hbtools (SOLUCIONADO)

[Lyune]

Buenas, primero de todo, decir que no soy demasiado entendida en ordenadores, solo que no sé que hacer ya y se me ha ocurrido pedir ayuda.

No sé realmente si es un problema grave o no.

Fué un día mientras usaba el messenger, que vi que se anunciaba bajarse un programa para ver la predicción meteorológica y recordando que mi tía me dijo que lo tenía, le di a descargar.

De aquí me bajé el hbtools, pero no sé muy bien porqué, cuando lo tenía descargado decidí no meter más porquería en el ordenador y fuí a suprimirlo. No me dejó hacerlo, y no me preocupé porque a veces sucede y hasta que no se reinicia no se pueden eliminar algunas cosas por estar en uso.

Bien, pues no me ha sido posible hasta el momento eliminar el ejecutable hbtools.

Estuve informándome y encontré mucha gente que lo había instalado y se hablaba de un gran virus que solo podía ser eliminado con el Spybot Search & Destroy. Me lo bajé, eliminé bastante m***da que tenía, pero hbtools seguía ahí.

Hbtools no ha sido detectado como malicioso ni por el Spybot ni por mi antivirus (Kaspersky v.6.0 Beta), así que no sé realmente si es algo malo, dado que no he encontrado ningún otro caso de alguien que lo haya descargado pero no instalado :(

Por favor, me gustaría que me informarais sobre el tema, dado que mi tío (el "informático" de la familia) ya me está hablando de formatear mi ordenador, cosa no demasiado agradable cuando hay que conservar 60G..., y antes de dejarle poner las manazas aquí preferiría asegurarme.

Un saludo, y gracias por adelantado.

[Nuker]

Hbtools es catalogado como spyware y/o adware pasa ELISTARA tengo entendido tambien que es una variante del Hotbar. Pasa ELISTARA y peguenos el resultado que se le generara en Unidad C, con el nombre de INFOSAT.TXT



ELISTARA:



http://www.zonavirus.com/descargas/elistara.asp

[Lyune]

Esto es lo que me ha salido:



Fri Dec 29 03:19:46 2006

EliStartPage v12.98 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\MyWay"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Dec 29 03:24:21 2006

EliStartPage v12.98 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\PlayFirst\Diner Dash\UNINSTALL.EXE --> AutoExtraible



Perdón la ignorancia, pero podrías explicarme un poco más que es lo que me recomiendas hacer y que se deduce de lo que me ha salido? es que soy de letras sabes? xD

Y como hago para eliminar el hbtools...

He estado mirando posts de otra gente que ha usado el ELISTARA y no tiene nada que ver con lo ke me ha salido a mi..

Gracias por la paciencia :wink:

[Nuker]

Intenta postearnos el log de HIJACKTHIS entonces ya que no lo pesco el ELISTARA. Le das en Scan and save log file y copia y pega el contenido aqui.



HIJACkTHIS:



http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

[Lyune]

Nunca comprenderé como entendeis algo aqui xD

A ver que te parece esto.



Logfile of HijackThis v1.99.1

Scan saved at 3:53:04, on 29/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Marta\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 212.34.140.216 l2authd.lineage2.com

O2 - BHO: (no name) - {12BBDF1C-03A6-AE48-9CF2-0A9A30C25809} - C:\DOCUME~1\Marta\DATOSD~1\MIX4LI~1\Deaf Lies.exe (file missing)

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [GREY AMEN] C:\DOCUME~1\Marta\DATOSD~1\LICENS~1\ballgplcoal.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\BenQ\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCfox000

O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100718959843

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D32EA122-8066-47A5-A9C9-6817B0714733}: NameServer = 62.36.225.150 62.37.228.20

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVP - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

[msc hotline sat]

Pues no se ve ninguna referecia al HBTOOLS...





http://info.prevx.com/pxparall.asp?PXC=4295866076





Envianos muestra de este fichero:



C:\DOCUME~1\Marta\DATOSD~1\LICENS~1\ballgplcoal.exe





Eliminar esta clave:



name) - {12BBDF1C-03A6-AE48-9CF2-0A9A30C25809} - C:\DOCUME~1\Marta\DATOSD~1\MIX4LI~1\Deaf Lies.exe (file missing)





recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 29-12-2006



NOTA: Ver http://www.symantec.com/region/mx/techsupp/avcenter/venc/data/la-adware.hotbar.html



y probar : http://securityresponse.symantec.com/avcenter/FxHotbar.exe

[Lyune]

Buenas de nuevo, a ver he conseguido eliminar el archivo que deciais que eliminase sin problema, la cosa se me ha complicado cuando he intentado enviaros la muestra con el archivo:



C:\DOCUME~1\Marta\DATOSD~1\LICENS~1\ballgplcoal.exe



He pegado la ruta de acceso en el explorador y esto me ha llevado a una carpeta en un principio vacía, aunque he mirado en propiedades y me salía que había un archivo el cual no podia ver ni configurándola para ver los ocultos.



Sabeis alguna forma de poder sacar la muestra que no sea a través del explorador de windows?



Un saludo!!

[msc hotline sat]

Pues si no lo encuentras ni sabes lo que es, elimina esta clave:



O4 - HKCU\..\Run: [GREY AMEN] C:\DOCUME~1\Marta\DATOSD~1\LICENS~1\ballgplcoal.exe



ms

[Lyune]

Pues nada, que el problema está solucionado ya.

Un amigo me miró qué tipo de error daba al borrarlo (archivo siendo usado) y apagó el ordenador, entró otra vez pulsando F8 y entonces como ninguna aplicación de windows estaba activa borró el hbtools mediante comandos básicos de MS-DOS.

Ya no me ha dado más problemas, y recomiendo que se haga así.

Un consejo: no todo se limita a Elistara e Hijackthis :wink:

[Nuker]

Lo que pasa es que aqui se tratan de dar soluciones rapidas, sencillas y eficientes, si te fijas nunca manejamos a menos que sea emergencia el regedit ni el ms-dos, pero al fin se te soluciono el problema que tenias. Y sobre el Elistara se utiliza mucho dado a que tiene una extensa libreria y en esa libreria, virus de los mas comunes que hay. Y no no mas es Elistara fijate en descargas todas las herramientas que existen. En fin lo bueno es que se soluciono y ya pueden cerrarlo. Saludos.

[msc hotline sat]

Efectivamente, no todo se reduce a nuestras utilidades, son los conocimientos de nuestros 8 técnicos especialistas y todas las incidencias en 23 años de experiencias en el sector, empezando en la primera ingenieria de España que atacó a los virus a finales de los 80, (4 de dichos técnicos actuales ya trabajaban conmigo en aquella época) y el soporte a mas de 150.000 asociados a nuestros servicios, asi como la formación universitaria y titulacion de nuestro personal, es lo que nos ha permitido desarrollar utilidades como el ELISTARA, ELITRIIP, y otras cientos, de las cuales unas cuantas se pueden evaluar en este foro, refundiendo los conocimientos de assembler, msdos, windows, visual C++, etc etc, para facilitar a los usuarios la eliminacion de malwares y sus complementos, claves de registro, temporales, droppers que los regeneran, downloaders que los descargan, ports abiertos que permiten su intrusion, etc, pudiendo decir que "actualmente no tenemos niguna asignatura pendiente", y que claro que usamos todas las posibilidades de los lenguajes indicados, aunque implementados en utilidades que pueden parecer simples, pero son complejas, y que las actualizamos a diario para ir controlando, muchas veces antes que cualquier otro medio, los nuevos bichos de cada dia, los cuales enviamos a McAfee (antivirus que introdujimos en España cuando aun no habian nacido los otros..., del que fuimos sus Agentes y del que somos mayoristas) para su control en las nuevas versiones del producto, pero gracias por su consejo Lyune.



y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms. 5-01-2007