hijack attempt raro

emmperador · #1 (**permalink**) 07/09/2004, 22:34

hola señores detecte este espia por medio del adaware y creanme que he intentado de todo para eliminarlo pero nada. primero me redireccionaba a una direccion de msn, cuando esta estaba como inicio le corria el adaware y no detectaba nada, pero nomas era cuestion de poner manualmente la pagina en blanco del explorador y el adaware ya me detectaba el hijack attempt. y ahora ya no me cambia la pagina de inicio para nada pero el adaware me sigue detectando este espia. solicito ayuda porfavor he hecho todo lo aqui indicado en este foro y nada. anexo el log del hijack this para ver si un alma caritativa me ayuda. gracias

Logfile of HijackThis v1.97.7
Scan saved at 11:18:42 p.m., on 07/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\ARCHIV~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Documents and Settings\MARCELO\Escritorio\HijackThis.exe
C:\ARCHIV~1\MESSEN~1\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Papelera (HKCU)
O9 - Extra 'Tools' menuitem: Papelera (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

adj · #2 (**permalink**) 08/09/2004, 04:37

Hay un programita que lo puedes descargar desde la página programas-GRATIS.net y se llama Regseeker 1.3 ó 1.10 beta que es el que tengo yo y sirve para arrancar aquellos programas o entradas que de ninguna manera puedes quitar tu
Le pones el nombre de lo que te esta dando problema en buscar y listo solo tienes que eliminar esas entradas.
Antes de hacer cualquier cosa leete el archivo README.txt porque si te equivocas puedes tener serios problemas pero si lo usas adecuadamente es la herramienta perfecta para este tipo de problemas.

emmperador · #3 (**permalink**) 08/09/2004, 09:24

oyes adj lo ke pasa es ke no le entiendo bien al programa pero corriendole el adaware me señala esta llave S-1-5-21-682003330-1682526488-1060284298-1003\Software\Microsoft\Internet Explorer\Main en start page y aboutblank , de hecho siempre me señala que ahi esta el archivo espia pero de ahi si ya no se ke onda

saludos!!

elpiedra · #4 (**permalink**) 08/09/2004, 11:37

Cita:

Iniciado por adj

Hay un programita que lo puedes descargar desde la página programas-GRATIS.net y se llama Regseeker 1.3 ó 1.10 beta que es el que tengo yo y sirve para arrancar aquellos programas o entradas que de ninguna manera puedes quitar tu
Le pones el nombre de lo que te esta dando problema en buscar y listo solo tienes que eliminar esas entradas.
Antes de hacer cualquier cosa leete el archivo README.txt porque si te equivocas puedes tener serios problemas pero si lo usas adecuadamente es la herramienta perfecta para este tipo de problemas.

El RegSeeker es muy bueno yo lo uso a seguido en especial cuando elimino algún programa y quiero limpiar todo sus rastros pero no elimina spywares ni similares.

En cuanto al log del HijackThis lo único que podría ser puede ser esta cadena
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost

Ahora si el Ad-Aware lo reconoce ya es una ventaja, te recomiendo que primero lo actualices a ver si tenes la ultima versión Ad-Aware SE Build 1.04 y después mírate el Tutorial de Spywares y seguí los pasos para una buena eliminación sin saltearte ninguno.

Salu2
El Piedra