cakeshow, powerscan, Wipebash

Estado
Cerrado para nuevas respuestas

antber

Nuevo Miembro
Miembro
#1
Hola, saludos a los miembros del foro.

Mi consulta es sobre unas claves del registro que se añaden una y otra vez que hacen referencia a estos programas,cakeshow, powerscan, Wipebash.

Eliminé los directorios que alojaban estos programas, pero aparecen al instalar algún software (presumo que con algúno que actualizan mis hijos).

Creo que me queda algo que se ejecuta al inicio y que añade estas entradas al registro una y otra vez, tantas veces como las elimino.

Añado el hijackthis.log por si alguien sabe cual es el causante.

Logfile of HijackThis v1.98.2

Scan saved at 21:25:15, on 20/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\CACHEM~1\CachemanXP.exe

C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTBU.EXE

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Documents and Settings\Antonio\Mis documentos\msn plus\MsgPlus.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe

C:\Archivos de programa\DU Meter\DUMeter.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Archivos de programa\Winwall\Winwall.exe

E:\copia fujitsu2º\eMulePlus-1h\eMule.exe

C:\ARCHIV~1\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tlhqyqlrkxjmaywsrhiuus.com/tvQo...D/zdSBUDdZ.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.tooppuubhwtjvuomxvz.com/tvQoIMu...8D/zdSBUDdZ.cgi

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Archivos de programa\RivaTuner\RivaTuner.exe" /S

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [AudioHQU] C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTBU.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Antonio\Mis documentos\msn plus\MsgPlus.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [PC Booster] C:\Archivos de programa\inKline Global\PC Booster\PCBooster.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [platformbags] C:\ARCHIV~1\VGAJUN~1\cakeshow.exe

O4 - HKLM\..\Run: [Power Scan] C:\Archivos de programa\Power Scan\powerscan.exe

O4 - HKLM\..\Run: [Thesigndog01] C:\Documents and Settings\All Users\Datos de programa\Hole ping the sign\Wipebash.exe


O4 - HKLM\..\Run: [AWMON] "C:\ARCHIV~1\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - Startup: Winwall Autostart.lnk = C:\Archivos de programa\Winwall\Winwall.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - (no file)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - (no file)

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab

P.D.

La linea:O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

Tampoco me suena de nada.

Gracias
 

alnitak

Ex-Admin
Miembro
#2
bajate esta herramineta:

loop remover

y ejecutala para remover el searhweb2.

Es instalado por el MSnPlus, cuando tus hijos reinstalen este programa dile que se fijen bien en las pantallas durante la instalación y cuando se le pregunte si aceptan instalar un programa adicional para apoyar el programador que anden pendientes de no aceptar.

En el HijackThis marca la casilla de esta entrada (despues de cerrar todos los navegadores) y dale a fix.

O4 - HKLM\..\Run: [Power Scan] C:\Archivos de programa\Power Scan\powerscan.exe

Es un adware que no está relacionado con el anterior, después de usar el hijackThis elimina esa carpeta completa.

Este otro:

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

es legal, instalado con el software de tu tarjeta, pero es inutil así que puedes removerlo desde inicio > msconfig > pestaña inicio > desmarca la casilla correspondiente
 

antber

Nuevo Miembro
Miembro
#3
Hola, he seguido tus instrucciones y en cuestion de 2 segundos el Ad-Watch Monitoring, me reporta la inclusion en el registro de las cuatro entradas tantas veces como las elimino.

Algun proceso activo, o programa residente desde el inicio modifica el registro, pero no se cual es.

Esto empieza a ser dificilillo de resolver.

===============================================

21/10/2004 2:31:57 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:platformbags

Data:C:\ARCHIV~1\VGAJUN~1\cakeshow.exe

New Data:

===============================================

21/10/2004 2:31:57 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:Power Scan

Data:C:\Archivos de programa\Power Scan\powerscan.exe

New Data:

===============================================

21/10/2004 2:31:57 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:Thesigndog01

Data:C:\Documents and Settings\All Users\Datos de programa\Hole ping the sign\Wipebash.exe

New Data:

===============================================

21/10/2004 2:33:57 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:WINDVDPatch

Data:CTHELPER.EXE

New Data:
 

alnitak

Ex-Admin
Miembro
#4
Intentalo entrando al sistema en modo seguro:

Como reiniciar a prueba de fallos

Es extraño que las 4 sean restauradas puesto que son de 2 adwares distintos y de un proceso legal que por supuesto no guardan ninguna relación entre ellos, se me ocurre que podría ser el mismo Ad Watch quien las restaura así que deshabilitalo de momento antes de reiniciar en modo seguro para removerlas, y vamos a ver si al reiniciar con el Ad Watch desactivado vuelven a aparecer
 

antber

Nuevo Miembro
Miembro
#5
Parece que estás en lo cierto.Ya solo queda en MSCONFIG>INICIO la linea de CTHELPER.EXE.

La borraré desde regedit y creo que ya no apareceran mas.

Muchas gracias por tu tiempo.

Un saludo.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie