Como sacar estos spyweres... ¿?

NicoJK · #1 (**permalink**) 14/04/2005, 00:06

Hola, tengo problemas con un ADWARE o Spywere que se me instalo en la maquina.
Lo que paso fue que me salio una pantalla diciendo que habia una nueva version del MSN PLUS 3 nueva, y yo la instale pero despues de intalarla me acorde que me habian dicho que no debia intalar eso. Y bueno instalo varios spywere, pagina de inicio, etc... que prove sacarlos con: Ad-awere, CWShredder y Microsoft antyspywere beta. pero ninguno de los 3 pudo quitarme "todo" el problema.

Uno de los problemas que no pude sacar es una barra de busqueda que agrega al escritorio de windows .... cuando se usa el IE por primera vez en cada sesion (es azul y dice, casino, games, y todas cosas asi) cuya pagina es: http://mysearchnow.com/passthrough/newpass2.html

y otro problema es que me agrego muchos accesos directos a favoritos, pero no se pueden eliminar, por que no se encuentran en la carpeta favoritos y tampoco se les puede poner click derecho eliminar, no se de donde sacarlos y tampoco los detectan esos programas que he provado.

Bueno si tienen alguna sugerencia me seria de gran ayuda! Gracias!
La pagina esta genial, ya me ha ayudado varias veces, pero esta vez no encontre la solucion.

Salu2
Nico

budoukai · #2 (**permalink**) 14/04/2005, 08:43

instalate un firewaaaalll y niega el acceso al Ip remoto que saldra.. luego usa el antivirus, que es probable que sea uno de esos. LUego cheka haciendo ctrl+alt+del para ver que aplicaciones tienes (administrador de tareas / procesos) y fijate en cada una de ellas, y si ves algun .exe que no habias visto antes, buscalo en google para ver su definicion.

NicoJK · #3 (**permalink**) 14/04/2005, 15:37

Gracias por el consejo, pero todavia no he podido eliminar esos 2 problemas que me causa el virus, la barra que me abre al iniciar el IE y los archivos de FAVORITOS, ya saque la opcion para restaurar el sistema y pase los antivirus-antispywere que tengo en "modo seguro" y normal, pero no hay manera de sacarlos, el Ad-awere detecta un virus llamado "lob" creo, y hay un archivo en c:\Documents and settings\.....\configuracion local\temp\..... que el Ad-Awere lo detecta y parece eliminarlo pero se vuelve a crear.
Por favor, alguien que me de una solucion, por que es insoportable esto. El problema vino de intalar eso de MSN plus que mensione en el primer mensaje.

Muchas gracias!!

vbx3m · #4 (**permalink**) 14/04/2005, 17:23

Hola, primero revisa en msconfig.exe la pestaña de Inicio a ver si de repente uno de estos esta por ahi para deshabilitarlo sino aparece entonces esta en el registro propio... Esos spywares utilizan unas dll´s que (algunas) son faciles de eliminar y otras las debes eliminar desde fuera, es decir utilizando una unidad (esclava o secundaria) o a traves del Knoppix que para esto sirve de mucho... A mi tambien me infectaron varios spywares... En este hilo http://www.forosdelweb.com/f66/cambio-pagina-inicio-automatico-288524/ de un tema de este foro expuse como hice para eliminarlos si quieres checalo... Cualquier duda me avisas...

NicoJK · #5 (**permalink**) 14/04/2005, 22:06

Bueno he salido al modo a prueva de fallos/modo seguro, he pasado el Spysweeper y el ad-awere y el norton antivirus 2005, elimine todos los archivos temprales de internet, tambien los que se encuentran en la carpeta Temp dentro de "configuracion local", elimine qukies y todo, luego inicie windows normal y volvi a pasar los antispywere pero el prolema persiste, sigue apareciendo esa barra cada vez iniciado el IE y siguen esos archivos en Favoritos.
No se que mas hacer, por favor, mas soluciones.

salu2
gracias!

NicoJK · #6 (**permalink**) 14/04/2005, 22:20

Aca les dejo el Log

Logfile of HijackThis v1.99.1
Scan saved at 12:42:12 a.m., on 15/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Archivos de programa\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
c:\archiv~1\intern~1\iexplore.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Nicolas\Escritorio\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dfcpxjxzbymgmsyzn.com/GUi...t4Y7Rz9g_l.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LOGO INTRA THUNK HOPE] C:\Documents and Settings\All Users\Datos de programa\new mp3 logo intra\Firstacid.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [rdrclock] C:\DOCUME~1\Nicolas\DATOSD~1\STOPHE~1\01 Data Real.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110427277044
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

elpiedra · #7 (**permalink**) 14/04/2005, 22:27

Del HijackThis la unica entrada que podes darle FIX es la R1 pero lo mas seguro que se regenere nuevamente ya que el log no esta mostrando los archivos que infectan por detras.

Vamos a probar una nueva herramienta, que es un rastreador de virus con el motor de Kaspersky, que se llama MWAV.exe .

Esta herramienta no elimina en su versión gratuita pero genera un log, el cual puedes pegar aqui para que lo analicemos. Este log es muy largo, por lo que te pido que no lo copies entero, pega sólo las entradas reconocidas como infectadas.

Salu2

NicoJK · #8 (**permalink**) 17/04/2005, 23:01

Bueno he dejado pasar unos dias perdon!, "elpiedra" aca pase el "MWAV.exe" y me encontro estas 4 entradas infectadas!

File c:\docume~1\nicolas\config~1\temp\efojynlo.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.
File C:\DOCUME~1\ALLUSE~1\DATOSD~1\NEWMP3~1\FIRSTA~1.EX E infected by "not-a-virus:AdWare.Lop.p" Virus. Action Taken: No Action Taken.
File C:\DOCUME~1\Nicolas\DATOSD~1\STOPHE~1\01DATA~1.EXE infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOCUME~1\Nicolas\CONFIG~1\Temp\efojynlo.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

El archivo que esta en TEMP ese llamado efojynlo, es un archivo que el Ad-awere tambien lo detecta, pero el archivo se vuelve a crear con diferente nombre, asi todo el tiempo no se como se podria eliminar, una vez me paso lo del SE.exe que no se podia eliminar tampoco pero este no cambia su nombre, el que tengo yo ahora si.

Bueno a ver que solucion hay para esto, salu2!!!

elpiedra · #9 (**permalink**) 18/04/2005, 08:15

Hola, si el archivo de los Temporales cambia de nombre tenes que hacer un nuevo escaneo antes de eliminar nada.

Para eso esta vez inicia el sistema pulsando F8 y entra en modo a prueba de fallos (modo seguro) le haces el escaneo y vas a buscar las entradas para borrarlas manualmente.

File C:\DOCUME~1\ALLUSE~1\DATOSD~1\NEWMP3~1\FIRSTA~1.EX E

File C:\DOCUME~1\Nicolas\DATOSD~1\STOPHE~1\01DATA~1.EXE

File C:\WINDOWS\_MSRSTRT.EXE

Tambien busca y borra que archivo aleatorea y hacele un escaneo con HijackThis para borrar la entrada R1.

Reinicia y hacele un escaneo online con "Trend Micro Antivirus Online"

Salu2

NicoJK · #10 (**permalink**) 18/04/2005, 23:52

GRACIAS GRACIAS!, muchas gracias "elpiedra" al fin pude sacar todo tipo de virus ya no tengo mas esos archivos en favoritos ni la barra esa que aparecia, lo que si cuando pase el "Trend Micro Antivirus Online" encontro un virus que ninguno de los otros programas habia detectado y cuando lo fui a eliminar, puse DELETE y no podia por que estaba en uso pero sali a modo seguro nuevamente y lo elimine manualmente. asi que al parecer ya mi pc quedo limpia de virus. ahora me voy a cuidar mas con esas cosas.

Gracias de nuevo!
salu2!

Asta la proxima!

elpiedra · #11 (**permalink**) 19/04/2005, 09:31

Me alegra que lo solucionaras y nos quede como referencia para casos similares.

Salu2