chequen mi log para ver como puedo retirar este spyware

Logfile of HijackThis v1.99.1
Scan saved at 22:42:38, on 10/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\?ymbols\w?nlogon.exe
C:\WINDOWS\CROSOF~1\explorer.exe
C:\Documents and Settings\Joey\Mis documentos\Mp3 Player\STP.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Joey\Mis documentos\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {076C9ED3-6550-54DD-12B5-036BA5ADFAAE} - blank (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Archivos de programa\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=072306 serial=DR12WEX-1504397-KTY lang=ES
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Muestras\EliStarA.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mwrs] "C:\WINDOWS\CROSOF~1\explorer.exe" -vt yax
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} - http://ipdata.phoneaccess.com/dialer/1/cab...phoneaccess.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion....ebio5_6_0_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F517EC6-E22F-4AB9-B126-E6F8EB0E77CD}: NameServer = 200.33.148.196 200.33.148.202
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Nls - C:\WINDOWS\
O20 - Winlogon Notify: Satinfo - C:\Muestras\EliNotif.dll
O20 - Winlogon Notify: Unimodem - C:\WINDOWS\
O21 - SSODL: altmannsberger - {210b4043-35ca-4aa0-8796-191f9663dfb3} - C:\WINDOWS\System32\vpxnk.dll
O21 - SSODL: fairydom - {5839511e-ec1b-4f91-ace3-fb88e52f5239} - C:\WINDOWS\System32\jevtxpg.dll
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Baja este programa:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Extrae todos los archivos al escritorio, una carpeta llamada
SmitfraudFix se creará , la abres haciendo y haces doble clic en smitfraudfix.cmd
Seleccionas la opción #2 – Clean tecleando 2 y dándole a Enter
Te aparecerá :"Registry cleaning - Do you want to clean the registry ?"
Contesta Yes apretando la Y y dándole a Enter
Si te aparece :"Replace infected file ?"
Contesta Yes apretando la Y y dándole a Enter
Ten paciencia mientras el programa trabaja, luego te dará un reporte (log) llamado
rapport.txt el cual se encontrará en la raíz de tu disco duro, lo más común será C: rapport.txt
La pc se reiniciará (si no lo hace reiniciala vos )
Me lo copias y pones en tu próximo post
Tambien pon un nuevo log del hijack
Salu2
Caito

El problema fue eliminado visualmente pero les dejo es report del SmitfraudFix y el nuevo del hijackthis para asegurar que se elimino.

Muchas Gracias!!!!

mitFraudFix v2.69

Scan done at 12:35:12,93, 11/07/2006
Run from C:\Documents and Settings\Joey\Escritorio\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"altmannsberger"="{210b4043-35ca-4aa0-8796-191f9663dfb3}"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"fairydom"="{5839511e-ec1b-4f91-ace3-fb88e52f5239}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\System32\vpxnk.dll -> Hoax.Win32.Renos.gen.b
C:\WINDOWS\System32\vpxnk.dll -> Deleted

C:\WINDOWS\System32\jevtxpg.dll -> Hoax.Win32.Renos.gen.b
C:\WINDOWS\System32\jevtxpg.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

-------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 12:37:17, on 11/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\carpserv.exe
C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Joey\Mis documentos\Mp3 Player\STP.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\HijackThis\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {076C9ED3-6550-54DD-12B5-036BA5ADFAAE} - blank (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Archivos de programa\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=072306 serial=DR12WEX-1504397-KTY lang=ES
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mwrs] "C:\WINDOWS\CROSOF~1\explorer.exe" -vt yax
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} - http://ipdata.phoneaccess.com/dialer/1/cab...phoneaccess.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion....ebio5_6_0_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F517EC6-E22F-4AB9-B126-E6F8EB0E77CD}: NameServer = 200.33.148.196 200.33.148.202
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Nls - C:\WINDOWS\
O20 - Winlogon Notify: Satinfo - C:\Muestras\EliNotif.dll (file missing)
O20 - Winlogon Notify: Unimodem - C:\WINDOWS\
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Hola Joey123

Por favor haz esto:

○» Sitúa el HijackThis.exe en una carpeta exclusiva para él (ej. C:/<!-- X Ubicación -->/Hijackthis/Hijackthis.exe)

○» Descarga el Disk Cleaner e instálalo.

○» Desactiva la opcion de Restaurar Sistema, una vez que tu sistema quede limpio la puedes volver a activar.

○» Asegura que tu sistema Muestre los archivos y carpetas ocultos

○» Reinicia en Modo Seguro

○» Ejecuta el HijackThis y da click en el boton "Do a system scan only"

○» Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":

O2 - BHO: (no name) - {076C9ED3-6550-54DD-12B5-036BA5ADFAAE} - blank (file missing)

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Archivos de programa\Safety Bar\Safety Bar.dll

O4 - HKCU\..\Run: [Mwrs] "C:\WINDOWS\CROSOF~1\explorer.exe" -vt yax

O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} - http://ipdata.phoneaccess.com/dialer/1/cab...phoneaccess.cab

O20 - Winlogon Notify: Satinfo - C:\Muestras\EliNotif.dll (file missing)

○» Ahora busca y elimina los siguientes archivos y/o carpetas, si existen:

C:\Archivos de programa\Safety Bar\

C:\WINDOWS\CROSOF~1

○» Limpia la papelera y pasale el EWIDO[b] (Guarda el Report)

○» Reinicia tu sistema operativo normalmente

○» Utiliza el Disk Cleaner para eliminar todos los archivos temporales del sistema

○» Coméntame los resultados, publica otro log y el Report del Ewido.

Saludos
Pd: además debes eliminar tu versión de Java y bajar la última :
http://www.java.com/en/download/manual.jsp

QUOTE

Mensaje modificado por Caito el Jul 11 2006, 09:02 PM