TENGO UN SPYWARE Y NO LO PUEDO ELIMINAR (SOLUCIONADO)

[mark_gn]

He pasado el Hijackchis, pero yo no entiendo esto, a ver si me podeis ayudar.

Gracias







Logfile of HijackThis v1.99.1

Scan saved at 22:38:43, on 05/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\System32\GEARSec.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\Archivos de programa\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Trust\DS-4500X Wireless Laser Deskset\Keyboard\kbdap32a.EXE

C:\Archivos de programa\Trust\DS-4500X Wireless Laser Deskset\Mouse\mouse32a.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Documents and Settings\Marco\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [RaidTool] C:\Archivos de programa\VIA\RAID\raid_to

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Trust\DS-4500X Wireless Laser Deskset\Keyboard\kbdap32a.EXE

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Trust\DS-4500X Wireless Laser Deskset\Mouse\mouse32a.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [VoipDiscount] "C:\Archivos de programa\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" -nosplash -minimized

O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Archivos de programa\Octoshape Streaming Services\Marco\OctoshapeClient.exe" -inv:bootrun

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstFred.ocx

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcDcToday.ocx

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstBanr.ocx

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/ES13/D/cactivex.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcPreview.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A07564A-0248-43A1-ACFA-67684ADEE0B6}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{1A07564A-0248-43A1-ACFA-67684ADEE0B6}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: V2i Protector - PowerQuest Corporation - C:\Archivos de programa\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

[novatillo]

A primera vista parece que tu log esta limpio (no obstante MSC nos lo confirmara).

Prueba con elistara y tras reiniciar nos posteas el contenido de C:/infosat.txt



ELISTARA

http://www.zonavirus.com/descargas/elistara.asp



Saludos.

[mark_gn]

Hola, gracias por tu ayuda.

He pasado el Elistarpage, y me ha salido esto:



Fri Oct 06 00:06:26 2006

EliStartPage v12.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminados Ficheros Temporales del IE



Fri Oct 06 00:09:06 2006

EliStartPage v12.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

[msc hotline sat]

Pues solo veo esta clave RARA:



O4 - HKLM\..\Run: [RaidTool] C:\Archivos de programa\VIA\RAID\raid_to



Parece una clave cortada, revisala



y esta no la conocemos:



VOctoshapeClient.exe



si no la conoces, envianos muestra





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.





saludos



ms., 6-10-2006

[mark_gn]

Hola

Creo que la CLAVE: O4 - HKLM\..\Run: [RaidTool] C:\Archivos de programa\VIA\RAID\raid_to

, es de la placa base, son como los drivers para detectar los discos serial ata.

Y el ejecutable "VOctoshapeClient.exe", es de un programa para ver la TV en P2P, si te metes en la pagina de television española, veras como para ver ciertos programas en P2P, te tienes que instalar este programa, que funciona bajo windows media player.

Si ves alguna anomalia respecto a esto, me lo comentas, y si no asunto zanjado.

Gracias por todo

[msc hotline sat]

Enterados, como te indiquñe no la conociamos pero no te acostarás sin saber una cosa mas :lol:



gracias



saludos



ms, 6-10-2006

[msc hotline sat]

Y quien o qué te dice que tienes un spyware, cual y donde ???



saludos



ms, 6-10-2006

[mark_gn]

Pues el panda antivirus online me ponia que tenia un spyware llamado "ist.yoursitebar" y que estaba en el registro de windows, pero veo que aqui no sale nada de eso.

Un saludo Gracias

[msc hotline sat]

No dudo que quedara algun resto de clave en el registro, pero con el elistara las restauramos ya por defecto, asi que si ya no sale nada damos el Tema por solucionado y procedemos a cerrarlo





Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 6-10-2006