esto es un virus o que es...como se quita

[attreyhu]

vamos a ver he formateado 2 veces el ordenador y me sigue apareciendo

son paginas que se abren al rato de inicar windows.... se abren solas

son paginas como http://www.magic....o http://www.timy.info..o http://www.kingofchaos....

esto es raro pero no se como se quita

he pasado el adware y encontro varias cosas y las elimine

y despues pase el spyboot y encontro algo parecido al dso/exploit pero le doy a corregir problemas o algo asi y nada denada paso otra vez el spyboot y lo vuelve a encontrar y las paginas se vuelven a cargar solas...

dios mio esto que es un virus o que es

utilizo el windows xp y de veradad soy nuevo el foro no se si el tema ya es repetido pero ayundeme porfavor no soy muy bueno con la informatica no apliqueis palabras raras porfavor.

un beso y abrazo a todos

y mil gracias

[maura63]

Sigue estos pasos.



Para la limpieza de parasitos en el ordenador es mejor realizarla en modo a prueba de fallos en windows 95 ó 98 y 98(SE) o en modo seguro en windows 2000 WXP y ME. A parte si utilizamos windows XP ó ME tendremos que desactivar restaurar sistema, de lo contrario no surtiran efecto los cambios o eliminaciones que se produzcan durante el scaneo del sistema.

Para ello en el escritorio boton secundario del mousse, se abrira una ventana pinchamos en la que pone Restaurar, al abrirse marcaremos la casilla desactivar restaurar sistema, aplicamos y aceptamos.



Despues de esto apagamos el equipo y encendemos pulsando repetidas veces la tecla F8, aparecera una pantalla en negro con varias opciones.



En W95 y W98 seleccionamos modo a prueba de fallos.

En W2000-XP ó ME seleccionamos modo seguro.



Al cabo de unos segundos nos aparecera un mensaje advirtiendo que algunos programas no se podran ejecutar, esto es asi, pulsamos sobre aceptar.



Y ahora procedemos a lanzar el antivirus, anti-spyware etc....



Una vez pasado el scan y elimnando virus o spyware etc... lo que encuentren los programas, los cerramos y apagamos el equipo.



Comprobaremos si el problema(as) se han solucionado de ser asi, en W95 W98 o W2000 no tendremos que hacer nada mas. Pero si utilizamos XP ó ME

una vez solucionado el problemas volveremos a activar restaurar sistema.



Si no se solucionan y tenemos que ejecutar otras utilidades debemos tener en cuenta lo dicho anteriormente para cada sistema.



Pasas Ad_aware y Spybot y ademas esto



· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp



Y puedes probar la nueva version del ELISTARA.EXE, a ver si ya logra eliminar esta variante del StarPage:



https://foros.zonavirus.com/viewtopic.php?p=3565#3565









Saludos

maura63

[maura63]

Mensaje privado recibido



De: attreyhu

Para: maura63

Publicado: Mar Jul 27, 2004 9:39 am



Asunto: sigo con el mismo problema amiga



he hecho todo lo que me has dicho....pero siguen apareciendo esas malditas paginas raras...y tambien he pasado ese programa nuevo

y nada de nada...estoy ya harto de esas paginas (jeje)

porque ademas me resta velocidad a internet...

y si paso el spyboot me detecta el dso/exploit otra vez y no se elimina

algo mas que añadir....mil gracais por tu respuesta

y por contestar

espero tu ayuda.



***********************************************************



Mejor dime AMIG[size=150]O[/size] :D :D :D :D Y LOS MENSAJES AL FORO.



Descarga este programa



· Hijackthis

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

----------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip



una vez descargado pulsa SCAN y despues SAVE, se creara un fichero de texto , haz un copiar y pegar y lo envias como respuesta a este tema.



Saludos

maura63

[attreyhu]

que lio tengo ya...es que no se como responder al foro :oops:

bueno aqui tienes lo que me pedistes espero que todo este bien

no me asustes porfaor





Logfile of HijackThis v1.97.7

Scan saved at 15:05:23, on 27/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\WINDOWS\System32\qhh.exe

C:\WINDOWS\System32\msconfg.exe

C:\WINDOWS\SYSTEM32\USRshutA.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\WINDOWS\System32\wuam.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\tbif.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.984\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {3FF5170F-ED63-5BC3-D224-62550CA72D66} - C:\WINDOWS\System32\ndp.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKLM\..\Run: [Internet Explore Updates] qhh.exe

O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe

O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\RunServices: [Internet Explore Updates] qhh.exe

O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Internet Explore Updates] qhh.exe

O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe

O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe

O4 - HKCU\..\Run: [Xsuiqn] C:\WINDOWS\System32\tbif.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38193.5136458333

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[attreyhu]

Logfile of HijackThis v1.97.7

Scan saved at 15:05:23, on 27/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\WINDOWS\System32\qhh.exe

C:\WINDOWS\System32\msconfg.exe

C:\WINDOWS\SYSTEM32\USRshutA.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\WINDOWS\System32\wuam.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\tbif.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.984\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {3FF5170F-ED63-5BC3-D224-62550CA72D66} - C:\WINDOWS\System32\ndp.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKLM\..\Run: [Internet Explore Updates] qhh.exe

O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe

O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\RunServices: [Internet Explore Updates] qhh.exe

O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Internet Explore Updates] qhh.exe

O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe

O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe

O4 - HKCU\..\Run: [Xsuiqn] C:\WINDOWS\System32\tbif.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38193.5136458333

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



ESTO ES MALO<?==????

CONTESTAME PORFAVOR QUE ES QUE ESTOY EN UN SINVIVI :idea: :( :(

[maura63]

Ejecuta esta utilidad, la descargas y lo haces en modo seguro , como tienes XP desactiva antes restaurar sistema.



http://www.zonavirus.com/descargas/EliSlutA.exe



por tener cargando esto



[color=red]C:\WINDOWS\System32\wuam.exe [/color]



Saludos

maura63

[msc hotline sat]

Se trata de un RBOT del cual no habíamos tenido incidencias, y necesitarás el ELISLUTA que subiremos hoy a esta web, para él.



Mientras tanto, mira de enviarnos dicho wuam.exe a zonavirus@satinfo.es anexandolo a un mail cuyo texto sea un copiar y pegar de este post, y así poder comprobar la eficacia de la nueva utilidad.



En cuanto lo recibamos, contestaremos como respuesta a este Tema y subiremos la utilidad, indicandotelo tambien a continuacion.



saludois



ms, 28-07-2004

[msc hotline sat]

Subida nueva version 4.2 del ELISLUTA.EXE para controlar el nuevo RBOT.M



---v4.2---(28 de Julio del 2004) (para RBot-M de Sophos)





https://foros.zonavirus.com/viewtopic.php?p=83#83



Nota: No se ha podido probar por falta de muestra.



ENVIENOS MUESTRA ANTES DE EJECUTAR DICHA UTILIDAD !!!, de lo contrario es pura teoría no comprobada en la práctica, y conviene probarla



saludos



ms, 28-07-2004

[attreyhu]

esto es lo que me ha mandado ese progrma



Wed Jul 28 15:12:53 2004

EliSluter v4.2 (c)2004 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\WUAM.EXE --> Eliminado

por ahora no se abren esas dichosas paginas....



PIDO DISCULPAS AL ADMINISTRADOR Y MAURA63 PORQUE LES HE MANDADO MENSAJES PRIVADOS, PERO ES QUE NO SABIA COMO PLUBLICAR LA RESPUESTA EN EL FORO ( AHORA YA SI SE) PERDONADME

Y MIL GRACIAS A LOS DOS...



PERO ALGUNO DE LOS DOS PODRIA EXPLICARME QUE ME HA SUCEDIDO EN EL ORDENADOR ..

GRCIAS

[flacoroo]

te refieres a estas dos paginas que te aparecian y era lo que te molestaban?.... http://www.magic....o http://www.timy.info..o http://www.kingofchaos.... ó te refieres a las demas paginas de internet.....?..explicalo por favor...

[attreyhu]

esas tres paginas se abrian solas con el explorador y me pedian que descargara un nose que "magiktickets" y las otras tambien...

se abrian solas y cuando yo navega hacia una pagina se colaba y se abrian esas paginas y no la que yo queria.

pero por ahora eso esta solucionado

pero yo (que soy mu cabezon) voy y le paso los programas spyboot adware 6 y chri... en el ordenador de mi hermana y le ha cogido alexa....no se que

dso exploit

adversiting...

svshot o algo asi

te pego aqui lo que me ha dado notificado el progrma



ESTO





Logfile of HijackThis v1.97.7

Scan saved at 17:12:56, on 28/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\Archivos de programa\WinRAR\WinRAR.exe

D:\DOCUME~1\JOSEMI~1\CONFIG~1\Temp\Rar$EX00.634\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Toolbar\01.01.1629.0\es\msntb.dll

O4 - HKLM\..\Run: [Microsoft Update] winsys32.exe

[color=red]O4 - HKLM\..\Run: [Windows Registers] Svchosts.exe[/color]

[color=red]O4 - HKLM\..\Run: [Microsoft IT Update] SVCHSST.exe[/color]

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] D:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "D:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [Ad-aware] "D:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c

O4 - HKLM\..\RunServices: [Microsoft Update] winsys32.exe

[color=red]O4 - HKLM\..\RunServices: [Windows Registers] Svchosts.exe[/color]

[color=red]O4 - HKLM\..\RunServices: [Microsoft IT Update] SVCHSST.exe[/color]

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

[color=red]O4 - HKCU\..\Run: [Windows Registers] Svchosts.exe[/color]

O4 - HKCU\..\Run: [Microsoft Update] winsys32.exe

[color=red]O4 - HKCU\..\Run: [Microsoft IT Update] SVCHSST.exe[/color]

O4 - HKCU\..\Run: [MsnMsgr] "D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38186.161099537

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab





algo que objetar al ordenador de mi hermana..

si no es mucha molestia....

lo digo porque como lo otro lo habeis solucionado...digo alomejo no le importan solucionarme esto

mil gracias a todos los del foro

sois muy amables.

espero contestacion

[maura63]

Para el DSO exploit utiliza esta herramienta



ttp://www.zonavirus.com/descargas/antidso.exe



y todo lo que te detecte spybot o Ad_aware eliminalo. Pasalos en modo seguro y desativa restaurar sistema.



Comprueba con windows update que no te falten actualizaciones.



Saludos

maura63



Ojo al proceso [color=red]svchsst.exe [/color]



W32/Rbot-DH is an IRC backdoor Trojan with spreading capability.

Copies itself into the Windows system folder as svchsst.exe or with a random name.



Sets the following registry entries to run itself automatically when Windows starts up:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft IT Update

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft IT Update

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft IT Update



W32/Rbot-DH logs onto a predefined IRC server and waits for backdoor commands.

When receives the appropriate backdoor command W32/Rbot-DH will attempt to spread to other computers.



Automatic removal: Use RegRun Startuip Optimizer to remove this worm



[color=red]Con el HJT borra las entradas que he modificado a color rojo en tu post anterior del PC de tu hermana[/color]



Pasale la utilidad que te ofrecimos tambien y nos cuentas





Saludos

maura63