Home search ataca otra vez

Estado
Cerrado para nuevas respuestas

cesar k.

Nuevo Miembro
Miembro
Les cuento pues que estuve un dia tranquilo gracias a sus consejos del forum, pero ahora el adwatch se ha vuelto loco y he tratado de repetir el procedimiento con poco éxito.

el log del Hackthis es este
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2

Scan saved at 4:33:33 PM, on 9/17/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\appze.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\mfcrq.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\CESAR\Escritorio\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mjldi.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mjldi.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\swxvb.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2DE12247-2D24-78A2-E913-41DA46EF0E5D} - C:\WINDOWS\system32\mfcnq.dll

O2 - BHO: (no name) - {AA5122C2-9CC4-CAB5-D846-92AD1A79589B} - C:\WINDOWS\system32\mfcfa32.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [WL] C:\WINDOWS\System32\WL.exe

O4 - HKLM\..\Run: [updmgr] C:\Archivos de programa\Common files\updmgr\updmgr.exe

O4 - HKLM\..\Run: [ieag32.exe] C:\WINDOWS\system32\ieag32.exe

O4 - HKLM\..\Run: [urybzicryrviq] C:\WINDOWS\System32\adalqpeb.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [Rslb] C:\Documents and Settings\CESAR\Datos de programa\etct.exe

O4 - HKCU\..\Run: [Bttrll] C:\WINDOWS\System32\?hkdsk.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
Y mi regedit es este
Insertar CODE, HTML o PHP:
Nombre de clave:          HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Nombre de clase:        <Ninguna clase>

Hora de última escritura:   9/17/2004 - 4:32 PM

Valor 0

  Nombre:            NoUpdateCheck

  Tipo:            REG_DWORD

  Datos:            0x1

Valor 1

  Nombre:            NoJITSetup

  Tipo:            REG_DWORD

  Datos:            0x1

Valor 2

  Nombre:            Disable Script Debugger

  Tipo:            REG_SZ

  Datos:            yes

Valor 3

  Nombre:            Show_ChannelBand

  Tipo:            REG_SZ

  Datos:            No

Valor 4

  Nombre:            Anchor Underline

  Tipo:            REG_SZ

  Datos:            yes

Valor 5

  Nombre:            Cache_Update_Frequency

  Tipo:            REG_SZ

  Datos:            Once_Per_Session

Valor 6

  Nombre:            Display Inline Images

  Tipo:            REG_SZ

  Datos:            yes

Valor 7

  Nombre:            Do404Search

  Tipo:            REG_BINARY

  Datos:           

00000000   01 00 00 00                                        ....

Valor 8

  Nombre:            Local Page

  Tipo:            REG_SZ

  Datos:            C:\WINDOWS\System32\blank.htm

Valor 9

  Nombre:            Save_Session_History_On_Exit

  Tipo:            REG_SZ

  Datos:            no

Valor 10

  Nombre:            Show_FullURL

  Tipo:            REG_SZ

  Datos:            no

Valor 11

  Nombre:            Show_StatusBar

  Tipo:            REG_SZ

  Datos:            yes

Valor 12

  Nombre:            Show_ToolBar

  Tipo:            REG_SZ

  Datos:            yes

Valor 13

  Nombre:            Show_URLinStatusBar

  Tipo:            REG_SZ

  Datos:            yes

Valor 14

  Nombre:            Show_URLToolBar

  Tipo:            REG_SZ

  Datos:            yes

Valor 15

  Nombre:            Start Page

  Tipo:            REG_SZ

  Datos:            http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home

Valor 16

  Nombre:            Use_DlgBox_Colors

  Tipo:            REG_SZ

  Datos:            yes

Valor 17

  Nombre:            Check_Associations

  Tipo:            REG_SZ

  Datos:            yes

Valor 18

  Nombre:            FullScreen

  Tipo:            REG_SZ

  Datos:            no

Valor 19

  Nombre:            Window_Placement

  Tipo:            REG_BINARY

  Datos:           

00000000   2c 00 00 00 02 00 00 00 - 03 00 00 00 ff ff ff ff  ,...........ÿÿÿÿ

00000010   ff ff ff ff ff ff ff ff - ff ff ff ff 00 00 00 00  ÿÿÿÿÿÿÿÿÿÿÿÿ....

00000020   02 00 00 00 00 04 00 00 - e2 02 00 00              ........â...

Valor 20

  Nombre:            Use FormSuggest

  Tipo:            REG_SZ

  Datos:            no

Valor 21

  Nombre:            NotifyDownloadComplete

  Tipo:            REG_SZ

  Datos:            yes

Valor 22

  Nombre:            Error Dlg Displayed On Every Error

  Tipo:            REG_SZ

  Datos:            no

Valor 23

  Nombre:            Use Custom Search URL

  Tipo:            REG_DWORD

  Datos:            0x1

Valor 24

  Nombre:            AutoSearch

  Tipo:            REG_DWORD

  Datos:            0x4

Valor 25

  Nombre:            AddToFavoritesExpanded

  Tipo:            REG_DWORD

  Datos:            0x1

Valor 26

  Nombre:            FormSuggest PW Ask

  Tipo:            REG_SZ

  Datos:            no

Valor 27

  Nombre:            Save Directory

  Tipo:            REG_SZ

  Datos:            C:\Documents and Settings\CESAR\Escritorio\

Valor 28

  Nombre:            Use Search Asst

  Tipo:            REG_SZ

  Datos:            no

Valor 29

  Nombre:            BandRest

  Tipo:            REG_SZ

  Datos:            Never

Valor 30

  Nombre:            Start Page_bak

  Tipo:            REG_SZ

  Datos:            http://www.yahoo.com

Valor 31

  Nombre:            Search Bar_bak

  Tipo:            REG_SZ

  Datos:            res://C:\WINDOWS\utmry.dll/sp.html#28129

Valor 32

  Nombre:            Search Page_bak

  Tipo:            REG_SZ

  Datos:            res://C:\WINDOWS\utmry.dll/sp.html#28129

Valor 33

  Nombre:            Use Search Assistant

  Tipo:            REG_SZ

  Datos:            no

Valor 34

  Nombre:            Search Page

  Tipo:            REG_SZ

  Datos:            res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129

Valor 35

  Nombre:            Search Bar

  Tipo:            REG_SZ

  Datos:            res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129
Gracias por tomarse el tiempo en ayudarme con mi relacion con la computadora

un abrazo

Cesar
 

cesar k.

Nuevo Miembro
Miembro
Agrego que cuando abro una ventana de ie, me sale un pop up de Only the Best y al toque se activa el ad watch y me dice que bloquee a los archivos WL, etct, upgrm y otros mas...

AH y AYUDA POR FAVORRRRRRRRRRRRR

:D
 
A

Arwing

Guest
Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:Manual pasos a seguir para el uso HijackThis

Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):
Insertar CODE, HTML o PHP:
C:\WINDOWS\system32\appze.exe

C:\WINDOWS\system32\mfcrq.exe
Ahora abre el Regedit y navega hasta la siguiente rama del Registro:
Insertar CODE, HTML o PHP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Y una vez ahí elimina las siguientes entradas del registro:
Insertar CODE, HTML o PHP:
[WL] C:\WINDOWS\System32\WL.exe

[updmgr] C:\Archivos de programa\Common files\updmgr\updmgr.exe

[ieag32.exe] C:\WINDOWS\system32\ieag32.exe

[urybzicryrviq] C:\WINDOWS\System32\adalqpeb.exe

[Rslb] C:\Documents and Settings\CESAR\Datos de programa\etct.exe

[Bttrll] C:\WINDOWS\System32\?hkdsk.exe
Cierra el Regedit

Desactiva la Opción de Restaurar el Sistema.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):
Insertar CODE, HTML o PHP:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mjldi.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mjldi.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\swxvb.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.com

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {2DE12247-2D24-78A2-E913-41DA46EF0E5D} - C:\WINDOWS\system32\mfcnq.dll

O2 - BHO: (no name) - {AA5122C2-9CC4-CAB5-D846-92AD1A79589B} - C:\WINDOWS\system32\mfcfa32.dll

O4 - HKLM\..\Run: [WL] C:\WINDOWS\System32\WL.exe

O4 - HKLM\..\Run: [updmgr] C:\Archivos de programa\Common files\updmgr\updmgr.exe

O4 - HKLM\..\Run: [ieag32.exe] C:\WINDOWS\system32\ieag32.exe

O4 - HKLM\..\Run: [urybzicryrviq] C:\WINDOWS\System32\adalqpeb.exe

O4 - HKCU\..\Run: [Rslb] C:\Documents and Settings\CESAR\Datos de programa\etct.exe

O4 - HKCU\..\Run: [Bttrll] C:\WINDOWS\System32\?hkdsk.exe
Y da click en el botón "Fix Checked"

Descarga el programa Disk Cleaner y úsalo para borrar todos los archivos temporales de tu computadora.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y carpetas y bórralos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\system32\appze.exe

C:\WINDOWS\system32\mfcrq.exe

C:\WINDOWS\System32\WL.exe

C:\Archivos de programa\Common files\updmgr\updmgr.exe

C:\WINDOWS\system32\ieag32.exe

C:\WINDOWS\System32\adalqpeb.exe

C:\Documents and Settings\CESAR\Datos de programa\etct.exe

C:\WINDOWS\System32\?hkdsk.exe

C:\WINDOWS\system32\kvkub.dll

C:\WINDOWS\mjldi.dll

C:\WINDOWS\system32\swxvb.dll
Acerca de tu post pasado, borra el archivo que aparece en el winini:
Insertar CODE, HTML o PHP:
C:\WINDOWS\wupdsnff.exe
Reinicia el sistema y prueba que tal te va ahora.

Saludos Arwing
 
A

Arwing

Guest
Mmm... sospecho que tienes el malware VX2. ¿Tienes el Ad-aware SE? Si no lo tienes entonces bájalo y también busca en el sitio (www.lavasoftusa.com) el Add-on para el VX2, instálalo y úsalo para ver si estás infectado. Ya que C:\WINDOWS\wupdsnff.exe pertenece al VX2.

Arwing
 

cesar k.

Nuevo Miembro
Miembro
Muchisimas Gracias, creo que funciono, pero igual ojala que se haya borrado por completo el adwatch a veces se cuelga y deja pasar

Mas bien, cuando abro el regedit en
Insertar CODE, HTML o PHP:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
me sale estos valores que me parecen raros
Insertar CODE, HTML o PHP:
Search Bar_bak  REG_SZ  res://C:\WINDOWS/utmry.dll/sp.html#28129

Search PAge_bak  REG_SZ  res://C:\WINDOWS/utmry.dll/sp.html#28129
No se si sabes de que se trata..

Un abrazo, Cesar
 
A

Arwing

Guest
Pues esos valores no son nada buenos.

En el Regedit y estando en esa ruta, da click derecho y dale a Modificar y cambia la URL por otra (por ejemplo por la URL de Google).

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie