarm). Lo desinstalo en modo a prueba de errores y lo vuelvo a instalar, pero el modo normal es incapaz de abrirse, me dice el sistema que windows no puede hallar el archivo especificado. El ad-aware no me detecta nada, en cambio el panda online me detecta 40 spyware (pero ningún virus ni nada preocupante). El otro día se me borraron todos los archivos que me estaba bajando de la mula y los que estaban en incoming.

Consejos por favor.

Huno · Mensaje por **Huno** » 31 Jul 2006, 14:18

Ahh, tampoco me funciona el firefox que es mi navegador favorito, estoy escribiendo desde el internet explorer

Mensaje por **msc hotline sat** » 31 Jul 2006, 14:21

Es muy facil que nuevos gusanos bajados por Emule le desactiven el cportafuegos por soft, por eso recomiendo los de hardware !!!

Los spywares que debe detectar panda posinlemente son restos de cadenas en el registro, es tipico.

Prueba el ONLINE que te recomiendo al finald e ste link:

[url=http://foros.zonavirus.com/viewtopic.php?p=52059#52059]~~[b]~~NAVEGA PROTEGIDO[/b][/url]

y si no detectas nada y persiste la desactivacion de los residentes de seguridad, posteanos el log del HJT;

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

lo analizaremos e informaremos

saludos

ms, 31-7-2006

Huno · Mensaje por **Huno** » 31 Jul 2006, 15:23

Le he pasado el elitrip y el elistarA. Y aquí está el resultado del hijckjack:

Logfile of HijackThis v1.99.1

Scan saved at 15:24:02, on 31/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Grisoft\AVG Free\avgcc.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Javier\CONFIG~1\Temp\Rar$EX00.875\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\ARCHIV~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myagttry.exe"

O4 - HKLM\..\Run: [MVS Splash] C:\ARCHIV~1\McAfee\MANAGE~1\VScan\Splash.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HbTools] C:\Archivos de programa\HbTools\Bin\4.7.7.0\HbtOEAddOn.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128775412765

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B990F401-E188-40F4-A132-F554492DCA42}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\MyRmProt3.5.0.478.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

O23 - Service: McShield - McAfee Inc. - C:\ARCHIV~1\McAfee\MANAGE~1\VScan\McShield.exe

O23 - Service: McAfee Managed Services Agent (myAgtSvc) - McAfee, Inc. - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 31 Jul 2006, 16:07

Te pedía que pasaras el ONLINE del fnal de la pagina del link, no otra cosa...

(Esto es lo que hay al final de la pagina del link, que me je querido ahorrar para ahorrar tiempo, pero ...

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

Bueno, voy na mirar los logs

Mensaje por **msc hotline sat** » 31 Jul 2006, 16:15

Hay instalado AVG y McAfee. No debes coexistior dos antivieis en un ordenador, Desisntala uno de los dos .

Aparte, envienos muestra de este fichero:

C:\Archivos de programa\HbTools\Bin\4.7.7.0\HbtOEAddOn.exe

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Mientras, lo puede renombrar a .OLD para qie en el proximo reinicio esté fuera de circulacion

Tras recibirlo, lo analizaremos e implenmentaremos su control y elimiunacion , si procede en nuestras utilidades, de lo cial informaremos en el foro

saludos

ms, 31-7-2006

Huno · Mensaje por **Huno** » 31 Jul 2006, 18:53

No tengo cojones de quitar el McCafee. Lo intentaré ahora en modo a prueba de errores.

Taqmpoco me aparece C:\Archivos de programa\HbTools\Bin\4.7.7.0\HbtOEAddOn.exe

Eso sólo aparece en el registro y no sé muy bien que hacer ahí.

En cuanto al antivirus online no me carga la página: dice que falló el control de carga y me pregunta si utilizo el explorer 4 (tengo el 6).

Gracias por tu ayuda msc, pero te imploro más :oops:

Huno · Mensaje por **Huno** » 31 Jul 2006, 19:38

c**o el McCafee no se quita ni a prreba de errores ni con el easy cleaner. Tampoco puedo desintalar el Weather Services.

Ya tampoco me va el Mozilla Thunderbird. Esto va de mal en peor.

Mensaje por **msc hotline sat** » 31 Jul 2006, 19:52

Bueno, el fichero en cuestion es un adware:

http://www.superadblocker.com/definition/hbtoeaddon/

pero no parece demasiado peligroso y seguramente lo ha eliminado sin restaurar la clave, y por eso hay los restos

Elimine la clave y listos

O4 - HKLM\..\Run: [HbTools] C:\Archivos de programa\HbTools\Bin\4.7.7.0\HbtOEAddOn.exe

Pero lo demas es precupante, y no nos ha dicho el resultado del testeo ONLINE ???

Lo del McAfee, simplemente elimine las claves del registro que hacen referencia a él

y a ver si nos enteramos de lo que le detecta el ONLINE aconsejado, gracias

saludos

ms, 31-7-2006

Huno · Mensaje por **Huno** » 31 Jul 2006, 20:30

Por fin le he podido pasar el online aconsejado, pero me dice que no ha encontrado nada.

Aarrgg, no quiero formatear. Please

Mensaje por **msc hotline sat** » 31 Jul 2006, 20:55

Pues si no tienes virus, quizas tienes mal el sistema , reparalo:

Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

sakudos

ms, 31-7-2006

Mensaje por **msc hotline sat** » 31 Jul 2006, 20:57

[size=200] A D V E R T E N C I A[/size]

DE

[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

EN REVISION DE LOS TITULOS:

El titulo de su Tema no refleja el problema

~~[b]~~NOTA: Y RECUERDA [/b]

[url=http://foros.zonavirus.com/viewtopic.php?t=1307]~~[b]~~No despercicies los titulos, dicen mucho[/b][/url]

Huno · Mensaje por **Huno** » 31 Jul 2006, 22:32

Ofrrezco mis disculpas msc si el título no coincidía con el problema. Paso a hacer lo que me aconsejas.

Gracias por todo.

Mensaje por **msc hotline sat** » 01 Ago 2006, 07:30

Tenlo presente para el futuro, eso es todo, gracias

ms-