jo.. no se que pasa v.v

[saito hajime]

[color=darkblue]hola, me he enterado de este foro por un amigo al que he dicho que esto me va fatal.

me instalé el spybot y el spy sweeper que me eliminó un AD Rivera Gold Casino y un AD Security iGuard.

Me había instalado tambien el Hijackthis y reventé con unas cosas más. Cuando creia que ya todo estaba solucionado y ya ni el spybot ni el spy sweeper identificaban nada.. me empieza a salir publicidad de instant search y una ventana del windows que dice que tengo spys y me redireciona a un site de links de antispys. Tambien me me avisa de una version de worm no se que. v.v

no se que hacer. pegaré aqui el log de hitjackthis. v.v no se que más eliminar porque tengo miedo de borrar algo importante.

Logfile of HijackThis v1.99.1

Scan saved at 21:08:44, on 16-03-2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programas\Ficheiros comuns\Symantec Shared\ccSetMgr.exe

C:\Programas\Ficheiros comuns\Symantec Shared\SNDSrvc.exe

C:\Programas\Ficheiros comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Programas\Ficheiros comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Programas\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE

C:\WINDOWS\system32\slserv.exe

C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\Programas\Ficheiros comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\Tablet.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programas\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programas\Ficheiros comuns\Symantec Shared\ccApp.exe

C:\Programas\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Programas\Java\jre1.5.0_01\bin\jusched.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programas\Webroot\Spy Sweeper\SpySweeper.exe

C:\Programas\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\system32\Wtablet\TabUserW.exe

C:\Programas\Adobe\Photoshop 7.0\Photoshop.exe

C:\WINDOWS\system32\svchost.exe

C:\Programas\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\helper.exe

C:\Programas\Messenger\msmsgs.exe

C:\Programas\Internet Explorer\IEXPLORE.EXE

C:\Programas\Ficheiros comuns\Symantec Shared\NMain.exe

C:\PROGRA~1\NORTON~1\NORTON~3\navw32.exe

C:\PROGRA~1\NORTON~1\NORTON~3\navw32.exe

C:\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://updates.installshield.com/GetUpdates.asp?p={505AFDC0-5E72-4928-8368-5DEA385E3647}&r=12.0&v=ISUA%202.2&u=&l=1046

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programas\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programas\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programas\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programas\Ficheiros comuns\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programas\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe

O4 - HKLM\..\Run: [Anti Spyware] "C:\Programas\SinEspias\no-spy.exe" /autorun

O4 - HKLM\..\Run: [No Spy] "C:\Programas\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programas\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programas\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz

O4 - HKCU\..\Run: [SpySweeper] "C:\Programas\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programas\Ficheiros comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programas\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe

O9 - Extra button: Microsoft AntiSpyware helper - {82FB5C9A-F898-441E-BA4A-BA77F1EE89F3} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {82FB5C9A-F898-441E-BA4A-BA77F1EE89F3} - (no file) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{9BD4C7DC-C630-4BE1-BDF7-CADC68E7C84C}: NameServer = 194.65.100.117

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programas\Ficheiros comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programas\Ficheiros comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programas\Ficheiros comuns\Symantec Shared\ccSetMgr.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programas\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Programas\Norton SystemWorks\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHEI~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programas\Ficheiros comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programas\Ficheiros comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programas\Ficheiros comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe



[/color]

[saito hajime]

[color=darkblue]ah si he copiado algunos de los avisos que me salen, son estos:



[img]http://galeon.com/ric/aviso.JPG[/img]





[img]http://galeon.com/ric/aviso2.JPG[/img]



:shock: además tengo siempre un triangulo amarillo al lado del reloj con una señal de exclamación... :? [/color]

[maura63]

Comprueba que se muestren archivos y carpetas ocultos del sistema.



Descativa restaurar sistema apagas y enciende en modo seguro, lanza solamente hijackthis, pulsa scan, marca las siguientes entradas y pulsa FIX, acepta.



R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe [color=red]W32/Forbot-BD worm [/color]

O4 - HKLM\..\Run: [Anti Spyware] "C:\Programas\[color=red]SinEspias[/color]\no-spy.exe" /autorun

O4 - HKLM\..\Run: [No Spy] "C:\Programas\SinEspias\No-Spy.exe" /autorun



Elimina tambien estas dos, son innecesarias.



O9 - Extra button: Microsoft AntiSpyware helper - {82FB5C9A-F898-441E-BA4A-BA77F1EE89F3} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {82FB5C9A-F898-441E-BA4A-BA77F1EE89F3} - (no file) (HKCU)



Pasa tu antivirus ahora y anti-spyware, en modo normal comprueba el resultado, pero olvidate del SIN ESPIAS pues esta catalogado como programa no deseable. Utiliza Spybot y Ad_aware SE conjuntamente.



Informacion



W32/Forbot-BD se propage via des partages réseau en [color=red]exploitant la faille LSASS (MS04-011). [/color]Le cheval de Troie peut aussi se propager via des portes dérobées laissées ouvertes par d'autres logiciels malveillants.



Comprueba via windows update que no te falte alguna actualizacion.



Saludos

maura63

[saito hajime]

[color=darkblue]hola, he hecho lo que me indicaste y nada, ahora incluso se me desconecta adsl y me cambia la contraseña.

Cuando le di al hitjackthis para fixar los problemas este no apareció



O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe W32/Forbot-BD worm



los updates estan bien, y el antivirus dice que no tengo nada. v.v pero me sigue saliendo ese triangulo amarillo con los mensages de problemas criticos.

:shock: y mi firewall de windows no me bloquea nada aunque dice que esta bien instalado. creo que no tengo mas remedio que volver a formatar el ordenador, pero es que ya es la 3 vez desde enero.



[/color]

[maura63]

Esto lo añadi yo para que supieras lo que era la entrada W32/Forbot-BD worm



Buscala tal cual anterior sin el nombre del virus, o sea



O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe



Saludos

maura63

[saito hajime]

[color=darkblue]pues no, ese ya no esta, y



F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe



me vuelve aparecer como si no lo borrase. :shock:



oye por cierto, porque el Ad_ware se queda paralizado mientras intenta borrar dos cosas que me encontró? no las quiere borrar... :? [/color]

[msc hotline sat]

Recuerda que has de lanzarlo en modo seguro y restauracion de sistema deshabilitada.



Y por cierto, revisa el antivirus que tienes, pues el W32/Forbot-BD worm devería habertelo detectado !!!



saludos



ms, 17-03-2005

[maura63]

Y sobre lo de Ad_aware puede que lo tengas corrupto. Prueba a eliminarlo y volverlo a instalar y actualizar a fecha de hoy que estan los ultimos updates.



Utiliza tambien el Spybot para complementar la limpieza de spy.



Saludos

maura63

[saito hajime]

[color=darkblue]uf v.v pues nada hecho. me instalé el AVG que recomendais en otro post y no me encuentra nada. y pasé el panda online que me detecta una cosa pero que no la elimina:



Incidencia Estado Elemento



Adware:Adware/TheLocalSearch No desinfectado C:\WINDOWS\system32\LogFiles\T52231455.so



[/color]

[msc hotline sat]

Los adwares y spywares se eliminan con los antispywares.



Sigue el tutorial de spywares:



https://foros.zonavirus.com/viewtopic.php?t=4795



saludos



ms, 17-03-2005

[saito hajime]

[color=darkblue]hola, bueno hice todo loq ue pone en el tutorial de spyweres y nada. no se, este triangulo amarillo no se va y el ad_aware siempre me detecta un spy que nunca se va. [/color]

[maura63]

Comprueba si en agragar o quitar programas tienes algo que no te suene de nada.



Saludos

maura63

[saito hajime]

[color=darkblue]pues no, no hay nada...

cuando estoy desconectado de la red me sigue saliendo la publicidad y pidiendo que me conecte :shock:

mmm cres que deberia volver a poner el hijackthis?

es que creo que esto no tiene solucion v.v se habrá incrustrado en mi hardware v.v[/color]

[msc hotline sat]

En el hardware no se "incrusta" nada. Como máximo puede sobreescribir los datos de la BIOS, como hace el CIH los 26 de Abril, pero no estarías viendo lo que ves...



Lo que el SPYBOT y ek AD_AWARE te detectan, habiendo arranmcado en modo seguro y deshabilitando la restairacion de sistema, lo deben de poder eliminar sin mas problemas.



Sigue los pasos:



https://foros.zonavirus.com/viewtopic.php?t=5266



Y una vez dada la orden, sin reiniciar, vuelve a pasar la utilidad en cuestion para comprobar que ya no lo detecta.



Si es así, y una vez reinicias, lo vuelves a tener, no es que no lo hayas eliminado, sino que tras eliminarlo ha vuelto a crearse, pues hay "droppers" o creadores que pueden volver a generar los bichos tras eliminarlos, y son esta "madres" las que deben eliminarse además de los "hijos"



Por esto Maura63 te preguntaba a ver si en agregar/quitar programas, tenías alguna aplicacion instalada, que no conocieras.



Pues tras ello, mira si lo conocemos y podemos eliminarlo con la utilidad ELISTARA.EXE:



https://foros.zonavirus.com/viewtopic.php?p=3565#3565



saludos



ms, 21-03-2005