AYUDA!! CON RAZESPYWARE!! PORFA!!

[soujiro]

HOLAS..



AUN NO PUEDO ELIMINAR EL RAZESPYWARE (APARECE UNA PANTALLA ROJA CON LA FRASE DANGER SPYWARE PARPADENADO Y TAMBIEN ME OFRECE COMPRAR EL RAZESPYWARE), HE TRATADO CON MUCHOS ANTISPYWARES Y NO FUNKA NADA. BAJE EL HijackThis PERO NO QUE REPARAR. BUENO AKI VA MI LOG





Logfile of HijackThis v1.99.1

Scan saved at 16:41:34, on 19/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Network Monitor\netmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\xl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\System32\hphmon05.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\ARCHIV~1\FREESP~1\SpyWatcher.exe

C:\Documents and Settings\a\Escritorio\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\Epson\Ink Monitor\inkmonitor.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [Spy Watcher] "C:\ARCHIV~1\FREESP~1\SpyWatcher.exe" -S

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by111fd.bay111.hotmail.msn.com/resources/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{123B71FB-10AA-4DDE-9823-9A7A8FB2DA5B}: NameServer = 85.255.113.125,85.255.112.94

O17 - HKLM\System\CCS\Services\Tcpip\..\{17D60004-E445-4FB2-935C-D150C4934721}: NameServer = 85.255.113.125,85.255.112.94

O17 - HKLM\System\CCS\Services\Tcpip\..\{4E68A1C7-CCDE-44B4-8CD9-53596A35D3A7}: NameServer = 85.255.113.125,85.255.112.94

O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDFBEE8-9FBD-4FBB-9CCE-385EE9863015}: NameServer = 85.255.113.125,85.255.112.94

O17 - HKLM\System\CCS\Services\Tcpip\..\{F01DE27A-4A4D-447B-93C1-C3015A97A614}: NameServer = 85.255.113.125,85.255.112.94

O17 - HKLM\System\CS1\Services\Tcpip\..\{123B71FB-10AA-4DDE-9823-9A7A8FB2DA5B}: NameServer = 85.255.113.125,85.255.112.94

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett Packard Company - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: XtreamLok License Manager - Unknown owner - C:\WINDOWS\system32\xl.exe



PORFAS AYUDENME :cry:

[msc hotline sat]

Descargue el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Luego arranque en modo seguro y lancelo y vea el resultado el C:\infosat.txt. posteelo si quiere y lo comentamos



Sobre el HJT, posteelo si no se lo resuelve el ELISTARA, pero despues de haberlo pasado, gracias- Y EL HJT,. TAMBIEN EN MODO SEGURO EN ESTE CASO !



saludos



ms, 19-1-2006

[soujiro]

holas ..



bueno hize correr el ELISTARA pero se ejecuta unos instantes y luego deja de responder lo intente 3 veces y las 3 veces fallo sin embargo creo el txt k dijiste y aki va:



Thu Jan 19 20:18:32 2006

EliStartPage v10.98 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\DESKTOP.HTML --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\A\CONFIG~1\TEMP\IDOWNLOAD.EXE.Muestra EliStartPage v10.98

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IDOWNLOAD.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DGPRPSETUP.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\A\CONFIG~1\TEMP\UNVISE32.EXE.Muestra EliStartPage v10.98

a "virus@satinfo.es". Gracias.

C:\WINDOWS\UNVISE32.EXE --> Eliminado



luego reinicie, y la pantalla roja se fue pero solo cambio de color a blanco.. :((



que mas puedo hacer?.. Help

:cry:

[msc hotline sat]

Tal como te dioce, enviar las miestras !!!:


[quote="ELISTARA"]
Por favor, envienos una muestra del fichero

C:\DOCUME~1\A\CONFIG~1\TEMP\IDOWNLOAD.EXE.Muestra EliStartPage v10.98

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\DOCUME~1\A\CONFIG~1\TEMP\UNVISE32.EXE.Muestra EliStartPage v10.98

a "virus@satinfo.es". Gracias.


[/quote]

Y observa que ha detectado y eliminado 4 bichos, asi que tras arrancar de nuevo, mira si persisten las anomalias y nos lo comentas, pero claro que si no has logrado terminar el ELISTARA , faltan examinar todos los ficheros.



Arranca en modo seguro, lanza un comprobar errores (SCANDISK), y tras ello, EN MODO SEGURO, lanza de nuevo el ELISTARA y nos informas



saludos



ms, 20-1-2006

[soujiro]

Buenas..



bueno hize lo que me dijiste y aun luego del scandisk en modo seguro el ELISTARA trabaja por un momento y luego se vuelve a caer y deja de responder, ahora ya ni crea el txt. no me ha soluciona el problema solo cambio la

pantalla que era roja con letras parpadeantes a color blanco..



aqui esta la muestra de los ficheros que el ELISTARA decia que la mandara al correo virus@satinfo.es. ya lo he mandado y por cualquier imprevisto lo he dejado de respaldo en esta direccion:



http://rapidshare.de/files/11453557/muestra_archivos_elistara.rar.html



que mas puedo hacer ?... Help :cry:

[msc hotline sat]

Pues ARRANCA en modo segurocon solo simbolo de sistema y ejecuta:



ELISTARA  /DEBUG



Y tras ello antes con el Bloc de Notas y nos posteas el C:\LOGDBG.TXT en tu proximo post de respuesta a este Tema



saludos



ms, 21.1.2006

[soujiro]

Holas..



he hecho lo que me has dicho iniciando en modo seguro con simbolo de sistema y ejecutando el Elistara pero persiste el problema de que se ejecuta un poco y luego deja de responder.



el logdbg.txt es el siguiente:



Fri Aug 01 11:44:05 2031

EliStartPage v10.98 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

00 - Modo Debuger Iniciado

01 - Ficheros Viricos, OK.

02 - Ficheros Complementarios, OK.

03 - BHOs, OK.

TestReg00, OK.

TestReg01, OK.

TestReg02, OK.

TestReg03, OK.

TestReg04, OK.

TestReg05, OK.

TestReg06, OK.

TestReg07, OK.

TestReg08, OK.

TestReg09, OK.

TestReg10, OK.

TestReg11, OK.

TestReg12, OK.

TestReg13, OK.

TestReg14, OK.

TestReg15, OK.

TestReg16, OK.

TestReg17, OK.

TestReg18, OK.

TestReg19, OK.

TestReg20, OK.

TestReg21, OK.





Espero su respuesta

[msc hotline sat]

Pues empieza por eliminar temporales de Internet, desde Herramientas del Internet Explorer o mejor con el ELITEMPO:





ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp







Parece que hay temporales que se resisten en ser eliminados, por ello mejor hacerlo fuera de una aplicacion compleja



y nos comentas el resultado, a ver si ya termina el proceso y nos informas



saludos



ms, 21-1-2006

[soujiro]

holas..

bueno he eliminado los temporales con el Elitempo y ha finalizado de buena forma. luego reinicie en modo seguro y heche a correr el Elistara pero aun no puede finalizar su trabajo , continua no respondiendo sin finalizar de buena forma, y yo tengo que desactivarlo con el Administrador De Tareas ya que me ocupa el 99% de cpu.



cuando reinicio mi pc en forma normal al principio se carga mi fondo de escritorio correcto y luego aparece una pantalla azul y luego la pantalla blanca, la que continua sin poder eliminarla y dejar el fondo que yo quiero.



que mas puedo hacer?..

[msc hotline sat]

lanzar un scandisk (COMPROBAR ERRORES) y un DEFRAG (Desfragmentar)



Es posible que el problema sea al encontarr un CRC nalo en una pista ocupada por algun fichero o alguno corrupto o mal asignado, con lo que el ELISTARA se va a paseo, a buscarlo fuera del disco duro si asi se lo indican..., o da vueltas en circulo si hay un CRC, como en un disco de vinilo cuando se rayaba



Tras ello, en modo seguro, lanza el ELISTARA



saludos



ms, 22-1-2006

[msc hotline sat]

Además, puedes probar la nueva version 11.01 del ELISTARA, ya disponible:



https://foros.zonavirus.com/viewtopic.php?t=10283&highlight=



saludos



ms, 23-1-2006

[soujiro]

holas..



bueno he hecho el scandisk y la desfragmentacion. luego en modo seguro he echado a correr el elistara (la ultima version tambien la probe) y deja de responder ocupando el mismo 99% de cpu tal como lo hacia antes. no me funciona, que mas puedo intentar? :(

[msc hotline sat]

Quizas tiene problemas en vaciar los temporales de internet, Eliminelos manualmente antes de lanzarlo



Porque se supone que lo lanza en modo seguro, verdad ???



Pues venga, a ver si termina normalmente como en todos los emas ordenadores )o en la inmensa mayoria)



saludos



ms, 24-1-2006

[soujiro]

He eliminado todos los archivos temporales de internet manualmente y el elistara tampoko responde.



he hecho el scandisk, desfrag y tampoko resulta , la pantalla sigue blanca media parpadeante a veces.



todo lo que realizo lo hago en modo seguro. incluido el correr el elistara.



bueno aun no se como eliminar este problema.



con el log del HijackThis que mande en el primer mensaje

se puede saber algo que me ayude?..

[msc hotline sat]

Pues he visto, releyendo el Tema, que ya pasaste tambien el ELITEMPO, no sé si lo has probado en modo seguro COMO ADMINISTRADOR, y si es asi, hay un problema en la estructura del NTFS.



Mira de pasar un Scandisk y desfragmentar, y si ya lo has hecho, tienes una incompatibilidad con este equipo y el ELISTARA, sin saber a qué se debe... Prescinde de esta utilidad hasta que lo arregles por otro lado ???



Mientras, prueba esta alternativa:



Download the smitRem.exe file from the site http://www.bleepingcomputer.com/forums/topic36868.html

Then boot into safe mode and run the file.





saludos



ms, 25.1.2006

[soujiro]

solo tengo una consulta que creo puede ser de gran utilidad, resulta que en el pc del problema hay 1 sesion de administrador y otra de usuario y yo le he hecho todas revisones con los antispywares, scandisk y desframentacion en modo usuario, el elistara junto con elitempo tb los he hechao a correr en usuario y mi duda es si haciendolo en modo administrador deberia ser distinto?.

[msc hotline sat]

En ocasiones como usuario se tienen derechos limitados y como Administrador no, por ello conviene probarlo como ADMINISTRADOR para hacerlo con todos los privilegios



saludos



ms, 2-2-2006