downloader HC, la barrita azul...

[irenilla]

Hace un mes o así (después de haberme descargado MSN plus) mi ordenador fue infectado con el troyano downloader HC, después de esto mi pagina de inicio a internet cambió a res://rwmya.dll/index.html#96676 a parte de eso la barrita azul de la q todos hablais me quedó instalada sin q encuentre ninguna forma de quitarla, continuamente me aparecen mensajes publicitarios de q spyware ha afectado a mi ordenador...



X favor echarme un cable xq ya no se q hacer

:(

[maura63]

Lee bien este link y lo solucionaras



https://foros.zonavirus.com/viewtopic.php?t=1926





Saludos

maura63

[irenilla]

Bien, la barrita azul ha desaparecido, ahora lo siguiente es hacer desaparecer la siguiente pagina res://rwmya.dll/index.html#96676 como mi pagina de inicio a internet.

Pasando el hijackthis:

Logfile of HijackThis v1.97.7

Scan saved at 11:26:07, on 05/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\addqk32.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE

C:\Archivos de programa\NASDAK\OmniMouse Driver\2.1.23\MOUSE32A.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE

C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\WINDOWS\system32\sysqz32.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

C:\KMaestro\Key_s.EXE

C:\Archivos de programa\PrecisionTime\PrecisionTime.exe

C:\Archivos de programa\Date Manager\DateManager.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Archivos de programa\MSN\MSNCoreFiles\msn6.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\AGUSTIN\Mis documentos\hijackthis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rwmya.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://rwmya.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://rwmya.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rwmya.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://rwmya.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rwmya.dll/sp.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {7B6F524F-013B-2DA4-ADF6-54405A0C3F77} - C:\WINDOWS\addda32.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [PromulGate] "C:\Archivos de programa\DelFin\PromulGate\PgMonitr.exe"

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\NASDAK\OmniMouse Driver\2.1.23\MOUSE32A.EXE

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [sysqz32.exe] C:\WINDOWS\system32\sysqz32.exe

O4 - HKCU\..\Run: [MC] C:\WINDOWS\wintrim\WINTRIMS.EXE

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: PrecisionTime.lnk = C:\Archivos de programa\PrecisionTime\PrecisionTime.exe

O4 - Global Startup: Date Manager.lnk = C:\Archivos de programa\Date Manager\DateManager.exe

O4 - Global Startup: GStartup.lnk = C:\Archivos de programa\Archivos comunes\GMT\GMT.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Juegos On Line (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2004\pavlsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2004\pavlsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2004\pavlsp.dll

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: ConferenceRoom Java Client - http://207.22.51.94/java/cr.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_ES_XP.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_ES_XP.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.201.69.103/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom.cab

O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab

O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_4_ES_XP.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37537.529224537

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_pack_XP.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8ABF9395-666C-45DA-AA63-C675E4006DB2}: NameServer = 80.58.0.33,80.58.32.97





Y ahora que hago????

[maura63]

Señala las casillas correspondiente y pulsa Fix para eliminar, hazlo en modo seguro y desactiva restaurar sistema



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rwmya.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://rwmya.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://rwmya.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rwmya.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://rwmya.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rwmya.dll/sp.html#96676

O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.201.69.103/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom.cab





Saludos

maura63



PD. esta tambien



O4 - HKCU\..\Run: [MC] C:\WINDOWS\wintrim\WINTRIMS.EXE

[maura63]

Te recomiendo pasar tambien estos y elimina todo lo que detecten que sera bastante.



Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



· Ad-aware Personal 6.0 Build 181

Ad-aware es de lo mejorcito. Una genial utilidad que analiza tu PC en busca de ficheros "espía" y te ayuda a eliminarlos de forma segura. Puedes elegir los módulos a eliminar, guardar ficheros de registro y personalizar el menú del programa. Ad-aware encuentra y elimina decenas de programas tipo spyware como: Aureate/Radiate, CometCursor, Cydoor, Conducent/Timesink, Flysway, Gator y Web3000 entre muchos otros.



Sitio 1 - Descargar Ad-aware Personal 6.0 Build 181

http://download.com.com/3001-8022-10214379.html

Paquete Traductor al español

http://updates.ls-servers.com/aaw-lang-pack.exe

----------------------------------------------------------------

Sitio 2 - Descargar Ad-aware Personal 6.0 Build 181 desde zonavirus.com

http://www.zonavirus.com/descargas/ad-aware-free-internet-security.asp

Descargar Paquete Traductor al español desde zonavirus.com

http://www.zonavirus.com/descargas/ad-aware-free-internet-security.asp





Actualizalos una vez descargados y pasalos en modo seguro.



Saludos

maura63

[irenilla]

bien parecia solucionado mi problema anterior y ahora q vuelvo de vacaciones me encuentro con otro por el estilo: mi pagina de inicio es about:blank y continuamente me apracene mensajes de spyware q afecta a mi ordenador etc etc, como quito lo del about:blank?????????? mil gracias

[maura63]

Lee bien este post, no se si lo has hecho, pero cuando instales el msn plus ojo a lo que picas en aceptar.



http://www.zonavirus.com/FOROPHP/viewtopic.php?t=1931



Pasa tambien esta utilidad



https://foros.zonavirus.com/viewtopic.php?t=1279



y descarga el cws y lo ejecutas tambien.



Saludos

maura63