Un spyware (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
zimblock
Mensajes: 13
Registrado: 11 Sep 2006, 22:49

Un spyware (SOLUCIONADO)

Mensaje por zimblock » 11 Sep 2006, 22:56

Por favor Ayuda.



Accidentalmente instale un spyware en mi PC, posiblemente lo conozcan, descripcion;



Se instalo en C:\Archivos de programa\ en una carpeta llamada Deskbar, y se incluyo en la barra de herramientas, es una barra de busqueda con una lupa, cada como 2 minutos me abre una ventana con publicidad.



Use el HijackThis y me genero el siguiente Log



Logfile of HijackThis v1.99.1

Scan saved at 03:47:01 p.m., on 11/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Trend Micro\PC-cillin 9\Tmntsrv.exe

C:\WINDOWS\SYSTEM32\rundll32.exe

C:\Archivos de programa\Trend Micro\PC-cillin 9\PCCPFW.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.5.0_08\bin\jusched.exe

C:\Archivos de programa\Trend Micro\PC-cillin 9\pccguide.exe

C:\Archivos de programa\Trend Micro\PC-cillin 9\PCCClient.exe

C:\Archivos de programa\Trend Micro\PC-cillin 9\Pop3trap.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\RamSmash\RamSmash.exe

C:\Archivos de programa\Archivos comunes\{74CEF317-05D7-2058-0906-010928000034}\Update.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Hijacthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Archivos de programa\Deskbar\deskbar.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Archivos de programa\ReGetDx\iebar.dll (file missing)

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Archivos de programa\Save Flash\SaveFlash.dll

O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Archivos de programa\Lexmark 5200 series\lxbtbmgr.exe"

O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 9\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 9\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 9\Pop3trap.exe"

O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\lass.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [RamSmash] "C:\Archivos de programa\RamSmash\RamSmash.exe" /start

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_17.exe

O4 - HKLM\..\Run: [defender] C:\\dfndrff_17.exe

O4 - HKLM\..\Run: [newname] C:\\nwnmff_17.exe

O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\lass.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Descargar con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Descargar todo con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_All.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\ir62l5jo1.dll

O20 - Winlogon Notify: winzzd32 - winzzd32.dll (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\PC-cillin 9\PCCPFW.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\PC-cillin 9\Tmntsrv.exe





Porfavor ayudenme.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 12 Sep 2006, 06:23

Pues de entrada lance el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 12-9-2006
Arriba
zimblock
Mensajes: 13
Registrado: 11 Sep 2006, 22:49

Sigo luchando con el Spyware

Mensaje por zimblock » 12 Sep 2006, 18:38

Bien, antes que nada, quiero pedir disculpas por haber posteado sin haberme leido las normas del foro ni haber intentado lo que indica el manual anti-spyware, nunca habia tenido tantos problemas, finalmente lei la guia y me ayudo a eliminar muchos troyanos, adware, spyware, bots, y varias cosas que aparecieron.



Siguiendo el consejo de [b]msc hotline sat[/b], se han eliminado cuatro espero que ya no tener, posteare aki los resultados que genro el ELISTARA para saber si finalmente estoy libre de virus, gracias por la ayuda y espero poder cooperar con la causa aumentando mis conocimentos y algun dia si me preguntan poder asistirles y recomendar esta comunidad.





Tue Sep 12 11:05:46 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\UNINSTALL]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\FP8403LQE.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\ICONU.EXE --> Eliminado Zestyfind

C:\WINDOWS\SYSTEM32\PLUGIN1.DAT --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "startkey"="C:\WINDOWS\system32\lass.exe"

Entrada Eliminada [HKLM\...\Run] "startkey"="C:\WINDOWS\system32\lass.exe"

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Sep 12 11:09:23 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Save Flash\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Josue\My Documents\Morpheus Shared\Downloads\SETUPDVDDECRYPTER_3.5.4.0(2).EXE --> AutoExtraible

C:\WINDOWS\system32\EDITTEXTBOX.OCX --> Eliminado, QDial.Internazionale

C:\WINDOWS\system32\EDITTEXTBOXA.OCX --> Eliminado, QDial.Internazionale

C:\WINDOWS\system32\MLRLE32.DLL --> Eliminado, Look2Me (notify)

C:\WINDOWS\Temp\BW2.COM --> Eliminado, Zestyfind

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)
Arriba
Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Hola

Mensaje por koga » 12 Sep 2006, 18:42

Msc te dara la respuesta si estas libre de bichos pero lo que si te falta descargar "ELINOTIF.DLL" (Necesaria para la Limpieza) del Elistara.



http://www.zonavirus.com/descargas/elinotif.asp

saludos.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 12 Sep 2006, 18:44

Pues habemus bicho ! (y de los complejos)



Descargue el ELINOTIF.DLL en la misma carpeta que el ELISTARA y lance este de nuevo:





ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Tras ello reinicie y nos postea de nuevo el C:\infosat.txt , gracias



saludos



ms, 12-9-2006
Arriba
zimblock
Mensajes: 13
Registrado: 11 Sep 2006, 22:49

Bien ya lo hice

Mensaje por zimblock » 14 Sep 2006, 00:29

Bien, que opinas ¿ya puedo quitarme el respirador artificial?







Wed Sep 13 16:34:46 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SHELLSCRAP]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\FP2U03F9E.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Eliminado Look2Me (notify)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Sep 13 16:37:24 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Save Flash\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Josue\My Documents\Morpheus Shared\Downloads\SETUPDVDDECRYPTER_3.5.4.0(2).EXE --> AutoExtraible

C:\WINDOWS\system32\DN2401FQE.DLL --> Eliminado, Look2Me (notify)

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.6.08.03 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Look2Me

Elininada KEY "Winlogon\Notify\Control Panel"

Desinstalado EliNotif.dll



EliNotify v1.6.08.03 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Look2Me

Elininada KEY "Winlogon\Notify\Control Panel"

Desinstalado EliNotif.dll



EliNotify v1.6.08.03 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Look2Me

Elininada KEY "Winlogon\Notify\Control Panel"

Desinstalado EliNotif.dll
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 14 Sep 2006, 11:51

Sí, pero ponte una careta antipolución para que no te entren nuevos bichos :lol:





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 14-9-2006
Arriba
Cerrado

Volver a “Foro Virus - Cuentanos tu problema”