spyware imposible de eliminar??

:oops:

llevo 2 semanas intentando eliminar un programa o algo asi que se autoejecuta cuando quiere.
los sintomas son claros y visibles: cada cierto tiempo (no parece tener un tiempo fijo), abre el internet explorer, redimensiona la ventana a mas pequeña y pone que se ha detectado 7 spywares , que pulse para solucionarlo. la ventana en cuestion es una imagen ya que pone que el sistema operativo detectado es windows xp, y en realidad yo tengo win98se.en la barra de direcciones aparece una direccion de globosearch.com.

los pasos que he seguido para eliminar esto es:
1.- he pasado varios programas antiespias actualizados: spybot, adware, pestpatrol, spysweeper, aluria
2.- he pasado varios programas antivirus: smartcop, drweb.
3.- he pasado un antitroyanos: the cleaner

me han detectado varias cosas (los antiespias) pero nada se ha solucionado, y y siguen abriendose la puñetera ventana.

tambien he probado a cambiar de navegador, y he puesto el opera y el firefox. los he puesto alternativamente como navegadores alternativos para que el internet explorer dejara de serlo,y... sorpresa.¡seguia abriendose esa web pero con el navegador que ponga como por defecto.

¿que puedo hacer? ¿alguna sugerencia?
debe de ser algun programa que arranca con el sistema, pero en el msconfig no veo nada raro.

por favor ayuda.
saludos

a mi me pasa algo parecido...
a veces se me coloca una p*ta ventana que me dice que se han detectado archivos troyanos y qye pulse por una solucion antispyware, ademas a veces me coloca una pequeña barrita en la parte de abajo del navegador con varias opciones y
dice algo asi como: "Related Info: hp, spam, security mirrors, part poker.com, inclome tax y casino online game". Todas sus pinches opciones me llevan a esta direccion:
http://www.heretofind.com/show.php?id=104&q={el texto del enlace}

Alguien sabe como diablos eliminarlo???

Ah! olvide mencionar que a veces tambien via DOS indica que no se que archivo no se encuentra o algo asi... son unos pantallazos que ya me tienen podrido...

a mi, de repente se abre solo el navegador poniendome que me han detectado 7 spywares que pulse alli que me lo van a solucionar (?).

la cuestion es que creo que he probado de todo, incluso acabo de intalar la ultima version del spybot 1.3.2b y no me detecta nada. tambien he probado otro antivirus (nod32v2) pero tampoco me dice nada.

¿alguien puede ayudarnos?

saludos

Logfile of HijackThis v1.97.7
Scan saved at 11:37:46, on 29/11/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SLAVE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\MEMORYBOOST\MEMORYBOOST.EXE
C:\ARCHIVOS DE PROGRAMA\PESTPATROL\PPCONTROL.EXE
C:\ARCHIVOS DE PROGRAMA\PESTPATROL\COOKIEPATROL.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE
C:\PROGRAM FILES\FARSTONE\RESTOREIT_98\VBPTASK.EXE
C:\LOTUS\ORGANIZE\EASYCLIP.EXE
C:\LOTUS\REGISTER\REMIND32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\MENU\CLEAN\HIJACKTHIS CONTROLAADIE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [MemoryBoost] "C:\Archivos de programa\MemoryBoost\MemoryBoost.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\FarStone\RestoreIT_98\VBPTASK.EXE" VBStart
O4 - HKLM\..\RunServices: [RA Server] C:\WINDOWS\Slave.exe
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Archivos de programa\Eset\nod32krn.exe"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe
O4 - Startup: Lotus SmartSuite 9.6 - Español Registro.lnk = C:\lotus\register\remind32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = telefonica
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.5.64.2,195.5.64.6

a mi tambien me aparece esa madita ventanita de los 7 spywares...
este es el log de mi maquina:

Logfile of HijackThis v1.97.7
Scan saved at 11:15:00, on 29/11/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\system32\crypserv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
C:\Archivos de programa\Network Associates\VirusScan\Webscanx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mdm.exe
C:\WINNT\system32\PwsTray.exe
C:\pcarvajal\Mis Documentos\Software\w2k\aiepk2.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\ARCHIV~1\MICROS~2\Office\OUTLOOK.EXE
C:\Archivos de programa\Archivos comunes\System\MAPI\3082\nt\MAPISP32.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\DOCUME~1\P_CARV~1\CONFIG~1\Temp\bnii.dat
C:\pcarvajal\Mis Documentos\downloads\HJ\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy_eft2:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 166.110.95.199 Elfos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PWSTray] PwsTray.exe
O4 - HKLM\..\Run: [aiepk] C:\pcarvajal\Mis Documentos\Software\w2k\aiepk2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ntldr] C:\WINNT\system32\ntldr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [RealPopup] "C:\Archivos de programa\RealPopup\RealPopup.exe" BOOT
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Corel Network monitor worker (HKLM)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
O9 - Extra button: Flash (HKCU)
O9 - Extra button: Corel Network monitor worker (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
O12 - Plugin for .UVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...231.3970833333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A805F68-A8E0-4073-B1A4-9EBEC88CCE0A}: Domain = finandes.cl
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A805F68-A8E0-4073-B1A4-9EBEC88CCE0A}: NameServer = 152.139.22.228,152.139.22.229

no encontro nada de nada.
¡menudo misterio!

mas datos a aportar:
instale el kerio firewall
cuando se va a abrir el navegador , me dice que este se intenta conectar a la siguiente direccion:

17528.ds.nac.net (216.118.117.68)

no se si esto sirve de algo pero es otro dato para intentar acabar con esta lacra.

El tema esta un poco confuso ya que son dos log y es medio complicado contestar ya que el server de FDW esta teniendo problemas.

Les sugiero que se actualicen a la ultima version del Hijackthis 1.98.2 y peguen sus logs por separdado en este enlace http://www.infospyware.org/viewforum.php?f=8

Salu2

estoy desesperado (casi a punto de formatear y reinstalar todo (labor de chinos))


Logfile of HijackThis v1.98.2
Scan saved at 13:43:28, on 01/12/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\PESTPATROL\PPCONTROL.EXE
C:\ARCHIVOS DE PROGRAMA\PESTPATROL\COOKIEPATROL.EXE
C:\PROGRAM FILES\FARSTONE\RESTOREIT_98\VBPTASK.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\LOTUS\ORGANIZE\EASYCLIP.EXE
C:\LOTUS\REGISTER\REMIND32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\MENU\CLEAN\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\FarStone\RestoreIT_98\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe
O4 - Startup: Lotus SmartSuite 9.6 - Español Registro.lnk = C:\lotus\register\remind32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = telefonica
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.5.64.2,195.5.64.6

lo ultimo que he instentado es reinstalar el windows por encima del ya existente. conservo todos los programas configuraciones y tambien el puñetero spyware en cuestion.
ahora mismo estoy bastante desesperado. creo que optare por formatear de cero y reinstalar todo , aunque es una labor en mis caso de chinos (por mis conocimientos mas que nada y porque no se donde estan los drivers de este equipo fujitsu un poco antiguo ya) el equipo no es mio es de un amigo por lo que no puedo tenerselo ya muchos mas dias...
¿que opinais? ¿no creeis que aunque muy latoso y dificil puede ser la mejor solucion para un spyware que en principio parece imposible de eliminar?

me vendria muy bien vuestra opinion

ante todo muchisimas gracias por toda vuestra ayuda.
al final el spyware me ha podido, me he rendido, y he formateado para ir reinstalando todo de nuevo (estoy por intentar pasarme a linux que parece que es inmune a todas estas plagas...)

gracias por todo
un abrazo
:lol:

Bueno hay que buscar un archivo
popup_bl.dll
puede estar en
%SYSTEM_ROOT%\system32
(windows\system32)

y luego buscar con el regedit las entradas que tengan
el nombre popup_bl.dll

antes de hacer todo esto no hay que tener ninguna ventana activa
del internet explorer

Saludos...