ayuda contra troyanos, creo

Estado
Cerrado para nuevas respuestas

julipiper

Nuevo Miembro
Miembro
#1
He leido en el foro sobre algúnos programas espias y siguiendo algún hilo me baje el hijackThis v.1.98.2, pues no estoy segura pero creo que tengo algúno (pueden serlo el 180 search o el webrebates?).

Como he leido lo que pedis a los que os formulan pregunstas parecidas, me he tomado la libertad de postearos el log del scan que he hecho, no se si he hecho bien o me he adelantado, decidmelo por favor, soy nueva en la pagina.

Hecho esta y aquí os pongo:

Logfile of HijackThis v1.98.2

Scan saved at 22:42:03, on 02/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Panda Antivirus Platinum 7.0\Firewall\PavFires.exe

D:\Panda Antivirus Platinum 7.0\pavsrv51.exe

D:\Panda Antivirus Platinum 7.0\AVENGINE.EXE

D:\WINDOWS\htpatch.exe

D:\Panda Antivirus Platinum 7.0\APVXDWIN.EXE

D:\Archivos de programa\V-Stream Multimedia\PVR Plus\TVR\Scheduled.exe

D:\Archivos de programa\QuickTime\qttask.exe

D:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe

D:\Program Files\Windows TaskAd\WinTaskAd.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Archivos de programa\Messenger\msmsgs.exe

D:\Program Files\Windows TaskAd\WinSched.exe

D:\Panda Antivirus Platinum 7.0\pavProxy.exe

D:\Archivos de programa\Web_Rebates\WebRebates1.exe

D:\bittornado 0.3.8\BitTornado\btdownloadgui.exe

D:\WINDOWS\System32\svchost.exe

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Archivos de programa\Web_Rebates\WebRebates0.exe

D:\antitroyano\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spanish.imdb.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - D:\ARCHIV~1\SEARCH~1\SEARCH~1.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\windows\googletoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\windows\googletoolbar.dll

O4 - HKLM\..\Run: [Cn:)slTaskBar] D:\Archivos de programa\Telefonica Kit ADSL USB\Cn:)slTb.exe

O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SCANINICIO] "D:\Panda Antivirus Platinum 7.0\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "D:\Panda Antivirus Platinum 7.0\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [PVR Agent] D:\Archivos de programa\V-Stream Multimedia\PVR Plus\TVR\Scheduled.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] D:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\Run: [Windows TaskAd] D:\Program Files\Windows TaskAd\WinTaskAd.exe

O4 - HKLM\..\Run: [salm] d:\temp\salm.exe

O4 - HKLM\..\Run: [WebRebates0] "D:\Archivos de programa\Web_Rebates\WebRebates0.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Startup: Headline Test.lnk = D:\ScnOffix\headline.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Google Search - res://D:\WINDOWS\GoogleToolbar.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://D:\WINDOWS\GoogleToolbar.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://D:\WINDOWS\GoogleToolbar.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://D:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html

O8 - Extra context menu item: Web Rebates - file://D:\Archivos de programa\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: *.05p.com

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.scoobidoo.com

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.xxxtoolbar.com

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...11a0351cafa03db

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1101753803326

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BE1547CD-1EC0-4BC9-AEDC-3C0D05DA72ED}: NameServer = 80.58.0.33,80.58.32.97
 
A

Arwing

Guest
#2
Hola, no te preocupes, has hecho bien al poner el log, ya que has acelerado las cosas, eventualmente te lo hubieramos pedido pues WebRebates y 180search son spywares.

Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:Manual pasos a seguir para el uso HijackThis

Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):

D:\Program Files\Windows TaskAd\WinTaskAd.exe

D:\Program Files\Windows TaskAd\WinSched.exe

D:\Archivos de programa\Web_Rebates\WebRebates1.exe

D:\Archivos de programa\Web_Rebates\WebRebates0.exe

D:\temp\salm.exe

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spanish.imdb.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - D:\ARCHIV~1\SEARCH~1\SEARCH~1.DLL

O4 - HKLM\..\Run: [Windows TaskAd] D:\Program Files\Windows TaskAd\WinTaskAd.exe

O4 - HKLM\..\Run: [salm] d:\temp\salm.exe

O4 - HKLM\..\Run: [WebRebates0] "D:\Archivos de programa\Web_Rebates\WebRebates0.exe"

O4 - Startup: Headline Test.lnk = D:\ScnOffix\headline.exe <-- sólo si no conoces este programa

O8 - Extra context menu item: Web Rebates - file://D:\Archivos de programa\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O15 - Trusted Zone: *.05p.com

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.scoobidoo.com

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.xxxtoolbar.com

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...11a0351cafa03db

Y da click en el botón "Fix Checked"

Descarga el programa Disk Cleaner y úsalo para borrar todos los archivos temporales de tu computadora.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y carpetas y bórralos:

D:\Program Files\Windows TaskAd\

D:\Archivos de programa\Web_Rebates\

D:\ARCHIV~1\SEARCH~1\SEARCH~1.DLL

d:\temp\salm.exe

Reinicia el sistema y prueba que tal te va ahora.

Te recomiendo que te bajes el programa Ad-aware SE 1.05, ya que limpiará la basura que te han metido en el registro de Windows y que no vemos aquí en el log.

Saludos

Arwing
 

julipiper

Nuevo Miembro
Miembro
#3
Arwing, muchas gracias por tu contestacion.

He seguido paso a paso tu respuesta y creo que solo hay una cosa que no he podido hacer: no he podido terminar el proceso del WINSTASKAD.EXE ni el WINSCHED.EXE, de hecho no he podido ni borrar la carpeta donde se encuentran en PROGRAM FILES, WINDOWS TASKAD, me pone el siguiente mensaje:
 

julipiper

Nuevo Miembro
Miembro
#4
perdon, perdon, por el corte, es que la verdad es que soy bastante torpe para esto de los foros.

Te decía que el mensaje es:

NO SE PUEDE ELIMINAR WINSCHED.EXE: SE HA DENEGADO EL ACCESO.

COMPRUEBE QUE EL DISCO NO ESTE LLENO O PROTEGIDO CONTRA ESCRITURA Y QUE EL ARCHIVO NO ESTE ACTUALMENTE USO.

que te parece? me he saltado algún paso?

Gracias de antemano
 
A

Arwing

Guest
#5
Si parece ser que cuando terminas un proceso el otro vuelve a aparecer y así sucesivamente, por lo que no puedes acabar con ellos tan fácil.

Intenta haciéndolo en Modo a Prueba de Fallos o Modo Seguro.

Si tampoco puedes de esa forma entonces con HijackThis ve a Config >> Misc Tools >> Delete a file on reboot, y selecciona uno de los archivos, acepta y reinicia el sistema. Y así lo haces con el otro archivo.

Si también tienes problemas para hacer esto entonces vuelve a postear.

Saludos

Arwing
 

julipiper

Nuevo Miembro
Miembro
#6
Arwing, sois geniales.

Siguiendo el segundo paso, osea, con el antitroyano, lo he conseguido.

Muchas gracias y eternamente agradeci :D a.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie