Home search ataca otra vez

Estado
Cerrado para nuevas respuestas

cesar k.

Nuevo Miembro
Miembro
#1
Les cuento pues que estuve un dia tranquilo gracias a sus consejos del forum, pero ahora el adwatch se ha vuelto loco y he tratado de repetir el procedimiento con poco éxito.

el log del Hackthis es este
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2

Scan saved at 4:33:33 PM, on 9/17/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\appze.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\mfcrq.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\CESAR\Escritorio\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mjldi.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mjldi.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\swxvb.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2DE12247-2D24-78A2-E913-41DA46EF0E5D} - C:\WINDOWS\system32\mfcnq.dll

O2 - BHO: (no name) - {AA5122C2-9CC4-CAB5-D846-92AD1A79589B} - C:\WINDOWS\system32\mfcfa32.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [WL] C:\WINDOWS\System32\WL.exe

O4 - HKLM\..\Run: [updmgr] C:\Archivos de programa\Common files\updmgr\updmgr.exe

O4 - HKLM\..\Run: [ieag32.exe] C:\WINDOWS\system32\ieag32.exe

O4 - HKLM\..\Run: [urybzicryrviq] C:\WINDOWS\System32\adalqpeb.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [Rslb] C:\Documents and Settings\CESAR\Datos de programa\etct.exe

O4 - HKCU\..\Run: [Bttrll] C:\WINDOWS\System32\?hkdsk.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
Y mi regedit es este
Insertar CODE, HTML o PHP:
Nombre de clave:          HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Nombre de clase:        <Ninguna clase>

Hora de última escritura:   9/17/2004 - 4:32 PM

Valor 0

  Nombre:            NoUpdateCheck

  Tipo:            REG_DWORD

  Datos:            0x1

Valor 1

  Nombre:            NoJITSetup

  Tipo:            REG_DWORD

  Datos:            0x1

Valor 2

  Nombre:            Disable Script Debugger

  Tipo:            REG_SZ

  Datos:            yes

Valor 3

  Nombre:            Show_ChannelBand

  Tipo:            REG_SZ

  Datos:            No

Valor 4

  Nombre:            Anchor Underline

  Tipo:            REG_SZ

  Datos:            yes

Valor 5

  Nombre:            Cache_Update_Frequency

  Tipo:            REG_SZ

  Datos:            Once_Per_Session

Valor 6

  Nombre:            Display Inline Images

  Tipo:            REG_SZ

  Datos:            yes

Valor 7

  Nombre:            Do404Search

  Tipo:            REG_BINARY

  Datos:           

00000000   01 00 00 00                                        ....

Valor 8

  Nombre:            Local Page

  Tipo:            REG_SZ

  Datos:            C:\WINDOWS\System32\blank.htm

Valor 9

  Nombre:            Save_Session_History_On_Exit

  Tipo:            REG_SZ

  Datos:            no

Valor 10

  Nombre:            Show_FullURL

  Tipo:            REG_SZ

  Datos:            no

Valor 11

  Nombre:            Show_StatusBar

  Tipo:            REG_SZ

  Datos:            yes

Valor 12

  Nombre:            Show_ToolBar

  Tipo:            REG_SZ

  Datos:            yes

Valor 13

  Nombre:            Show_URLinStatusBar

  Tipo:            REG_SZ

  Datos:            yes

Valor 14

  Nombre:            Show_URLToolBar

  Tipo:            REG_SZ

  Datos:            yes

Valor 15

  Nombre:            Start Page

  Tipo:            REG_SZ

  Datos:            http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home

Valor 16

  Nombre:            Use_DlgBox_Colors

  Tipo:            REG_SZ

  Datos:            yes

Valor 17

  Nombre:            Check_Associations

  Tipo:            REG_SZ

  Datos:            yes

Valor 18

  Nombre:            FullScreen

  Tipo:            REG_SZ

  Datos:            no

Valor 19

  Nombre:            Window_Placement

  Tipo:            REG_BINARY

  Datos:           

00000000   2c 00 00 00 02 00 00 00 - 03 00 00 00 ff ff ff ff  ,...........ÿÿÿÿ

00000010   ff ff ff ff ff ff ff ff - ff ff ff ff 00 00 00 00  ÿÿÿÿÿÿÿÿÿÿÿÿ....

00000020   02 00 00 00 00 04 00 00 - e2 02 00 00              ........â...

Valor 20

  Nombre:            Use FormSuggest

  Tipo:            REG_SZ

  Datos:            no

Valor 21

  Nombre:            NotifyDownloadComplete

  Tipo:            REG_SZ

  Datos:            yes

Valor 22

  Nombre:            Error Dlg Displayed On Every Error

  Tipo:            REG_SZ

  Datos:            no

Valor 23

  Nombre:            Use Custom Search URL

  Tipo:            REG_DWORD

  Datos:            0x1

Valor 24

  Nombre:            AutoSearch

  Tipo:            REG_DWORD

  Datos:            0x4

Valor 25

  Nombre:            AddToFavoritesExpanded

  Tipo:            REG_DWORD

  Datos:            0x1

Valor 26

  Nombre:            FormSuggest PW Ask

  Tipo:            REG_SZ

  Datos:            no

Valor 27

  Nombre:            Save Directory

  Tipo:            REG_SZ

  Datos:            C:\Documents and Settings\CESAR\Escritorio\

Valor 28

  Nombre:            Use Search Asst

  Tipo:            REG_SZ

  Datos:            no

Valor 29

  Nombre:            BandRest

  Tipo:            REG_SZ

  Datos:            Never

Valor 30

  Nombre:            Start Page_bak

  Tipo:            REG_SZ

  Datos:            http://www.yahoo.com

Valor 31

  Nombre:            Search Bar_bak

  Tipo:            REG_SZ

  Datos:            res://C:\WINDOWS\utmry.dll/sp.html#28129

Valor 32

  Nombre:            Search Page_bak

  Tipo:            REG_SZ

  Datos:            res://C:\WINDOWS\utmry.dll/sp.html#28129

Valor 33

  Nombre:            Use Search Assistant

  Tipo:            REG_SZ

  Datos:            no

Valor 34

  Nombre:            Search Page

  Tipo:            REG_SZ

  Datos:            res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129

Valor 35

  Nombre:            Search Bar

  Tipo:            REG_SZ

  Datos:            res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129
Gracias por tomarse el tiempo en ayudarme con mi relacion con la computadora

un abrazo

Cesar
 

cesar k.

Nuevo Miembro
Miembro
#2
Agrego que cuando abro una ventana de ie, me sale un pop up de Only the Best y al toque se activa el ad watch y me dice que bloquee a los archivos WL, etct, upgrm y otros mas...

AH y AYUDA POR FAVORRRRRRRRRRRRR

:D
 
A

Arwing

Guest
#3
Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:Manual pasos a seguir para el uso HijackThis

Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):
Insertar CODE, HTML o PHP:
C:\WINDOWS\system32\appze.exe

C:\WINDOWS\system32\mfcrq.exe
Ahora abre el Regedit y navega hasta la siguiente rama del Registro:
Insertar CODE, HTML o PHP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Y una vez ahí elimina las siguientes entradas del registro:
Insertar CODE, HTML o PHP:
[WL] C:\WINDOWS\System32\WL.exe

[updmgr] C:\Archivos de programa\Common files\updmgr\updmgr.exe

[ieag32.exe] C:\WINDOWS\system32\ieag32.exe

[urybzicryrviq] C:\WINDOWS\System32\adalqpeb.exe

[Rslb] C:\Documents and Settings\CESAR\Datos de programa\etct.exe

[Bttrll] C:\WINDOWS\System32\?hkdsk.exe
Cierra el Regedit

Desactiva la Opción de Restaurar el Sistema.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):
Insertar CODE, HTML o PHP:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kvkub.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mjldi.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mjldi.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\swxvb.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.com

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {2DE12247-2D24-78A2-E913-41DA46EF0E5D} - C:\WINDOWS\system32\mfcnq.dll

O2 - BHO: (no name) - {AA5122C2-9CC4-CAB5-D846-92AD1A79589B} - C:\WINDOWS\system32\mfcfa32.dll

O4 - HKLM\..\Run: [WL] C:\WINDOWS\System32\WL.exe

O4 - HKLM\..\Run: [updmgr] C:\Archivos de programa\Common files\updmgr\updmgr.exe

O4 - HKLM\..\Run: [ieag32.exe] C:\WINDOWS\system32\ieag32.exe

O4 - HKLM\..\Run: [urybzicryrviq] C:\WINDOWS\System32\adalqpeb.exe

O4 - HKCU\..\Run: [Rslb] C:\Documents and Settings\CESAR\Datos de programa\etct.exe

O4 - HKCU\..\Run: [Bttrll] C:\WINDOWS\System32\?hkdsk.exe
Y da click en el botón "Fix Checked"

Descarga el programa Disk Cleaner y úsalo para borrar todos los archivos temporales de tu computadora.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y carpetas y bórralos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\system32\appze.exe

C:\WINDOWS\system32\mfcrq.exe

C:\WINDOWS\System32\WL.exe

C:\Archivos de programa\Common files\updmgr\updmgr.exe

C:\WINDOWS\system32\ieag32.exe

C:\WINDOWS\System32\adalqpeb.exe

C:\Documents and Settings\CESAR\Datos de programa\etct.exe

C:\WINDOWS\System32\?hkdsk.exe

C:\WINDOWS\system32\kvkub.dll

C:\WINDOWS\mjldi.dll

C:\WINDOWS\system32\swxvb.dll
Acerca de tu post pasado, borra el archivo que aparece en el winini:
Insertar CODE, HTML o PHP:
C:\WINDOWS\wupdsnff.exe
Reinicia el sistema y prueba que tal te va ahora.

Saludos Arwing
 
A

Arwing

Guest
#4
Mmm... sospecho que tienes el malware VX2. ¿Tienes el Ad-aware SE? Si no lo tienes entonces bájalo y también busca en el sitio (www.lavasoftusa.com) el Add-on para el VX2, instálalo y úsalo para ver si estás infectado. Ya que C:\WINDOWS\wupdsnff.exe pertenece al VX2.

Arwing
 

cesar k.

Nuevo Miembro
Miembro
#5
Muchisimas Gracias, creo que funciono, pero igual ojala que se haya borrado por completo el adwatch a veces se cuelga y deja pasar

Mas bien, cuando abro el regedit en
Insertar CODE, HTML o PHP:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
me sale estos valores que me parecen raros
Insertar CODE, HTML o PHP:
Search Bar_bak  REG_SZ  res://C:\WINDOWS/utmry.dll/sp.html#28129

Search PAge_bak  REG_SZ  res://C:\WINDOWS/utmry.dll/sp.html#28129
No se si sabes de que se trata..

Un abrazo, Cesar
 
A

Arwing

Guest
#6
Pues esos valores no son nada buenos.

En el Regedit y estando en esa ruta, da click derecho y dale a Modificar y cambia la URL por otra (por ejemplo por la URL de Google).

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie