Tengo un problema con un spyware

Pablo Marto · Mensaje por **Pablo Marto** » 01 Dic 2006, 09:48

Hola...perdón por estar molestando ya en mi primer comentario pero tengo spyware que me esta volviendo loco.

Su roll es generar ventanas emergentes, como si fueran unas propagandas, pero cada vez que aparecen tienen unas pequeñas difenrencias entre sí...en todas me da un dato o una dirección diferente como por ejemplo: http://www.set32.com, http://fixwindowsreg.com, http://regdoctorpro.com, http://www.regupdate.net, http://fixwin32.com, http://www.msreg.com, http://patchreg.com, ente otras tantas...

Ya he pasado muchos anti como el ad-aware,AVG, Spybot search and destroy,ELISTARA, Ewiro y las ventanas siguen apareciendo como si nada...así que por favor les pido que me ayuden porque estoy desesperado :cry:

Gracias muy atentamente

Pablo de Argentina

Mensaje por **msc hotline sat** » 01 Dic 2006, 11:39

Pues posteenos log del HJT y lo analizaremos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, infornaremos

saludos

ms, 1-12-2006

Pablo Marto · Mensaje por **Pablo Marto** » 01 Dic 2006, 17:56

Logfile of HijackThis v1.99.1

Scan saved at 12:52:24, on 01/12/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\S3hotkey.exe

C:\WINDOWS\System32\RunDll32.exe

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\thomson\Dragdiag.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\resetservice.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\thomson\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CreateCD] C:\DOCUME~1\red\ESCRIT~1\Pablo\Juegos\POKEMO~2.EXE -r

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKLM\..\Run: [Windows modes Verifiexr] windogom.exe

O4 - HKLM\..\RunServices: [Windows modes Verifiexr] windogom.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by23fd.bay23.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0ECEEDC2-965E-4EC5-851C-9C0109A14D61}: NameServer = 200.51.212.7 200.51.211.7

O17 - HKLM\System\CS1\Services\Tcpip\..\{0ECEEDC2-965E-4EC5-851C-9C0109A14D61}: NameServer = 200.51.212.7 200.51.211.7

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

Lo que me salio en el block de notas es esto pero no se que mas gacer al respecto :cry:

ahi · Mensaje por **ahi** » 01 Dic 2006, 19:45

vale debes darle a fix checked a estas entradas:

O4 - HKLM\..\Run: [Windows modes Verifiexr] windogom.exe

O4 - HKLM\..\RunServices: [Windows modes Verifiexr] windogom.exe

luego reinicias y nos cuentas el resultado

Mensaje por **maura63** » 01 Dic 2006, 22:38

Tu log nos indica...

Logfile of HijackThis v1.99.1

Scan saved at 12:52:24, on 01/12/2006

[color=red]Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version! [/color]

Actualiza via windows update.

Te faltan parches criticos del sistema.

Saludos

maura63

Pablo Marto · Mensaje por **Pablo Marto** » 02 Dic 2006, 16:53

Gracias, al parecer tengo todo ya solucionado...

Aunque no entendi eso de windows update...jeje( si me lo pueden explicar devuelta mejor jeje)

Igual muchisimas gracias...

saludos a todos :P

ahi · Mensaje por **ahi** » 02 Dic 2006, 17:15

debes darle a inicio/todos los programas windows update y seguir las instrucciones para actulaizar

Mensaje por **msc hotline sat** » 03 Dic 2006, 13:07

y envianos este fichero windogom.exe para analizar:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

gracias

saludos

ms, 3-12-2006

Pablo Marto · Mensaje por **Pablo Marto** » 05 Dic 2006, 03:42

No entiendo muy bien como analizar eso perdona...estoy mas perdido que turco en la neblina... :?

Mensaje por **msc hotline sat** » 05 Dic 2006, 07:15

Envianos el fichero tal como indicamos, que el analisis ya lo haremos nosotros, y tras ello implementaremos si control y eliminacion, si procede, en nuestras utilidades

saludos

ms, 5-12-2006

Teseo · Mensaje por **Teseo** » 12 Dic 2006, 05:07

[quote="msc hotline sat"]Envianos el fichero tal como indicamos, que el analisis ya lo haremos nosotros, y tras ello implementaremos si control y eliminacion, si procede, en nuestras utilidades

saludos

ms, 5-12-2006[/quote]
Perdon, soy nuevo en el tema y tengo el mismo problema que citan. Segui tus primeras instrucciones y esto es lo que me informa el Hijackthis. Espero puedas ayudarme. Adicionalmente te comento que revisando encontre como deshabilitar el mensajero de windows y las ventanitas ya no saltan, pero de igual modo quiero eliminar cualquier rastro de infeccion. Gracias.

Logfile of HijackThis v1.99.1

Scan saved at 3:59:37, on 12/12/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

[size=200] I N T E R V E N I D O [/size]

POR

[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

no deben mezclarse logs de 2 ordenadores en un mismo Tema.

https://foros.zonavirus.com/viewtopic.php?t=6268

Posteelo en Tema aparte, tras seguir las instrucciones:

https://foros.zonavirus.com/viewtopic.php?t=5148

Mensaje por **msc hotline sat** » 12 Dic 2006, 06:02

Si bien debes seguir las indicaciones y postear el log en un nuevo Tema para poder ayudarte, cabe decir que tienes muy mal los parches de microsoft (no tienes ninguno !) y que tienes claves que lanzan ficheros sospehosos de ser nuevas variantes de SDBOT, por lo que posteanos yti log de HJT en nuevo Tema, que hay tela que cortar...

saludos

ms, 12-12-2006

kris · Mensaje por **kris** » 12 Dic 2006, 16:22

Hola a todos, yo también soy nueva en este foro y en la informática en general.

Tengo el mismo problema con las dichosas ventanitas con publicidad del que hablaban. He probado con Adaware y Spybot y nada. He descargado Hijackthis y lo que me aparece el el block de notas es lo siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 15:12:16, on 12/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

[size=200] I N T E R V E N I D O [/size]

POR

[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

no deben mezclarse logs de 2 ordenadores en un mismo Tema.

https://foros.zonavirus.com/viewtopic.php?t=6268

Posteelo en Tema aparte, tras seguir las instrucciones:

https://foros.zonavirus.com/viewtopic.php?t=5148

Mensaje por **msc hotline sat** » 12 Dic 2006, 18:09

No has leido el post anterior al tuyo ???

Pues ya sabes, y antes de crear un Tema nuevo, primero pasa el ELISTARA y luego poostea el log del HJT de entonces (creado tras ello)

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 12-12-2006