Ayuda con spyware y procesos de windows

Estado
Cerrado para nuevas respuestas

MeTroiD

Nuevo Miembro
Miembro
#1
Logfile of HijackThis v1.97.7

Scan saved at 15:59:43, on 08/08/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\mIRC\mirc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Pablo.JUAS\Escritorio\Disk cleaner\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Zero Popup - {EB23F789-F17F-4bcc-988B-6B70A3A67E9C} - C:\ARCHIV~1\ZEROPO~1\ZERO-P~1.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Overnet] C:\Archivos de programa\Overnet\Overnet.exe -t

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
 

Pampino

Nuevo Miembro
Miembro
#2
Quisiera agradecereles a todos los que me han ayudado, ya que he podido terminar de sacar a ese maldito "Searchweb2" que me costó casi 4 días de batalla....

La verdad, estoy sorprendido con el nivel de la gente que participa en estos foros y la mano que le dan a los que no sabemos casi nada como yo......

Suerte a todos!!!
 

alnitak

Ex-Admin
Miembro
#3
MeTroiD estás infectado por una versión particulramente molesta del BlazeFind spyware, no intentes correr Ad Aware o SpyBot o con mucha probabilidad ya no podrás arrancar tu Windows XP

Este spyware coloca esta entrada en el logon:

UserInit=c:\windows\system32\wsaupdater.exe,

cuando la entrada correcta deberías ser :

UserInit=c:\windows\system32\userinit.exe,

Si la marcamos y le damos a FIX es posible que el sistema ya no se pueda arrancar de manera normal, y eso mismo pasará si usas Ad Aware o SpyBot así que no lo hagas.

Vamos a irnos con sumo cuidado entonces:

Copia el archivo wsaupdater.exe y respaldado como wsaupdater.bak

Despuéscopia el userinit.exe y renombra esta copia como wsaupdater.exe

entonces reinicia y asegurate que el sistema arranque normalmente.

Crea una nueva carpeta el C:\ y pega ahí el HijackThis.exe, lo tipico es :\Hijackthis\

Reinicia en modo seguro

Corre el HijackThis desde su nueva ubicación y marca estas entradas:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,

Le das a Fix, reinicia normalemente y me vuelves a colocar el log

Si tu sistema ya no arranca normalmente después de esto entra en modo seguro, corre el hijackThis, dale al boton Config>>pestaña Backups>>marca la entrada :

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,

y dale a restore después reinicia normalmente

Pampino estamos para ayudar y me alegro que hayas solucionado tu problema pero ya sabes que para la proxima nada de mensajes privados y usa directamente el foro :D
 

MeTroiD

Nuevo Miembro
Miembro
#4
Disculpe , en cuanto a lo que me ha puesto tengo un par de dudas :

[...]Copia el archivo wsaupdater.exe y respaldado como wsaupdater.bak

Despuéscopia el userinit.exe y renombra esta copia como wsaupdater.exe[..]

En cuanto a esto Copio el archivo wsaupdater.exe de la carpeta system de Windows , pero el .bak no está.

Copio el userinit.exe y lo renombro pero una vez hecho esto que debo hacer?

Que es respaldar el wsaupdater.bak? ; Que hago una vez copiado el wsaupdater.exe con el?.

Perdone si soy un poco burro para esto pero al ser español hay algúnas palabras que no entiendo , perdone si le molesto.

Agradezco atentamente su amabilidad , un atento saludo
 

alnitak

Ex-Admin
Miembro
#5
Hola, trataré de explicarme mejor

Entra a la carpeta de sistema y en ella habrán estos dos archivo:

wsaupdater.exe

y

userinit.exe

Entonces copia el wsaupdater.exe y pega esta nueva copia en la carpeta del HijackThis después le cambias el nombre a esta nueva copia para no arriesgarte a repicarlo y lo dejas como wsaupdater.bak

Ahora copias el userinit.exe y lo pegas en la misma carpeta de sistema, el nombre de la nueva copia quedará algo parecido a esto:

copia de userinit.exe

Entonces tu eliminas el wsaupdater.exe y en seguida renombras el copia de userinit.exe como wsaupdater.exe

No te equivoques con los nombres porque de no haber un wsaupdater.exe en tu carpeta de sistema ya no podrás reiniciar.

La finalidad de todo este embrollo es tener un rearranque normal donde el sistema llame al userinit.exe renombrado en lugar del wsaupdater.exe original y poder en seguida correr el HijackThis y arreglar las cosas

En el caso el sistema no te arranque normalmente después de todo esto deberás entonces restaurar el wsaupdater.bak a su nombre y ubicacion originales y rearrancar.
 

MeTroiD

Nuevo Miembro
Miembro
#6
Gracias creo que he resuelto todos los problemas no siendo que me aparece la pagina de " msn.com " como pagina x defecto en vez de about blank.

Aquí tiene el nuevo log :

Logfile of HijackThis v1.97.7

Scan saved at 22:57:25, on 09/08/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Overnet\Overnet.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Documents and Settings\Pablo.JUAS\Escritorio\Disk cleaner\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Zero Popup - {EB23F789-F17F-4bcc-988B-6B70A3A67E9C} - C:\ARCHIV~1\ZEROPO~1\ZERO-P~1.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab

Muchisimas gracias , Felicitarle por su hospitalidad , su profesionalidad y su rapidez es un ejemplo a seguir . Un atento saludo MeTroiD. :)
 
Estado
Cerrado para nuevas respuestas
Arriba Pie