ayuda con spy ware

Estado
Cerrado para nuevas respuestas

MOFOTIJ

Nuevo Miembro
Miembro
#1
hola tengo problemas con unos programas que encotre instalados en mi maquína y al investigar un poco de ellos resulta que encontré que son algún tipo de spyware

aquí mire un caso similar al mio asy que espero puedan ayudarme una amigo me pido el log de hijack

asy que aquí se los pongo espero respuesta grasais

log

Logfile of HijackThis v1.98.2

Scan saved at 1:13:20 PM, on 9/25/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\TELMEX\Prodigy Infinitum\app\TangoService.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Program Files\RealVNC\VNC4\WinVNC4.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program Files\Windows SyncroAd\SyncroAd.exe

C:\Program Files\Windows SyncroAd\WinSync.exe

C:\WINNT\system32\hlpiakbo.exe

C:\WINNT\system32\MSlti64.exe

C:\Program Files\Internet Optimizer\optimize.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\armando\Application Data\v?x?.exe

C:\WINNT\system32\r?ndll32.exe

C:\PROGRA~1\TELMEX\PRODIG~1\app\TangoManager.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\armando\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file)

O2 - BHO: (no name) - {1FDA3878-9518-2EB1-8750-655509AE7648} - C:\WINNT\system32\wvo.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\TELMEX\PRODIG~1\app\TANGOM~1.EXE

O4 - HKLM\..\Run: [Configuration Loader] zonealarm.exe

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

O4 - HKLM\..\Run: [ribkxch] C:\WINNT\ribkxch.exe

O4 - HKLM\..\Run: [ktqgpb] C:\WINNT\system32\hlpiakbo.exe

O4 - HKLM\..\Run: [conscorr] C:\WINNT\conscorr.exe

O4 - HKLM\..\Run: [Video Process] MSlti64.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\RunServices: [Configuration Loader] zonealarm.exe

O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [PVR] C:\Program Files\XemiComputers\Pocket Voice Recorder\PVR.exe

O4 - HKCU\..\Run: [Daao] C:\Documents and Settings\armando\Application Data\v?x?.exe

O4 - HKCU\..\Run: [Bbcfac] C:\WINNT\system32\r?ndll32.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot8_x.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...2708a875f52f374

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4091FFF9-44FD-4EDB-8CA9-63B2E43B31BF}: NameServer = 200.38.10.1 200.23.249.1
 

Pervers79

Nuevo Miembro
Miembro
#2
Bueno ante todo decirte que soy un novato y no reconozco muy bien las entradas pero hay cosas que me llevan a desconfiar como:

O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

Si no me equivoco barains es spyware.

Bueno ya sabes que soy novato llevo 2 en esto y aun no entiendo muchas cosas. Asi que mejor antes de hacer nada expera la opinión de otros miembros.

X cierto otra cosa que me mosquea es el hecho de usar dos impresoras.
 

alnitak

Ex-Admin
Miembro
#3
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola, tu sistema luce bastante mal.

Ante todo revisa la información de esta pagina y toma en cuenta las recomendaciones en cuanto a mantener el sistema actualizado:

http://www.vsantivirus.com/gaobot-ue.htm

Desde el Panel Control desinstala si existe la entrada:

Bargain Buddy O UN NOMBRE PARECIDO

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Termina cualquiera de los siguientes procesos si existen:

C:\Program Files\Windows SyncroAd\SyncroAd.exe

C:\Program Files\Windows SyncroAd\WinSync.exe

C:\WINNT\system32\hlpiakbo.exe

C:\WINNT\system32\MSlti64.exe

C:\Program Files\Internet Optimizer\optimize.exe

C:\Documents and Settings\armando\Application Data\v?x?.exe

C:\WINNT\system32\r?ndll32.exe

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file) <<-- mas información: http://www.doxdesk.com/parasite/Transponder.html

O2 - BHO: (no name) - {1FDA3878-9518-2EB1-8750-655509AE7648} - C:\WINNT\system32\wvo.dll

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll <<-- mas información: http://www.spywareguide.com/product_show.php?id=724

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll <<-- http://www.sophos.com/virusinfo/analyses/trojistbarm.html

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll <<-- http://www.doxdesk.com/parasite/BargainBuddy.html

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe <- solo si no lo reconoces, yo todavía no se que es pero parece ser maliciosa

O4 - HKLM\..\Run: [ribkxch] C:\WINNT\ribkxch.exe

O4 - HKLM\..\Run: [ktqgpb] C:\WINNT\system32\hlpiakbo.exe

O4 - HKLM\..\Run: [conscorr] C:\WINNT\conscorr.exe

O4 - HKLM\..\Run: [Video Process] MSlti64.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe

O4 - HKCU\..\Run: [Daao] C:\Documents and Settings\armando\Application Data\v?x?.exe

O4 - HKCU\..\Run: [Bbcfac] C:\WINNT\system32\r?ndll32.exe

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...2708a875f52f374

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab



Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:

Disk Cleaner

O si prefieres te lo bajas desde la pagina del autor para asegurarte que sea la ultima versión (es freeware)

http://www.xs4all.nl/~mp2004

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:

C:\WINNT\system32\wvo.dll

C:\WINNT\2_0_1browserhelper2.dll

C:\WINNT\system32\msbe.dll

C:\WINNT\ribkxch.exe

C:\WINNT\system32\hlpiakbo.exe

C:\WINNT\conscorr.exe

C:\WINNT\system32\MSlti64.exe

C:\Documents and Settings\armando\Application Data\v?x?.exe

C:\WINNT\system32\r?ndll32.exe

C:\WINNT\system32\hlpiakbo.exe

Elimina estas carpetas y todo su contenido

C:\Program Files\SideFind\

C:\Program Files\Power Scan\

C:\Program Files\BullsEye Network\

C:\Program Files\Internet Optimizer\

Reinicia normalmente y reactiva la opción de restaurar el sistema.

Instala la ultima versión de Ad Aware, actualízalo y escanéate para que termine de limpiar.

Actualiza tu sistema a través del Windows Update

Posiblemente instala otro navegador y no uses el Internet Explorer a no ser indispensable.

Postea otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

MOFOTIJ

Nuevo Miembro
Miembro
#4
hola solo una pregunta mas antes de continuar con lo que me recomiendas, no tengo ese programa que dices istalado

solo

bullseye

internet optimizer

sidefind

esos son los mas extraÑos, ago los pasos que me indicas sin desistalar desdel panel de control ninguno de estos?

y hal borra los *.dll no abra problema al iniciar Windows normal de nuevo?
 

alnitak

Ex-Admin
Miembro
#5
bullseye es el mismo Bargain Buddy (admito que no es muy parecido el nombre :))

Los otros 2 también desinstalalos y después sigue los demas pasos
 
Estado
Cerrado para nuevas respuestas
Arriba Pie