duda con spybot (SOLUCIONADO)

[tuber]

cuando entro en herramientas/BHOS ma sale uno que no esta en verde es referente a aol security tolbar os mando la foto de la pantala por si os ayuda gracias

[msc hotline sat]

Lanza el HJT y mira si tienes alguna de las dos claves al respecto:





O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - (no file)



O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Archivos de programa\AOL Security Toolbar\AOL_security_toolbar.dll (file missing)





si la encuentras, marcala y elimina con FIX



Si no sabes como hacerlo, posteanos el log del HJT y lo analizaremos e indicaremos lo que has de hacer:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos







saludos



ms, 4-02-2007

[tuber]

ya lo he bajado y cuando voy a comenzar la instalacion me aparece este mensaje que hago acepto y sigo o....?

[tuber]

finalmente lo volvi a abrir y ya no me lanzaba el aviso que no se que era muy bien y le di a analizar y aqui tienes el resultado uno de los BHOs que me pones si que esta pero que hago ahora es mi primera vez con este programa gracias genios aqui esta el resultado: Logfile of HijackThis v1.99.1

Scan saved at 16:39:43, on 04/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Hamachi\hamachi.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Documents and Settings\GARI\Mis documentos\Mis archivos recibidos\seguridad\hijackthis\HijackThis.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Archivos de programa\AOL Security Toolbar\tbu1\AOL_security_toolbar.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Archivos de programa\AOL Security Toolbar\tbu1\AOL_security_toolbar.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart

O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG1

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/229?ccf2e05c88ef4df0bbfc85879ece75fb

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/230?ccf2e05c88ef4df0bbfc85879ece75fb

O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{A2D440E3-7598-439B-9455-35B2188DC0D9}: NameServer = 80.58.61.250 80.58.61.254

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[msc hotline sat]

Tienes dos claves relativas a AOL, que si no las has instalado, cabria eliminar las dos, aunque la primera es la que te refleja el Spybot



O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Archivos de programa\AOL Security Toolbar\tbu1\AOL_security_toolbar.dll



O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Archivos de programa\AOL Security Toolbar\tbu1\AOL_security_toolbar.dll





Prueba eliminar de entrada la primera , a ver si es suficiente, y lanzas el Spybot, y si no las dos...



recordar que para eliminar claves: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 4-02-2007

[tuber]

ok a mi no me suena de haber imtalado lo de tolbar pero creo que venia de serie al comprar el pc probare a eliminarlas y os cuento gracias

[msc hotline sat]

Es que hay adwares que hasta instalan las aplicaciones de microsoft... , asi que podian venir de fabrica perfectamente.



saludos



ms, 4-02-2007

[tuber]

perdona pensando me he acordado que cuando actualice a la nueva version de internet explorer me dio la opcion de instalarlo creo y le dije que si por que ponia algo de microsoft creo que hago lo desisntalo borro esas entradas que me dijiste o lo dejo asi? o simplemente con el spybot desde BHOs borro la que no esta en verde que me recomendais un saludo

[msc hotline sat]

Puedes eliminarlas puesto que por aquí no usamos AOL, por lo general...



saludos



ms, 5-02-2007

[tuber]

¿borro con el spybot? y ¿desinstalo AOL security tolbar?

[lucl]

En lo que preguntas te respondera msc, pero haz fix a esto en modo seguro tambien



O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)







http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[tuber]

a falta de la de que me aclares(msc) mis dos preguntas anteriores y de que me confirmes si debo borrar esas dos claves mencionadas por luci te adjunto este analisis realizado con el ad-aware en el que me da uno critico referente a tolbar asi que decirme que hago lo pongo en cuarentena lo elimino y tambien que hago con mis 2 preguntas anteriores gracias un saludo

[Nuker]

Ese toolbar es catalogado como SPYWARE eliminala con el ad-aware.



Softomate Toolbar:



http://www.f-secure.com/sw-desc/softomate_toolbar.shtml





Y no borres las entradas, lucl se ha de ver confundido ya que hay algunas parecidas. Esas no son viricas... Dejalas asi.



Y procede primero a desinstalar el AOL security toolbar y depsues verifica con SPYBOT si te quedaran entradas del AOL, si te quedan eliminalas.

[flacoroo]

sigue esta pequeña guía que he preparado por la experiencia de uso de SPybot:



[color=darkred]1.- Spybot lo debes de actualizar.



a.- deshabilita Restaurar Sistema



2.- Enciende tu computadora en modo seguro.



3.- Abre tu Spybot …sigue estos pasos:



a).- en el menú modo toma la opción avanzado.



b).- entras en la pestaña herramientas



c).- del lado derecho te aparecerán varias opciones, habilitas todas



d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…



e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.

Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs



f).-Después entras en Inicio de sistemas



g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:



1.- deshabiltar todas las que te digan NO NECESARIO…



2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.



3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)



h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.



i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde ó en su defecto que no digan GENUINE



j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX



y de ahí ejecutas el spybot y eliminas todo lo que te salga e inmunizas….[/color]



nos dices como te fue....

[msc hotline sat]

Sobre las claves indicadas por Lucl, ver que la class de ambas es la misma, y al respecto se indica:



http://www.castlecops.com/o9list-190.html



No sé si existe o no el fichero, si existe estará oculto, pero en cualquier caso no son víricas, si bien, si no existe el fichero, se pueden eliminar por ser inútiles...



saludos



ms, 6-02-2007

[tuber]

a ver entre tanto consejo entre todos ahora no se que hacer seguro me liais y no tengo claro que hacer del todo voy a desinstalar lo de tolbar con el regcleaner y me aaparecen componentes tolbar de windows asi que os mando la imagen y lo veis por lo demas borrare con el ad-ware lo que salga y lo mismo en BHOs en el spybot. aqui os dejo la foto pa que me digais si quito todas las aplicaciones de tolbar gracias

[flacoroo]

asi es desinstalalo desde ahi y tambien ve a la pestaña inicio si encuentras un registro relacionado tambien, y hazlo tambien en programas....despues hace lo siguiente...ve al menu herramientas/limpieza de resgistro/encontrar archivos perdidos y le das click y tambien en limpiar todo....pero antes ve al menu ahi opciones/limpieza de registro/metodo/ debe estar automatico....



solo ten cuidado con esta herramienta que si no la sabes usar pues eliminar archivos necesarios para el windows.....



todo esos pasos para desinstalar lo puedes hacer desde panel de control/quitar o instalar programas en windows



saludos.....

[tuber]

no me has entendido mi mduda no es saber desde donde lo desinstalo si no saber que desinstalo de los que os deje marcados en la foto con el regcleaner gracias

[Nuker]

Pues no se ve nada virico, con las que tienes esta bien (los toolbars).

[tuber]

entonces no desisntalo ni lo de ao security tolbar? y elimino con el ad-aware la entrada tolbar que me salia y me dijiste que borrara?

[tuber]

que me decis de este tema

[msc hotline sat]

Que ya te indicó Nuker que no había nada vírico, asi que dando por solucionado el Tema procedemos a cerrarlo



saludos



ms, 10.02.2007