Pequeño gran problema 2

Pido perdon a todos, pues he repetido sin querer mi mensaje inicial de peticion de ayuda.

Envio el resumen del SPY SWEEPER y el del HIJACK.



********

12:47: | Inicio de sesión, miércoles, 30 de noviembre de 2005 |

12:47: Spy Sweeper iniciado

12:47: Barrido iniciado utilizando la versión de las definiciones 576

12:47: Iniciando barrido de memoria

12:56: Barrido de memoria finalizado, tiempo transcurrido: 00:09:02

12:56: Iniciando barrido de registro

12:56: Encontrado Trojan Horse: antivirus gold

12:56: HKCR\appid\{70f17c8c-1744-41b6-9d07-575db448dcc5}\ (1 subindicios) (ID = 103594)

12:56: HKCR\engine.ignorelist.1\ (3 subindicios) (ID = 103615)

12:56: HKCR\engine.ignorelist\ (5 subindicios) (ID = 103616)

12:56: HKCR\engine.threat.1\ (3 subindicios) (ID = 103629)

12:56: HKCR\engine.threat\ (5 subindicios) (ID = 103630)

12:56: HKLM\software\classes\appid\{70f17c8c-1744-41b6-9d07-575db448dcc5}\ (1 subindicios) (ID = 103633)

12:56: HKLM\software\classes\engine.ignorelist.1\ (3 subindicios) (ID = 103655)

12:56: HKLM\software\classes\engine.ignorelist\ (5 subindicios) (ID = 103656)

12:56: HKLM\software\classes\engine.threat.1\ (3 subindicios) (ID = 103669)

12:56: HKLM\software\classes\engine.threat\ (5 subindicios) (ID = 103670)

12:57: Encontrado Adware: popuper

12:57: HKLM\software\microsoft\windows\currentversion\exp lorer\browser helper objecta\ (2 subindicios) (ID = 735573)

12:57: Encontrado Adware: security2k hijacker

12:57: HKLM\software\microsoft\windows\currentversion\pol icies\explorer\run\ || kernel32.dll (ID = 796421)

12:57: Encontrado Trojan Horse: trojan-downloader-zlob

12:57: HKLM\software\microsoft\windows\currentversion\pol icies\explorer\run\ || wininet.dll (ID = 797370)

12:57: HKLM\software\microsoft\windows\currentversion\pol icies\explorer\run\ || wininet.dll (ID = 797671)

12:57: HKLM\software\microsoft\windows\currentversion\pol icies\explorer\run\ || nvctrl.exe (ID = 813700)

12:57: Encontrado Adware: crackserver

12:57: HKU\S-1-5-21-507921405-1580436667-1202660629-1003\software\microsoft\windows\currentversion\run \ || autoupdatev2 (ID = 920397)

12:57: Barrido de registro finalizado, tiempo transcurrido:00:01:02

12:57: Iniciando barrido de cookies

12:57: Encontrado Spy Cookie: fastclick cookie

12:57: pepe@fastclick[2].txt (ID = 2651)

12:57: Encontrado Spy Cookie: trafficmp cookie

12:57: pepe@trafficmp[1].txt (ID = 3581)

12:57: Encontrado Spy Cookie: tribalfusion cookie

12:57: pepe@tribalfusion[1].txt (ID = 3589)

12:57: Encontrado Spy Cookie: zedo cookie

12:57: pepe@zedo[2].txt (ID = 3762)

12:57: Barrido de cookies finalizado, tiempo transcurrido: 00:00:01

12:57: Iniciando barrido de archivos

13:12: Encontrado System Monitor: potentially rootkit-masked files

13:13: 00038549. (ID = 0)

13:13: Barrido de archivos finalizado, tiempo transcurrido: 00:15:58

13:13: Barrido completo finalizado. Tiempo transcurrido 00:26:14

13:13: Indicios encontrados: 57

13:17: Proceso de eliminación iniciado

13:17: Se están poniendo en cuarentena todos los indicios: popuper

13:17: Se están poniendo en cuarentena todos los indicios: potentially rootkit-masked files

13:34: Advertencia: lzma: Finish: LZMA_Encode failed with code 0x80004005

13:34: No se ha podido poner en cuarentena potentially rootkit-masked files

13:34: No se ha podido poner en cuarentena 00038549.

13:34: Se están poniendo en cuarentena todos los indicios: security2k hijacker

13:34: Se están poniendo en cuarentena todos los indicios: trojan-downloader-zlob

13:34: Se están poniendo en cuarentena todos los indicios: antivirus gold

13:34: Se están poniendo en cuarentena todos los indicios: crackserver

13:34: Se están poniendo en cuarentena todos los indicios: fastclick cookie

13:34: Se están poniendo en cuarentena todos los indicios: trafficmp cookie

13:34: Se están poniendo en cuarentena todos los indicios: tribalfusion cookie

13:34: Se están poniendo en cuarentena todos los indicios: zedo cookie

13:36: Proceso de eliminación finalizado. Tiempo transcurrido 00:19:00

********

12:40: | Start of Session, miércoles, 30 de noviembre de 2005 |

12:40: Spy Sweeper started

12:40: Sweep initiated using definitions version 576

12:40: Starting Memory Sweep

12:41: Sweep Canceled

12:41: Memory Sweep Complete, Elapsed Time: 00:01:07

12:41: Traces Found: 0

12:45: Las definiciones del software espía se han actualizado.

12:47: | Fin de la sesión, miércoles, 30 de noviembre de 2005 |

********

11:54: | Start of Session, miércoles, 30 de noviembre de 2005 |

11:54: Spy Sweeper started

11:54: Sweep initiated using definitions version 576

11:54: Starting Memory Sweep

12:04: Memory Sweep Complete, Elapsed Time: 00:09:28

12:04: Starting Registry Sweep

12:04: Found Trojan Horse: antivirus gold

12:04: HKCR\appid\{70f17c8c-1744-41b6-9d07-575db448dcc5}\ (1 subtraces) (ID = 103594)

12:04: HKCR\engine.ignorelist.1\ (3 subtraces) (ID = 103615)

12:04: HKCR\engine.ignorelist\ (5 subtraces) (ID = 103616)

12:04: HKCR\engine.threat.1\ (3 subtraces) (ID = 103629)

12:04: HKCR\engine.threat\ (5 subtraces) (ID = 103630)

12:04: HKLM\software\classes\appid\{70f17c8c-1744-41b6-9d07-575db448dcc5}\ (1 subtraces) (ID = 103633)

12:04: HKLM\software\classes\engine.ignorelist.1\ (3 subtraces) (ID = 103655)

12:04: HKLM\software\classes\engine.ignorelist\ (5 subtraces) (ID = 103656)

12:04: HKLM\software\classes\engine.threat.1\ (3 subtraces) (ID = 103669)

12:04: HKLM\software\classes\engine.threat\ (5 subtraces) (ID = 103670)

12:05: Found Adware: popuper

12:05: HKLM\software\microsoft\windows\currentversion\exp lorer\browser helper objecta\ (2 subtraces) (ID = 735573)

12:05: Found Adware: security2k hijacker

12:05: HKLM\software\microsoft\windows\currentversion\pol icies\explorer\run\ || kernel32.dll (ID = 796421)

12:05: Found Trojan Horse: trojan-downloader-zlob

12:05: HKLM\software\microsoft\windows\currentversion\pol icies\explorer\run\ || wininet.dll (ID = 797370)

12:05: HKLM\software\microsoft\windows\currentversion\pol icies\explorer\run\ || wininet.dll (ID = 797671)

12:05: HKLM\software\microsoft\windows\currentversion\pol icies\explorer\run\ || nvctrl.exe (ID = 813700)

12:05: Found Adware: crackserver

12:05: HKU\S-1-5-21-507921405-1580436667-1202660629-1003\software\microsoft\windows\currentversion\run \ || autoupdatev2 (ID = 920397)

12:05: Registry Sweep Complete, Elapsed Time:00:01:00

12:05: Starting Cookie Sweep

12:05: Found Spy Cookie: fastclick cookie

12:05: pepe@fastclick[2].txt (ID = 2651)

12:05: Found Spy Cookie: trafficmp cookie

12:05: pepe@trafficmp[1].txt (ID = 3581)

12:05: Found Spy Cookie: tribalfusion cookie

12:05: pepe@tribalfusion[1].txt (ID = 3589)

12:05: Found Spy Cookie: zedo cookie

12:05: pepe@zedo[2].txt (ID = 3762)

12:05: Cookie Sweep Complete, Elapsed Time: 00:00:01

12:05: Starting File Sweep

12:20: Found System Monitor: potentially rootkit-masked files

12:20: 00038549. (ID = 0)

12:29: File Sweep Complete, Elapsed Time: 00:24:17

12:29: Full Sweep has completed. Elapsed time 00:34:56

12:29: Traces Found: 57

12:40: | End of Session, miércoles, 30 de noviembre de 2005 |

********

11:42: | Inicio de sesión, miércoles, 30 de noviembre de 2005 |

11:42: Spy Sweeper iniciado

11:43: Las definiciones del software espía se han actualizado.

11:52: Your spyware definitions have been updated.

11:54: | End of Session, miércoles, 30 de noviembre de 2005 |









Logfile of HijackThis v1.99.1

Scan saved at 13:41:20, on 30/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\nvctrl.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\PCI Audio Applications\Mixer.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F3 - REG:win.ini: run=

O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp4CB4.tmp

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 5.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [C-Media Mixer] C:\Archivos de programa\PCI Audio Applications\Mixer.exe /startup

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: xxx - {14051602-5C4E-11d6-916B-00E02964E8E3} - C:\temp\acc\INSTAL2\INSTAL2.EXE (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe





GRACIAS.....

Imprime o copia estas indicaciones!!!



Si no sabes cómo hacer algunos de los procedimientos mira esto:

http://www.trucoswindows.net/forowindows/manuales-seguridad/19526-manual-pasos-seguir-hijackthis.html



Esto es muy importante : ( SI TE SALTEAS ESTE PASO TE RECOMIENDO QUE NO HAGAS NADA )



Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack



Luego :



Baja este programa:

disk cleaner



Disk Cleaner - Descargas Trucos Windows



Y el AdAware Se 1.06 :



http://www.trucoswindows.net/descargas/ad-aware/

Actualízalo al 30/11/05



Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )



Desactiva Restaurar Sistema (si tienes ME o XP )

Reinicia en Modo seguro o A prueba de Fallos

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Lanza el Hijack



Scan y luego Fix a estas:

R3 - Default URLSearchHook is missing

F3 - REG:win.ini: run=

O9 - Extra button: xxx - {14051602-5C4E-11d6-916B-00E02964E8E3} - C:\temp\acc\INSTAL2\INSTAL2.EXE (file missing)



Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.



Vacía la Papelera

Lanza el AdAware Se 1.06 actualizado al 30/11/05

Reinicia normal, conecta Internet, pon un nuevo log del Hijack.



Un saludo

Cierro este post , el autor ya ha abierto otros.

Salu2

Caito