Ayuda!! Se me han añadido a favoritos páginas raras.

alberto81 · Mensaje por **alberto81** » 09 Oct 2006, 21:36

Hola, me gustaría que me ayudaseis, recientemente se me han añadido a favoritos varias páginas sin mi consentimiento, como casino online, web hosting, games, computers, travel, etc. Además al iniciar internet explorer, se me abren con bastante frecuencia ventanas de casinos, he leido los posts sobre que hacer y hecho todo lo que indicais, he desactivado restaurar sistema, reinicie a modo seguro, he actualizado el spybot search and destroy y el adware, y le hecho un escaneo, tambien le he pasado el active scan pro de panda, y sigue igual, sigo con las paginas agregadas a favoritos, y no las puedo eliminar.

Os dejo el log del hijackthis:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE

C:\WINDOWS\system32\PRISMSVR.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Pando Networks\Pando\Pando.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Usuario1\CONFIG~1\Temp\Rar$EX00.562\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [PRISMSTA.EXE] "C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE" /START

O4 - HKLM\..\Run: [WLAN11gSTA.EXE] "C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE" /START

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Automation

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [CASTCASHGRAMLINK] "C:\Documents and Settings\All Users\Datos de programa\ITCH USER CAST CASH\showmeow.exe"

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 14\pccguide.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\pando.exe" /Automation

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [meet cake] "C:\DOCUME~1\Usuario1\DATOSD~1\TRUSTB~1\four soap.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O8 - Extra context menu item: Download All by FlashGet - C:\ARCHIV~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\ARCHIV~1\FlashGet\jc_link.htm

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://jarebai.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {D6376DD2-C2BD-49B2-A1B1-138F869633F3} (ASPRO Installer Class) - http://acs.pandasoftware.com/activescanpro/as5/asproinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4866/mcfscan.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0E27349D-A444-49E5-91FB-13840F225583}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{87E8C316-FDC3-42B9-B730-3FE8350CCF5D}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{A454B0FD-EBA6-4562-93D4-55C925685568}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - (no file)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Gracias por vuestra ayuda :)

Mensaje por **msc hotline sat** » 09 Oct 2006, 21:46

De entrada puedes eliminar estas claves:

O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

y esta es rara por estar duplicada...

O4 - HKLM\..\Run: [PRISMSTA.EXE] "C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE" /START

O4 - HKLM\..\Run: [WLAN11gSTA.EXE] "C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE" /START

La conoces ? es voluntario tener las dos ?

saludos

ms. 9-10-2006

alberto81 · Mensaje por **alberto81** » 09 Oct 2006, 21:57

Esas son del router, y no se si es normal tenerlas duplicadas, ya que no tengo ni idea.

Mensaje por **msc hotline sat** » 10 Oct 2006, 07:06

Pues dejelas estar, pero tengalo en cuenta...

Tras eliminar las otras indicadas, cuentenos el resultado, gracias

saludos

ms, 10-10-2006

alberto81 · Mensaje por **alberto81** » 10 Oct 2006, 10:28

Sigue igual, no se van de favoritos ni con agua caliente, tendré que formatear?

Mensaje por **msc hotline sat** » 10 Oct 2006, 11:04

Antes e formatear...

Mira si conoces estas claves:

O4 - HKLM\..\Run: [CASTCASHGRAMLINK] "C:\Documents and Settings\All Users\Datos de programa\ITCH USER CAST CASH\showmeow.exe"

- HKCU\..\Run: [meet cake] "C:\DOCUME~1\Usuario1\DATOSD~1\TRUSTB~1\four soap.exe"

No te digo que sean sospechosas, solo que no las conocemos

Si son volnitarias, nada, pero si no...

saludos

ms, 10-10-2006

Mensaje por **msc hotline sat** » 10 Oct 2006, 11:09

Antes e formatear...

Mira si conoces estas claves:

O4 - HKLM\..\Run: [CASTCASHGRAMLINK] "C:\Documents and Settings\All Users\Datos de programa\ITCH USER CAST CASH\showmeow.exe"

- HKCU\..\Run: [meet cake] "C:\DOCUME~1\Usuario1\DATOSD~1\TRUSTB~1\four soap.exe"

No te digo que sean sospechosas, solo que no las conocemos

Si son voluntarias, nada, pero si no te pediremos que nos envies muestra de los exe que lanzan, para analizarlos

saludos

ms, 10-10-2006

alberto81 · Mensaje por **alberto81** » 10 Oct 2006, 11:40

Muestras enviadas

Mensaje por **msc hotline sat** » 10 Oct 2006, 12:12

Recibidas las muestras. A primera vista no son viricas, pero si no han sido instaladas voluntariamente, elimine las claves de carga, a ver si nos ahorramos tener que formatear

Y tras reiniciar compruebe si puede eliminar los dichosos favoritos y nos lo cuenta

Si en el analisis y monitorizacion se detecta algo se lo comentaremos

saludos

ms, 10-10-2006

nota: por cierto, siempre que postee log del HJT; incluya el encabezamiento del log, nos interesa para saber version, parches y demas.

alberto81 · Mensaje por **alberto81** » 11 Oct 2006, 19:00

Ya está asunto solucionado elimine la entrada de soap.exe y ya no están los dichosos favoritos. Por cierto el Nod32 me detecta un virus llamado Newheur_ PE y dice que está en memoria, se puede eliminar de alguna forma? Gracias por vuestra ayuda

Mensaje por **msc hotline sat** » 11 Oct 2006, 19:21

Pues por eso le indicamos que aunque no hiubnioera rutina viricas en este four soap, si no lo habia instalado voluntariamente, lo eliminara... Esta entrada de favoritos piede hacerse con rutinas de simple copiado, no viricas

Pues lo celebramos y solucionado el problema, p`procedemos a cerrar el Tema

saludos

ms, 11-10-2006

nota: las detecciones heuristicas de nod32 pueden ser falsas alarmas, pero si tiene el fichero en cuestion, abre un nuievo Tena ak respecto indicando el caso y nos envia la muestra para analizar. ms,