¿Eliminación completa de Spyware? | Registro de HijackThis | Dudas generales

jam1138 · #1 (**permalink**) 26/01/2007, 03:34

Acabo de salir de una invación de Spyware y de la poseción de mbuscas.com como página de inicio del explorer. Les comento lo que realizé y dejo el registro de HijackThis por si alguien ve algo mal.

Ante todo gracias a forospyware.com. Me leí varios casos y de ahí fue que hice lo siguiente:

- Apagar "Restaurar Sistema", mostrar "Archivos Ocultos", entrar en "Modo a Prueba de Fallos". Ejecuté...

-- AVG-AntiSpyware; eliminó varios "TrackingCookie", la publicidad seguia
-- DelPSGuard que leí eliminaba el problema... pero no detectó nada
-- Spybot y sí me eliminó algo... C:\WINDOWS\system323\IEXPLORER.exe

> aquí fue que desapareció la publcidad pero mbuscas.com seguía como página de inicio.

- Ejecuto HijackThis y doy "Fix checked" a:
-- R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mbuscas.com/buscador.php?id=2
-- Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Archivos de programa\Paltalk Messenger\Paltalk.exe (file missing)

> PalTalk es un software que recién había eliminado.

- Elimino el archivo C:\WINDOWS\system32\RUNDDLL32.exe

- Paso por dos antivirus on-line (Panda y Kaspersky).

- Ejecuto Disk Cleaner... lo desinstalé inmediatamente después; no le veo "chiste"

- Ejecuto RegSeeker varias ocasiones... hasta quedar con tres registros que no se pueden eliminar:

- Instalo SpywareBlaster...

Jamás había pasado algo así

... espero al menos no volver a ver algo así. Dejo el registro de HijackThis después de todo esto:

Cita:

Logfile of HijackThis v1.99.1
Scan saved at 01:19:59 a.m., on 26/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/customize/ie/...arch.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mx.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O16 - DPF: {036F8A56-0BC8-4607-8F98-D3231E6FF5ED} (CentraUpdaterAxCtl Class) - http://centraus2.englishtown.com/Sit...aUpdaterAx.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish...an_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1164605336828
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

... espero todo este en órden y no volver a ver la publicidad. Ahora solo queda preguntar:
- ¿Qué hay con esos registros que RegSeeker no elimina?
- Justo ahora no me va JavaScript con FireFox (ya revisé, esta activado) ¿algún síntoma conocido de todo lo realizado?
- De todo esto termino con AVG Anti-Spyware, SpywareBlaster, SpyBot y HijackThisa instalados. ¿Es absolutamente necesario todo esto?.

Gracias de antemano a quien me aporte un poco de orientación... yo quedé desgastado

.

Gpastor · #2 (**permalink**) 26/01/2007, 10:17

Hola, el log está limpio, solo hay una entrada innecesaria por reparar, cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a esta entrada:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

Cita:

- ¿Qué hay con esos registros que RegSeeker no elimina?

Las entradas que Regseeker no ha podido eliminar no pertenecen a infecciones por lo que no deberías preocuparte, ahora si aún así deseas eliminarlas puedes ir directamente al regedit y copiar la ruta de la clave de registro (clic derecho-->copiar nombre de clave) para luego eliminarla con RegAssassin, claro no sin antes hacer una copia del registro para evitar "accidentes".

Cita:

- Justo ahora no me va JavaScript con FireFox (ya revisé, esta activado) ¿algún síntoma conocido de todo lo realizado?

Mbuscas no inhabilita javascript ni nada similar, en todo caso puedes intentar descargando la extensión para Firefox NoScript y permitir los scripts en las páginas que desees, este debe ser un problema secundario probablemente producto de la limpieza.

Cita:

- De todo esto termino con AVG Anti-Spyware, SpywareBlaster, SpyBot y HijackThisa instalados. ¿Es absolutamente necesario todo esto?.

AVG Antispywares en su versión de prueba dura 30 días con todas sus funciones, pasado ese periodo el residente en memoria se desactiva pero sus demás funciones siguen operativas, te recomendaría que lo tengas instalado.

SpywareBlaster te protegerá de ActiveX maliciosas de manera silenciosa, también te recomiendo que lo mantengas instalado.

Spybot te servirá para realizar escaneos y también puedes activar su residente Tea Timer para proteger los cambios en el registro, esto es opcional.

Hijackthis te será necesario en este tipo de casos siempre y cuando sepas interpretar su log, en todo caso no te consume recursos ni nada parecido , si deseas lo puedes desinstalar hasta una nueva oportunidad.

Saludos

jam1138 · #3 (**permalink**) 27/01/2007, 06:11

Antetodo, gracias por la ayuda.
He eliminado la entrada que mencionas, hago caso a tus recomendaciones dejando en paz los registros y el software... el tema del problema con JS en Firefox resultó ser un poco más complicado; intentaré explicar a detalle.

Primero decir que detecté no funcionaba JS solo después de toda la limpieza (aún con Mbuscas funcionaba) aunque, sin razón aparente, ahora parece haberse corregido esto (ya funciona JS... al menos en este foro). Ahora he detectado otro problema al querer instalar extenciones de Firefox, entiendo igual por un problema con JavaScript (el que esté relacionado es muy posible):

En la consola tengo esto:

Cita:

Error: uncaught exception: Error de seguridad: El contenido en https://addons.mozilla.org/firefox/4042/ no puede cargar datos de http://releases.mozilla.org/pub/mozi...x+fl+zm+tb.xpi.

Error: e.location.getItemLocation(e.id) has no properties
Archivo Fuente: file:///C:/ARCHIV~1/MOZILL~1/components/nsExtensionManager.js
Línea: 4050

- Lo mismo pasa con cualquier otra extención.
- He verificado tengo permitido la instalación de extenciones desde esos sitios (el oficial).
- Esto sucede solo con una cuenta de usuario que es desde realizé la limpieza. Hay otra cuenta en la maquina donde no pasa esto y la única diferencia que le veo es lo de la limpieza

...

Por otra parte, en Internet Explorer hay problemas con Flash Player solo en algúnos sitios; simplemente dice no esta instalado pero al ir a descargarlo compruebo que esto es falso.

Ejemplo:
- Youtube no lo detécta...
- Google Video funciona perfectamente.

Es de mi conocimiento algúnas páginas utilizan JavaScript para ofrecer contenido alterno a objetos Flash, sé que Youtube es uno de ellos, pensé ese podría ser el problema, pero con los demás sitios JS funciona perfectamente. He comprobado IE permita el contenido de animaciones (Herramientas>Opciones de Internet>Opciones avanzadas). He comprobado en SpywareBlaster este desactivado el "FlashKiller". En las animaciones que sí funcionan he comprobado tengo la versión más reciente (la 9,0,28,0)...

También relacionado (quizá debí comenzar por esto

) es que en el Panel de Control se muestra instalada la versión 8 pero... en realidad ¡no lo esta!:

- No tiene "Tamaño"
- Al dar click en quitar... no hace nada.

Espero no estar revolviendo temas, en realidad creo todo esto son "efectos secundarios" de la limpieza (¿demasiada?

).

Sí, he pensado en reinstalar Firefox y Flash (¿cómo lo desintalo correctamente?, ¿qué hay con aquella imágen de la ver 8?) pero lo haré solo después de "rendirnos"

, osea, que en definitiva no se tenga idea del por qué esto... al menos para sentar precedente si es que no lo hay. Mientras tanto, ojalá se pueda llegar a una solución.

Gracias por al menos leer hasta aquí

.

Gpastor · #4 (**permalink**) 27/01/2007, 14:46

Con respecto a las extensiones de Firefox, verifica escribiendo en la barra de direcciones about:config presionas Enter y busca la cadena xpinstall.enabled esta debe estar en true.

Con respecto a que no te detecta Flash en Youtube, supongo que también dice algo así como que no detecta javascript, te recomiendo descargar e instalar la versión mas reciente de java desde su página principal.

Saludos

jam1138 · #5 (**permalink**) 29/01/2007, 05:35

... Con Firefox y el problemas de las extenciones... encontré en bugzilla varias referencias a este comportamiento y dicho mensaje de error pero no revizé todo como para saber los motivos, lo haré con calma.

La cadena que mencionas esta activada. Comparé todos los valores referentes a xpi* con los que tengo en la sesión que si funciona y no había diferencias. Hice lo mismo con archivos de "profiles" de firefox pero igual no hayé diferencias... al final me cansé y lo que hice fue crear un nuevo "profile" y se solucionó. Para ello ejecutar con firefox cerrado:

Inicio > Ejecutar > firefox.exe -p

Por otra parte, un error similar, mismo comportamiento, que sí esta relacionado con problemas con este tipo de softwares:

Cita:

Firewalls or spyware screeners may cause this issue. If you use the CA firewall, Windows Defender, or the resident option of Spybot S&D ("Teatimer" feature), temporarily disable it to see if your system will now allow the extensions or themes to install [3].

[Error -228]

... pero no tengo activado el "Teatimer" (creo

)... más ahí queda la "coincidencia".

########################

Con IExplorer, en efecto, el mensaje que muestra me dice que, o tengo desactivado JavaScript o no tengo la última versión de Flash, ambas cosas son falsas. Lo único que se me ocurre que pueda estar pasando es que solo este bloqueando cierto código JavaScript

... pero ni idea de cómo pueda suceder eso. ¿Algúna forma de comprobar que "todo JS" me funciona? :-|

No entendí el por qué podría ser un probblema de JAVA, pero hice lo que me sugieres; desistalé desde el panel de control y lo reinstale... el problema sigue

.

Respecto a JAVA, un poco offtopic, según el enlace que me dejas la versión más reciente (y que tenia instalada) es la "5.0 Update 10", pero desde la página de SUN la versión más reciente es la 6

¿?. Probé con las 2 y en ambas me dió todo correcto en su página de verificación. Al final me quedé con la 6

.

En fin... que en serio no tengo ni la más mínima idea del problema con IExplorer :-/... salvo lo "del error" en el Panel de Control (FPlayer 8 instalada, que en realidad no lo está)

Gpastor · #6 (**permalink**) 30/01/2007, 09:52

Ya me causó dudas lo del MBuscas ya que acabo de ver un tema similar en Forospyware.

Con respecto a Java pues te recomendé instalar la versión mas reciente ya que vi un caso similar donde recurrieron a esa solución.

Trataré de ahondar mas en el tema en la medida de lo posible.

Saludos

jam1138 · #7 (**permalink**) 31/01/2007, 02:44

No sé por qué no se me había ocurrido antes, pero he entrado directamente a la película de Youtube que no se ve (cualquiera) y sí se muestra el contenido...
Ejemplo: http://www.youtube.com/player2.swf?v...dYc4ckOmP7gNCu

Entónces creo en definitiva esta relacionado con el bloqueo de JavaScript y la probabilidad de que alguno de estos softwares sea el causante "por seguridad" (tipo NoScript de FireFox)... Ahora pondré antención en identificar los sitios que me causen conflictos y ver su código para ver si encuentro un patrón.

Y sí, me estoy complicando pero no tengo ni idea de qué más hacer... ¿podrías dejar el enlace al tema que dices para igual seguirle la pista?

.

Gpastor · #8 (**permalink**) 31/01/2007, 14:04

Cita:

Iniciado por jam1138

¿podrías dejar el enlace al tema que dices para igual seguirle la pista?

.

Pues al menos en este caso se solucionó el problema

Saludos