wtools persistente

Knoxville · #1 (**permalink**) 20/08/2004, 18:19

Hola compañeros, tengo el siguiente problema y me gustaria que me ayudarais, gracias de antemano.
Tengo el wtools y no existe manera humana de scaralo, he pasado todos los antitroyanos que recomendais y a continuacion os paso el log del hijack (este ultimo, no lo toco porque me da un poco de respeto) asi lo dejo en vuestras manos.

Logfile of HijackThis v1.98.0
Scan saved at 2:08:12, on 21/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\programas\Camara\LogiTray.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\juegos\valve\steam\steam.exe
C:\programas\MouseWare\system\em_exec.exe
C:\programas\Camara\FxSvr2.exe
C:\Archivos de programa\Archivos comunes\WinTools\WToolsA.exe
C:\Archivos de programa\Archivos comunes\WinTools\WSup.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Ivan\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: CnfSearch Class - {D7CD08F0-D691-11D8-9669-0800200C9A66} - c:\windows\system32\ConfuSearch.dll
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\ARCHIV~1\WinTools\WToolsB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\programas\Camara\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\programas\Camara\LogiTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [WinTools] C:\Archivos de programa\Archivos comunes\WinTools\WToolsA.exe
O4 - HKCU\..\Run: [Steam] "c:\juegos\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\programas\Camara\ManifestEngine.exe boot
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\programas\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\programas\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5A569B-7006-44EC-8759-F153A2F8FEDB}: NameServer = 80.58.0.33,80.58.32.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6182AE-6A36-4ABC-A893-434E829A3D58}: NameServer = 80.58.0.33,80.58.32.33

Por cierto tb he probado con el msconfig para evitar ke se cargue al iniciar y nasti de plasti se vuelve a crear otro.
Gracias de nuevo.

elpiedra · #2 (**permalink**) 20/08/2004, 18:55

Ok antes que nada anda a las propiedades de MiPC y apaga el Restaurar Sistema, despues reinicia el PC y pulsando la tecla de F8 selecciona en modo a prueba de fallos.

Despues marca y dale FIX a lo siguiente.

R3 - URLSearchHook: CnfSearch Class - {D7CD08F0-D691-11D8-9669-0800200C9A66} - c:\windows\system32\ConfuSearch.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\ARCHIV~1\WinTools\WToolsB.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [WinTools] C:\Archivos de programa\Archivos comunes\WinTools\WToolsA.exe
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\programas\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\programas\FlashGet\jc_all.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5A569B-7006-44EC-8759-F153A2F8FEDB}: NameServer = 80.58.0.33,80.58.32.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6182AE-6A36-4ABC-A893-434E829A3D58}: NameServer = 80.58.0.33,80.58.32.33

Los que te marque en rojo son los que pertenecen a el wtools que es el que queres borrar. busca alguna carpeta con el nombre WTools y boralla con su contenido.

Tambien tenes otros malware como ConfuSearch. y el FlashGet tambien tiene spyware te recomiendo que lo borres y que le pases el Ad-Aware

**Nota**
Hace una copia de seguridad del registro de win antes de borrar nada ok

Salu2

Knoxville · #3 (**permalink**) 20/08/2004, 19:31

Muchas gracias por todo, ha funcionado tal y como decias.
Un unico problema, si borraba estas entradas no renia acceso a internet.

17 - HKLM\System\CCS\Services\Tcpip\..\{6B5A569B-7006-44EC-8759-F153A2F8FEDB}: NameServer = 80.58.0.33,80.58.32.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6182AE-6A36-4ABC-A893-434E829A3D58}: NameServer = 80.58.0.33,80.58.32.33

Esas son las DNS que yo tengo establecidas, no se si te servira de algo.
De nuevo gracias y un salu2

elpiedra · #4 (**permalink**) 20/08/2004, 19:38

Sip

me olvide de comentarte que esas entradas te fijaras si eran realmente necesarias depende la conexión que tuvieras a internet.

Knoxville · #5 (**permalink**) 20/08/2004, 20:24

Ok todo solucionado muxas gracias.