No puedo eliminar spyware - Por favor ayuda

[Rucacura]

Buenas tardes a todos en el foro, mi problema es que cuando estoy navegando con IE6 aparecen de repente ventanas de paginas porno y de casinos, no note un patrón de aparición, como por ejemplo después de visitar alguna pagina en particular o abrir alguna aplicación, y luego el IE tira una ventana de error la aplicación efectuó una operación no valida, con las opciones de enviar, no enviar y se cierra. Tengo WXP, Nod32, adaware.

Cuando estoy navegando el Nod32 me indica un código malicioso detectado, archivo comprimido: scripts.dlv4.com/binaries/egaccess4/egaccess4_1065_XP.cab

Le pasé el Panda Activescan on-line y me informa de un spyware en el registro de windows y no se cómo limpiarlo.

Desde ya muchas gracias por su ayuda.

Rucacura

[msc hotline sat]

Sí, es un dialer, pero el adaware actualizado lo debería detectar y eliminar... Mire de actualizarlo !

De todas formas es muy fácil de eliminar desde el HJT. Posteenos el log y le indicaremos como:
HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, infornaremos

saludos
ms, 18-9-2006

[Rucacura]

En principio muchas gracias por vuestra respuesta. En lo que se refiere al problema en sí, tengo el adaware actualizado pero no me detecta nada, lo que sí cocurre es que cuando estoy ejecutando el adaware me aparece una notificación del Nod32, diciéndome que el archivo fue a la carpeta de cuarentena. Pero al reininicar la computadora e ingresar a internet me aparecen las mismas páginas no deseables. Realmente no entiendo nada.
Aquí le inserto el log del HijackThis.
Logfile of HijackThis v1.99.1
Scan saved at 20:44:36, on 18/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\Archivos de programa\a-squared Anti-Malware\a2guard.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.ar/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [a-squared] "C:\Archivos de programa\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Hot Flash - {1DD00580-1EBE-11D6-B336-95364C649934} - C:\ARCHIV~1\HOTFLA~1\save.htm
O9 - Extra 'Tools' menuitem: &Search SWF Files - {1DD00580-1EBE-11D6-B336-95364C649934} - C:\ARCHIV~1\HOTFLA~1\save.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CEFDCD0-B01C-473D-9463-A4DA56CADBAD}: NameServer = 200.51.212.7 200.51.211.7
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

Desde ya muchas gracias por todo
Rucacura - 18/09/06

[msc hotline sat]

Desconocemos estas dos claves:
O9 - Extra button: Hot Flash - {1DD00580-1EBE-11D6-B336-95364C649934} - C:\ARCHIV~1\HOTFLA~1\save.htm
O9 - Extra 'Tools' menuitem: &Search SWF Files - {1DD00580-1EBE-11D6-B336-95364C649934} - C:\ARCHIV~1\HOTFLA~1\save.htm

Mire de enviarnos muestra de este fichero: save.htm

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre y si la conoce y es una instalación voluntaria, indiquenoslo, gracias

saludos
ms. 19-9-2006

[Rucacura]

Buenos días. Las dos claves pertenecen a un programa, que yo tengo instalado llamado HotFlash, que simplemente reproduce los archivo flash. Igualmente ya lo desinstalé y continúo con el mismo problema. Lo que me llama la atención es que antes de aparecer la página emergente no deseada, me aparece la ventana del Nod32 para que aborte y a continuación se abre una ventana con propaganda, la cual la cierro inmediatamente.

Realmente, no sé que más decirle, pero para mí es un spyware que se instaló en el registro a través de una dirección de internet y por ahora de todos los programas que he probado no sirvió ninguno.

Muchas gracias por vuestra preocupación. Un saludo. Rucacura.

Bche. 21/09/2006

[msc hotline sat]

Pues solo queda eliminar esta:
--- cambio de opinión pues veo que esta clave es normal que indique "(NO FILE)" , al revés que las demás
Y tras reiniciar nos comenta el resultado

saludos
ms, 21-9-2006

(para eliminarla, arranque en modo seguro, lance el HJT, marque la casilla de la izquierda a esta clave y eliminela pulsando en GOIC CHECKED)

[msc hotline sat]

Como que no aparece nada a la vista, arranque en modo seguro y lance el HJT en este modo, y luego nos postea el log, a ver si hay algun ROOTKIT...

saludps
ms, 21-9-2006

[ahi]

si no se soluciona pasa el superantispyware free edition

[msc hotline sat]

En cualquier caso, vaya comentandonos los resultados, pues conviene saber donde estaba y qué era, gracias

saludos
ms, 21-9-2006

[geryva]

Mira pasale un atispyware Ad-ware o SpybotSearch

[koga]

Tambien seria bueno que le diera un vistazo a la configuracion del nod32 que cuando se instala la configuracion por defecto no tiene activada la revision de varios archivos, como comprimidos, ademas de no traer activado en threatsense scanning options las opciones de Adware/Spyware/Riskware y tampoco esta activada la heuristica avanzada entre otras cosas... el nod32 es un buen antivirus pero debe estar bien configurado...
suerte,

P.D: Una cosa mas! no es por poner en duda el escaneo de panda online, pero a mi tb me detecto una vez un supuesto spyware que ni ad-aware ni spybot ni microsoft anti spyware me detectaban, hice infinitos intentos con otros antivirus online etc... y hasta ahora no he encontrado al dichoso bicho, pero no encuentro ninguna anomalia en mi pc, ademas hace poco estuve con un tema en el foro y si despues de todo lo que se le hizo incluyendo el analicis del log de HJT no quedo limpio... entonces creo que me queda la opcion de formatearlo haber si lo elimino... y creo que no lo hare
que opinas msc?

Saludos.

[msc hotline sat]

Contra gustos... Pero no te fíes, últimamente no detectan los virus que subidos a Virus Total ni actualizados a la ultima versión, ni con la heuristica...

saludos
ms, 6-10-2006

[koga]

En realidad no iba al hecho de la preferencia, yo ocupo el Nod32 porque me va bastante bien, pero ademas tengo el outpust firewall y el ad-aware, y me ha dado resultado... creo que en cosa de gustos cada uno es libre de eleccion, solo puedo recomendar probar varios y ver el que mas acomode.

En realidad iba mas al hecho de que el panda online encuetre esos dichosos spyware que con nada elimino, ya me estoy poniendo mal pensado y se me viene a la cabeza que sea un metodo de propaganda para ver si compras el antivirus ya que la version que compras si elimina spyware...

Pero no hay para que ser tan mal pensados no? debe ser la hora la que me esta afectando, me quede estudiando hasta tarde, ya esta amaneciendo aca en Chile, alejare esos pensamientos extraños de mi mente... :lol: :lol: :lol:



saludos.



P.D: Y cuando recomiendo "probar varios antivirus" me refiero que sea de a uno, y no todos juntos instalados, para que despues no lleguen habriendo temas de que esta lento el pc siendo que tienen 2 o mas residentes antivirus que se ha dado mucho ultimamente :lol: :lol: .

Cosas que pasan...

[msc hotline sat]

Por supuesto koga y tampoco digo que ninguno sea malo, si bien entre los dos recientes en España, que son NOD32 y BitDefender, me quedo con NOD32, aunque sigo con McAfee que fue el que salió primero y sigue siendo el lider mundial, con mi respeto para todos los demas. Cuestion de gustos ...

Y ya no te vayas a dormir, total, como dices, ya está amaneciendo en Chile! Debes dormir de dia, pues esta mañana he madrugado un poco y recuerdo que a las 4 de España ya estabas en el foro, y aun sigues ... Asi no te vas a poner bueno (o es este foro tu medicina?)

saludos
ms, 6-10-2006

[koga]

Jajaja no se si sea medicinal para mi, para mi pc seguro que si, lo que si es que por lo menos me mantiene despierto y me da animo para seguir estudiando, asi que mientras estudio le hecho una miradita al foro...
y en realidad ya no vale la pena dormir si casi en una hora y media ya tendre que irme a claces... ojala valga la pena tanto estudio, pero ya ven que aparte de ayudarme con los virus me mantienen despierto para estudiar son definitivamente una buena influencia , bueno creo que me preparare un café, luego a la ducha y a dar ese maldito examen

Saludos.

[msc hotline sat]

Pues suerte en el examen, koga!



ms, 6-10-2006