imposible eliminar spyware/virus (Solucionado)

[pilina]

:cry: Tengo windows xp, desactivado restaurar sistema, ad-aware 6 profesional, spybot search and destroy, spyguard, spysweeper, symantec antivirus, y no sé cuántos más pero ninguno me soluciona el problema.



Al parecer tengo en el ordenador:

TIB Browser

Alexa

Martfinder

DSO Exploit

WebSiteViewer

TROJ_PORNDIAL.BP

124715



Imposibles de arreglar. Paso los programas en modo seguro, reinicio, y otra vez están ahí. Son más resistentes que mi bisabuela que murió con 106 años. Estoy totalmente desesperada

[maura63]

Mandanos mediante copiar y pegar el archivo log que genera este programa



· Hijackthis version: 1.98.2

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

----------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip



Descarga, ejecutas, pulsan scan y luego en save.



Saludos

maura63

[pilina]

Logfile of HijackThis v1.98.2

Scan saved at 11:26:51, on 11/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\cba\pds.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\ARCHIV~1\Symantec\SYMANT~1\NSCTOP.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ams_ii\hndlrsvc.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\WINDOWS\system32\cba\xfr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Softissimo\Lexibase Collins SE\exe\l-express.exe

C:\Archivos de programa\Altebia\spamPepperServer.exe

C:\Archivos de programa\Caere\PageKeeper30\system\PKJobs.exe

C:\Archivos de programa\palmOne\Hotsync.exe

C:\Archivos de programa\SpywareGuard\sgmain.exe

C:\Archivos de programa\SpywareGuard\sgbhp.exe

C:\Archivos de programa\Caere\PageKeeper30\SYSTEM\PKTOPASS.EXE

C:\Archivos de programa\Caere\PageKeeper30\SYSTEM\PKSlapi.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\Iexplore.exe

C:\Archivos de programa\SinEspias\No-Spy.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\DOCUME~1\MiPc\CONFIG~1\Temp\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.psicologiamarbella.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.psicologiamarbella.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.psicologiamarbella.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por PC Pro

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com

O1 - Hosts: 127.0.0.3 x.full-tgp.net

O1 - Hosts: 127.0.0.3 counter.sexmaniack.com

O1 - Hosts: 127.0.0.3 autoescrowpay.com

O1 - Hosts: 127.0.0.3 http://www.autoescrowpay.com

O1 - Hosts: 127.0.0.3 http://www.awmdabest.com

O1 - Hosts: 127.0.0.3 http://www.sexfiles.nu

O1 - Hosts: 127.0.0.3 awmdabest.com

O1 - Hosts: 127.0.0.3 sexfiles.nu

O1 - Hosts: 127.0.0.3 allforadult.com

O1 - Hosts: 127.0.0.3 http://www.allforadult.com

O1 - Hosts: 127.0.0.3 http://www.iframe.biz

O1 - Hosts: 127.0.0.3 iframe.biz

O1 - Hosts: 127.0.0.3 http://www.newiframe.biz

O1 - Hosts: 127.0.0.3 newiframe.biz

O1 - Hosts: 127.0.0.3 http://www.vesbiz.biz

O1 - Hosts: 127.0.0.3 vesbiz.biz

O1 - Hosts: 127.0.0.3 http://www.pizdato.biz

O1 - Hosts: 127.0.0.3 pizdato.biz

O1 - Hosts: 127.0.0.3 http://www.aaasexypics.com

O1 - Hosts: 127.0.0.3 aaasexypics.com

O1 - Hosts: 127.0.0.3 http://www.virgin-tgp.net

O1 - Hosts: 127.0.0.2 mail.faecoma.com #spamPepper

O1 - Hosts: 127.0.0.3 smtp.telefonica.net #spamPepper

O1 - Hosts: 127.0.0.4 pop3.spam.pepper #spamPepper

O1 - Hosts: 127.0.0.5 smtp.spam.pepper #spamPepper

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing)

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [zSPGuard] c:\archivos de programa\pjw\spguard\spguard.exe /s /r

O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe

O4 - Global Startup: L-Express.lnk = C:\Archivos de programa\Softissimo\Lexibase Collins SE\exe\l-express.exe

O4 - Global Startup: spamPepperServer.lnk = C:\Archivos de programa\Altebia\spamPepperServer.exe

O4 - Global Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Trabajos de PageKeeper.lnk = C:\Archivos de programa\Caere\PageKeeper30\system\PKJobs.exe

O4 - Global Startup: HotSync Manager.lnk = C:\Archivos de programa\palmOne\hotsync.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Hoteles - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\mcm-hotelgratis\index.html

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.windupdates.com

O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1019_ES.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=714b9e99bb1ec51fadc828f5983e23109b906c2b320d9f1b39ed54699be7e97f4caf42694383070009646062296ff92e68cfba8c:eb8a1fb09d00c5943edceabcca450006

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} - http://www.contenidospc.com/ruboskizo2.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1295b413a78c3d190206/netzip/RdxIE601_es.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab

O16 - DPF: {8A0EA51F-CA7C-4D97-9F22-0C9EB939F4A7} (Vacpro.spagna_907) - http://www.7adpower.com/dialer/spain_907.CAB

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B6EED66E-C3CA-49BF-A334-AB85B755A4AA}: Domain = telefonica.net

O17 - HKLM\System\CCS\Services\Tcpip\..\{B6EED66E-C3CA-49BF-A334-AB85B755A4AA}: NameServer = 80.58.0.33,80.58.32.97

[maura63]

En modo seguro y desactivando restaurar sistema elimina con hijackthis estas entradas pulsando FIX.





R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.psicologiamarbella.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.psicologiamarbella.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.psicologiamarbella.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com

O1 - Hosts: 127.0.0.3 x.full-tgp.net

O1 - Hosts: 127.0.0.3 counter.sexmaniack.com

O1 - Hosts: 127.0.0.3 autoescrowpay.com

O1 - Hosts: 127.0.0.3 http://www.autoescrowpay.com

O1 - Hosts: 127.0.0.3 http://www.awmdabest.com

O1 - Hosts: 127.0.0.3 http://www.sexfiles.nu

O1 - Hosts: 127.0.0.3 awmdabest.com

O1 - Hosts: 127.0.0.3 sexfiles.nu

O1 - Hosts: 127.0.0.3 allforadult.com

O1 - Hosts: 127.0.0.3 http://www.allforadult.com

O1 - Hosts: 127.0.0.3 http://www.iframe.biz

O1 - Hosts: 127.0.0.3 iframe.biz

O1 - Hosts: 127.0.0.3 http://www.newiframe.biz

O1 - Hosts: 127.0.0.3 newiframe.biz

O1 - Hosts: 127.0.0.3 http://www.vesbiz.biz

O1 - Hosts: 127.0.0.3 vesbiz.biz

O1 - Hosts: 127.0.0.3 http://www.pizdato.biz

O1 - Hosts: 127.0.0.3 pizdato.biz

O1 - Hosts: 127.0.0.3 http://www.aaasexypics.com

O1 - Hosts: 127.0.0.3 aaasexypics.com

O1 - Hosts: 127.0.0.3 http://www.virgin-tgp.net

O1 - Hosts: 127.0.0.2 mail.faecoma.com #spamPepper

O1 - Hosts: 127.0.0.3 smtp.telefonica.net #spamPepper

O1 - Hosts: 127.0.0.4 pop3.spam.pepper #spamPepper

O1 - Hosts: 127.0.0.5 smtp.spam.pepper #spamPepper

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.windupdates.com

O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=714b9e99bb1ec51fadc828f5983e23109b906c2b320d9f1b39ed54699be7e97f4caf42694383070009646062296ff92e68cfba8c:eb8a1fb09d00c5943edceabcca450006

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} - http://www.contenidospc.com/ruboskizo2.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1295b413a78c3d190206/netzip/RdxIE601_es.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab

O16 - DPF: {8A0EA51F-CA7C-4D97-9F22-0C9EB939F4A7} (Vacpro.spagna_907) - http://www.7adpower.com/dialer/spain_907.CAB



una vez eliminado vuelve a pasar spybot y cws, despues enciende en modo normal y comprueba el resultado.



Saludos

maura63

[maura63]

Mensaje privado recibido

[color=blue]*********************************************

De: pilina

Para: maura63

Publicado: Jue Nov 11, 2004 11:57 am

Asunto: duda

que es cws?

*********************************************[/color]



Eliminación de paginas de inicio en el internet explorer y no restaurables,dialers, etc:

Pasos a seguir una ver descargados es instalarlos, actualizados (update)

y escanear el sistema



CWSHREDDER 2.0



http://www.softpedia.com/public/cat/10/17/10-17-150.shtml





[img]http://img97.exs.cx/img97/3732/mage.gif[/img] [color=red]Todas las preguntas y dudas en el foro. [/color]





Saludos

maura63

[maura63]

Mensaje privado recibido



************************************************************

De: pilina

Para: maura63

Publicado: Jue Nov 11, 2004 2:27 pm

[color=red]Asunto: conseguido!

gracias, parecía que no se iba a resolver nunca [/color]



************************************************************

Pues nos alegramos de ello. Pero recuerda mandar los post al foro no en privado. ES PARA BENEFICIO DE TODOS LA FORMA DE SOLUCIONARLO.



Solucionado el tema lo cerramos.



Saludos

maura63