Bueno ya probe arrancar en modo SAFE y no lo puedo eliminar ya que es el que se instala en la entrada:
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\ir00l5dm1.dll
Ademas eh notado que ese archivo cambia de nombre, por lo que investigue no se puede borrar ni siquiera en modo SAFE MODE con COMMAND PROMPT, ya nose que mas probar..
El efecto de este Spyware, es que abre aleatoriamente TABS en el Firefox, con paginas de publicidades, lo mismo hace con el Explorer...
Aca abajo les dejo con mas precision el LOG del Hijackthis...
Spyware que no puedo sacar!!! (SOLUCIONADO)
Logfile of HijackThis v1.99.1
Scan saved at 07:19:01 p.m., on 16/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Profiler\lwemon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\POPFile\popfileib.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Hernan\Desktop\optimize pc\hijackthis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - Startup: Run POPFile.lnk = C:\Program Files\POPFile\runpopfile.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\program files\microsoft office\office10\excel.exe/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2C557B3-A1A4-402F-92DB-50F07BA9F372}: NameServer = 192.168.1.1
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\ir00l5dm1.dll
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - (no file)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
Scan saved at 07:19:01 p.m., on 16/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Profiler\lwemon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\POPFile\popfileib.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Hernan\Desktop\optimize pc\hijackthis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - Startup: Run POPFile.lnk = C:\Program Files\POPFile\runpopfile.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\program files\microsoft office\office10\excel.exe/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2C557B3-A1A4-402F-92DB-50F07BA9F372}: NameServer = 192.168.1.1
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\ir00l5dm1.dll
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - (no file)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
Bueno una vez mas cambio de nombre, cambia muy seguido su nombre, ahora se llama...
h2l20c3oef.dll
Hay alguna forma posible de eliminarlo desde el registry ?? como es posible que no se pueda eliminar ese archivo....segun lei ese sector se carga en memoria inclusive antes de que el windows inicie...
alguna idea ??
h2l20c3oef.dll
Hay alguna forma posible de eliminarlo desde el registry ?? como es posible que no se pueda eliminar ese archivo....segun lei ese sector se carga en memoria inclusive antes de que el windows inicie...
alguna idea ??
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ya hay muchos Temas al respecto de claves con Win Login Notify, y la solucion es usar el ELISTARA:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Descarguela, pruebela, si le pide muestras, envienoslas y en cualquier caso comentenos el resultado como respuesta de este Tema , gracias
Aparte, puede eliminar esta clave:
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - (no file)
saludos
ms, 17-11-2005
ELISTARA:
Descarguela, pruebela, si le pide muestras, envienoslas y en cualquier caso comentenos el resultado como respuesta de este Tema , gracias
Aparte, puede eliminar esta clave:
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - (no file)
saludos
ms, 17-11-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Si probe de utilizar la ultima version de ese programa, pero no lo saca, y tambien lo probe en mode a prueba de fallos, y tampoco lo detecta ni lo elimina...
y esas entradas con el hijackthis tampoco las elimina, pruebo de tocar en fix, y cuando toco nuevamente scan siguen estando ahi, tambien lo probe bajo el modo a prueba de fallos..
Ya no se que mas hacer, y tampoco me deja copiar ese archivo .dll para poder enviarlo o comprimirlo...
:cry: :cry: :cry:
y esas entradas con el hijackthis tampoco las elimina, pruebo de tocar en fix, y cuando toco nuevamente scan siguen estando ahi, tambien lo probe bajo el modo a prueba de fallos..
Ya no se que mas hacer, y tampoco me deja copiar ese archivo .dll para poder enviarlo o comprimirlo...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues bajate el ELISTARA, ultima version y lo copias en la carpeta raiz C:\
Luego apagas el ordenador y arrancas en modo seguro con solo simbolo de sistema, y ekecutas C:\ELISTARA.EXE
pero ya lo debes tener, pues te había indicado probarlo antes !
Y cuentanos el resultado, gracias
Si no lo pudieras eliminar así, habiendo arrancado de este modo podrías mover el fichero a otra carpeta para luego enviarnoslo, y en la misma sesion ejecutar el HIJACKTHIS.EXE y marcar y eliminar con FIX la clave.
saludos
ms, 17-11-2005
Luego apagas el ordenador y arrancas en modo seguro con solo simbolo de sistema, y ekecutas C:\ELISTARA.EXE
pero ya lo debes tener, pues te había indicado probarlo antes !
Y cuentanos el resultado, gracias
Si no lo pudieras eliminar así, habiendo arrancado de este modo podrías mover el fichero a otra carpeta para luego enviarnoslo, y en la misma sesion ejecutar el HIJACKTHIS.EXE y marcar y eliminar con FIX la clave.
saludos
ms, 17-11-2005
Última edición por msc hotline sat el 17 Nov 2005, 16:02, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Gracias por tu respuesta, estuve leyendo bastante el foro y saque una conclusion para poder eliminarlo, voy a optar por encender la pc con el cd booteable para entrar a la consola de reparacion, y de ahi moverlo o copiarlo.
Porque por lo que estuve viendo es imposible en el modo que mencionas hacer esa operacion, evidentemente la entrada del Login Notify es muy potente y por lo que estuve averiguando, arranca inclusive antes del propio sistema, esto incluye los modos SAFE MODE y cualquiera de sus variantes.
Sino la otra posibilidad es instalar el disco rigido en otra computadora para realizar la operacion, igualmente les voy a enviar un mail con ese archivo para que puedan investigarlo. Por ultimo queria decir que ese DLL cambia de nombre con mucha frecuencia, y hace muy dificil su eliminacion de forma normal, ya que no se lo puede copiar ni mover bajo ningun aspecto...
Creo que es de lo mas potente que eh visto en spywares...
Saludos.
Porque por lo que estuve viendo es imposible en el modo que mencionas hacer esa operacion, evidentemente la entrada del Login Notify es muy potente y por lo que estuve averiguando, arranca inclusive antes del propio sistema, esto incluye los modos SAFE MODE y cualquiera de sus variantes.
Sino la otra posibilidad es instalar el disco rigido en otra computadora para realizar la operacion, igualmente les voy a enviar un mail con ese archivo para que puedan investigarlo. Por ultimo queria decir que ese DLL cambia de nombre con mucha frecuencia, y hace muy dificil su eliminacion de forma normal, ya que no se lo puede copiar ni mover bajo ningun aspecto...
Creo que es de lo mas potente que eh visto en spywares...
Saludos.
Descarga la versión de prueba (trial) del Spy Sweeper, parece que lo soluciona.
Saludos
maura63
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
[quote="maura63"]Descarga la versión de prueba (trial) del Spy Sweeper, parece que lo soluciona.
Saludos
maura63[/quote]
Ya probe dicha version, y no lo detecta...
Es tan nuevo este spyware ?, cometi el error de ejecutar un archivo run.exe sin querer, estaba cansado, y luego me di cuenta del error que cometi...bueno ahora estoy pagando las consecuencias...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
no es tan fiero el leon como lo pintan... ya conocemos una 12 variantes de este y cada día controlamos mas y hasta ahora nos las hemos cargado todas, y el winlogon notify no es que sea potente, es que lo pone en uso antes de los demas procesos, y windows no deja eliminar lo que está en uso,
Efectivamente arrancando con el disco duro como esclavo o en consola de recuperacion no hay problema, claro, pero hasta ahora los hemos podido matar todos arrancando en modo seguro con solo simbolo de sistema, pero esto no es arrancar en modo seguro y aceder desde allí a solo simbolo de sistema !!! Es arrancar sin cargar el EXPLORER.EXE, con la tercera opcion de modo seguro, MODO SEGURO CON SOLO SIMBOLO DE SISTEMA.
Fijate bien de hacerlo así y nos comentas el resultado, gracias
saludos
ms, 17-11-2005
Efectivamente arrancando con el disco duro como esclavo o en consola de recuperacion no hay problema, claro, pero hasta ahora los hemos podido matar todos arrancando en modo seguro con solo simbolo de sistema, pero esto no es arrancar en modo seguro y aceder desde allí a solo simbolo de sistema !!! Es arrancar sin cargar el EXPLORER.EXE, con la tercera opcion de modo seguro, MODO SEGURO CON SOLO SIMBOLO DE SISTEMA.
Fijate bien de hacerlo así y nos comentas el resultado, gracias
saludos
ms, 17-11-2005
Última edición por msc hotline sat el 18 Nov 2005, 08:11, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Bueno probe de pasar el programa en modo SAFE con el command, y no se pudo borrar, ni lo reconocia...
La solucion que utilize, fue sacar el Disco Duro y ponerlo en otra pc como esclavo y borrar el archivo dll, luego le pase el hijackthis y pude eliminar la entrada 20 pertencienciente a Login Notify.
Gracias por toda la auyda !:)
La solucion que utilize, fue sacar el Disco Duro y ponerlo en otra pc como esclavo y borrar el archivo dll, luego le pase el hijackthis y pude eliminar la entrada 20 pertencienciente a Login Notify.
Gracias por toda la auyda !
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
La que ulizaste fue una de las opciones que se te indicó, pero la otra NO LO HACIAS BIEN, no era ir al DOS una vez arrancado en modo seguro, sino entrar en modo seguro con solo simbolo de sistema, y esto te lo explicabamos asi:
Sirva para aclaracion al respecto, y solucionado ya el Tema, procedemos a cerrarlo
saludos
ms, 18.-11-2005
[quote="msc"]Efectivamente arrancando con el disco duro como esclavo o en consola de recuperacion no hay problema, claro, pero hasta ahora los hemos podido matar todos arrancando en modo seguro con solo simbolo de sistema, pero esto no es arrancar en modo seguro y aceder desde allí a solo simbolo de sistema !!! Es arrancar sin cargar el EXPLORER.EXE, con la tercera opcion de modo seguro, MODO SEGURO CON SOLO SIMBOLO DE SISTEMA.[/quote]
Sirva para aclaracion al respecto, y solucionado ya el Tema, procedemos a cerrarlo
saludos
ms, 18.-11-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online