Un espía feroz

Estado
Cerrado para nuevas respuestas

Giraldo

Nuevo Miembro
Miembro
#1
Hola. Esta es mi primer experiencia en el foro, así que les pediré que me tengan paciencia.

Estuve leyendo algúnas respuestas de ayuda sobre un posible programa espía que se instaló en mi sistema y creo que parte del problema logré resolverlo borrando virus con el NAV2003 y limpiando las carpetas de temporales y la de reciclado. Pero igualmete no termino de resolver el problema. Mi Internet Explorer quedó con dos barras estilo banner que aparecen automáticamente dentro del campo de la página web, una es una especie de buscador que dice llamarse Search Explorer, que desaparece cuando direcciono otra página nueva, y otra barra banner en la parte superior con la insripción "globosearch.com" que aparece cuando direcciono cualquier página . Cuando termina de direccionarse la página que seleccioné yo, IE atomáticamente vuelve a buscar la página globalsearch.com, pero sólo sostiene el banner superior, sin dejar de mostrar mi página. Aclaro que no tengo seleccionada ninguna página de inicio del IE.

Al término de unos 15 minutos de conexión, atomáticamente se desconecta mi equipo del servidor y el módem comienza a marcar otro número raro, sin que yo dé ninguna orden. Lo cual me hace quitar el cable de conección del modem, de puro pánico.

Ya chequeé la ventana de conexiones a redes y no me aparece ninguna que yo no halla configurado. Esto hace todo más misterioso.

Por recomendación de los escritos anteriores, descargué de aquí un programa llamado Loop search, o algo así, que bajó un archivo uninstall.exe. Lo ejecuté y supuestamente hizo que el direccionamiento hacia globosearch.com no se concrete. Pero sigo teniendo los banners y se sigue desconectando automáticamente mi modem y marcando un número raro.

Por último, tengo un problemilla medio viejo, creo, que es que la ventana de conexión al servidor se abre permanentemente, en cualquier momento y por más que quiera cerrara, por momentos es casi imposible, porque vuelve y vuelve.

En fin, amigos, qué hago con todo esto?

Agradezco toda ayuda posible y pido mil disculpas por la lata y la extensión.

Saludos
 
A

Arwing

Guest
#2
Descarga el programa HijackThis 1.99.0 y crea un Log con él, y publicalo aquí, en este post, cópialo y pégalo.

Arwing
 

Giraldo

Nuevo Miembro
Miembro
#3
Arwing, aquí te lo envío:

Logfile of HijackThis v1.99.0

Scan saved at 11:17:37 p.m., on 16/12/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTTRAYAPP.EXE

C:\WINDOWS\SYSTEM\CMD64.EXE

C:\WINDOWS\SYSTR.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE

C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\Monwow.exe

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\WINOA386.MOD

C:\WINDOWS\NOTEPAD.EXE

C:\INSTALS\HIJACKTHIS 1.99.0\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sureseeker.com/search.htm

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)

F1 - win.ini: run=hpfsched

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\SYSTEM32\POPUP_BL.DLL

O2 - BHO: (no name) - {8BFC1FC1-4C93-11D9-B91A-444567DD0EA7} - C:\WINDOWS\SNNPAPI.DLL

O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\IETLBASS.DLL

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: (no name) - {C1EA1782-8E6E-4ea4-9800-B68DE41F1A26} - (no file)

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IECUST.DLL

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [ConfigSafe] C:\CSAFE95\AUTOCHK.EXE

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART

O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [NPROTECT] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\nprotect.exe

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\cmd64.exe internat.dll,LoadKeyboardProfile

O4 - HKLM\..\Run: [SysTray] C:\WINDOWS\SYSTR.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [GhostStartService] C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE

O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE

O4 - HKLM\..\RunServices: [NPROTECT] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\nprotect.exe

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKCU\..\Run: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"

O4 - HKCU\..\Run: [wormexe] gabber.exe

O4 - HKCU\..\Run: [SAPSTR] ParisM.exe

O4 - HKCU\..\Run: [_ctcp] xwiz.exe

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Smart Sweep-Internet Sweep de CleanSweep.lnk = C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinsm32.exe

O8 - Extra context menu item: &GigaBar Serach - res://C:\WINDOWS\ESCRITORIO\GIGASOFT.DLL/MENUSEARCH.HTM

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: http://*.63.219.181.7

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab

O18 - Filter: text/html - {8BFC1FC0-4C93-11D9-B91A-44450891AB3C} - C:\WINDOWS\SNNPAPI.DLL

O18 - Filter: text/plain - {8BFC1FC0-4C93-11D9-B91A-44450891AB3C} - C:\WINDOWS\SNNPAPI.DLL

Gracias por tu ayuda y por tu tiempo.

Saludos giraldos.
 
A

Arwing

Guest
#4
Si, ya veo que estás siendo afectado por unos cuantos malwares.

Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:Manual pasos a seguir para el uso HijackThis

Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):

C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE

C:\WINDOWS\SYSTR.EXE

C:\Archivos de programa\WareOut\WareOut.exe

gabber.exe

ParisM.exe

xwiz.exe

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sureseeker.com/search.htm

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R3 - URLSearchHook: (no name) - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL

O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\SYSTEM32\POPUP_BL.DLL

O2 - BHO: (no name) - {8BFC1FC1-4C93-11D9-B91A-444567DD0EA7} - C:\WINDOWS\SNNPAPI.DLL

O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\IETLBASS.DLL

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL

O3 - Toolbar: (no name) - {C1EA1782-8E6E-4ea4-9800-B68DE41F1A26} - (no file)

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IECUST.DLL

O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART

O4 - HKLM\..\Run: [SysTray] C:\WINDOWS\SYSTR.EXE

O4 - HKCU\..\Run: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"

O4 - HKCU\..\Run: [wormexe] gabber.exe

O4 - HKCU\..\Run: [SAPSTR] ParisM.exe

O4 - HKCU\..\Run: [_ctcp] xwiz.exe

O8 - Extra context menu item: &GigaBar Serach - res://C:\WINDOWS\ESCRITORIO\GIGASOFT.DLL/MENUSEARCH.HTM

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: http://*.63.219.181.7

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab

O18 - Filter: text/html - {8BFC1FC0-4C93-11D9-B91A-44450891AB3C} - C:\WINDOWS\SNNPAPI.DLL

O18 - Filter: text/plain - {8BFC1FC0-4C93-11D9-B91A-44450891AB3C} - C:\WINDOWS\SNNPAPI.DLL

Y da click en el botón "Fix Checked"

Descarga el programa Disk Cleaner y úsalo para borrar todos los archivos temporales de tu computadora.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y carpetas y bórralos:

C:\WINDOWS\SYSTEM32\POPUP_BL.DLL

C:\IETLBASS.DLL

C:\ARCHIVOS DE PROGRAMA\MYWAY\

C:\WINDOWS\SYSTEM\IECUST.DLL

C:\WINDOWS\SYSTEM\P2P NETWORKING\

C:\WINDOWS\SYSTR.EXE

C:\Archivos de programa\WareOut\

gabber.exe

ParisM.exe

xwiz.exe

C:\WINDOWS\ESCRITORIO\GIGASOFT.DLL

C:\WINDOWS\SNNPAPI.DLL

Reinicia el sistema y prueba que tal te va ahora.

Por último, tengo un problemilla medio viejo, creo, que es que la ventana de conexión al servidor se abre permanentemente, en cualquier momento y por más que quiera cerrara, por momentos es casi imposible, porque vuelve y vuelve.
¿A qué ventana te refieres? ¿Qué aparece en la barra del Título?

Saludos

Arwing
 

Giraldo

Nuevo Miembro
Miembro
#5
Arwing:

Ante todo, muchísimas gracias por tu esmerada dedicación.

Veo que tengo mucha tarea para el hogar, así que continuaré con esto mañana.

Ya copié tu respuesta en un archivo de texto por las dudas, porque mi computadora está enloqueciendo. En un momento el IE empezó a abrir infinidad de ventanas (cuando estuve desconectado) y bloqueó la memoria, así que tuve que resetear. También bajé tu página de ayuda de procesos, que es excelente.

El cuadro de diálogo o ventana que se habre insesantemente cuando no estoy conectado o sin operar, o cuando apenas se inició el sistema es la "Conexión de acceso telefónico", la que uno usa para conectarse.

Nuevamente gracias, y espero contactarnos mañana.

Giraldo
 
A

Arwing

Guest
#6
También selecciona esta entrada en el Hijackthis

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\cmd64.exe internat.dll,LoadKeyboardProfile

Se me había pasado.

Y también borras el archivo

C:\WINDOWS\SYSTEM\cmd64.exe

Lo de la conexión de acceso telefónico no sabría decirte, nunca he tenido conexión por teléfono.

Saludos

Arwing
 

Giraldo

Nuevo Miembro
Miembro
#7
Arwing:

Todo parece andar de maravillas.

Tuve algúnos inconvenientes en los pasos a seguir, pero creo que fueron sorteados:

El Win98SE no cuenta con la opción de Restaurar el Sistema en la etiqueta indicada en tu web (sólo se indica para el WinME y para XP), así que decidí obviar esa instrucción. Parece no haber habido problemas.

En el Administrador de Procesos no figuraban los programas

gabber.exe

ParisM.exe

xwiz.exe

como tampoco sus archivos en algún directorio para borrarlos (no habías asignado ruta de acceso, busqué con el finder y no exitían)

Luego hubo cuatro archivos que no pude borrar porque el Windows decía que eran programas que estaban siendo utilizados:

C:\WINDOWS\SYSTEM32\POPUP_BL.DLL

C:\IETLBASS.DLL

C:\WINDOWS\SNNPAPI.DLL

C:\WINDOWS\SYSTEM\cmd64.exe

Así que decidí reiniciar en modo a prueba de fallos y así pude borrarlos.

Por ahora no ha vuelto a desconectarse el módem ni marcar un número extraño, que era lo que más me preocupaba, pero todo indica que no sucederá.

Desaparecieron las barras de globosearch.com, el IE responde y hasta me permite guardar páginas en formato mht, cosa que también se había trabado.

En fin, mil gracias. Es casi un milagro.

Lo que quería saber es cómo uno puede protegerse de los malwares, porque el antivirus no lo hizo.

Y por último, en qué foro puedo consultar sobre el problema de la ventana de "Conexión de acceso telefónico" que tanto me fastidia.

Nuevamente, gracias.

Saludos Giraldos
 
A

Arwing

Guest
#8
Lo de la Restauración del Sistema se me pasó. Los archivos que no encontraste ya no existían, sin embargo ahí quedaron sus rastros.

Para protegerte de los malwares puedes usar otro navegador, te recomiendo Firefox, pero de preferencia que no sea Internet Explorer. Quizá este artículo te interese: https://www.trucoswindows.net/navegador-netcaptor/.

También ten cuidado con las páginas que visitas, los programas gratuitos que descargas, los correos extraños que te llegan y actualizar tu sistema para fallas críticas e importantes.

También puedes realizar de vez en cuando un escaneo con Ad-Aware y SpyBot.

Lo del problema de conexión telefónica pregúntalo en el foro de Windows 98.

Saludos

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie