Tema: Tiene esto arreglo?

[lormaetxea]

Hola a todos/as.

En la barra de inicio me aparece un mensaje constantemente comunicando la presencia de un spyware detectado por windows el cual no puedo sacar de ninguna manera. Por otra parte periódicamente aparece una ventana con la inscripción Warning, e invitando a conectarse a diferentes páginas web.

Tiene solución?

Logfile of HijackThis v1.99.1
Scan saved at 20:25:24, on 18/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\pavsrv51.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\AVENGINE.EXE
C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
C:\Archivos de programa\Creative\SBLive\Program\CTAvTray.EXE
C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\APVXDWIN.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe
C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\pavProxy.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\DOCUME~1\admin\CONFIG~1\Temp\Directorio temporal 4 para hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\admin\CONFIG~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.diariovasco.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telepolis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\admin\CONFIG~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Telepolis
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hp31B0.tmp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Archivos de programa\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [CTAvTray] C:\Archivos de programa\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\no-spy.exe" /autorun
O4 - HKLM\..\Run: [SpyAxe] C:\Archivos de programa\SpyAxe\spyaxe.exe /h
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Archivos de programa\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Abrir todos los vínculos de esta página... - C:\Archivos de programa\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Añadir a la lista negra de anuncios - C:\Archivos de programa\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Bloquear todas las imágenes del mismo servidor - C:\Archivos de programa\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Buscar - C:\Archivos de programa\Avant Browser\Search.htm
O8 - Extra context menu item: Destacar - C:\Archivos de programa\Avant Browser\Highlight.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Radio - {0D650009-BB48-4CB8-ABE4-79550E761428} - http://www.telepolis.com/centrales/musica/abreradio.htm (file missing) (HKCU)
O9 - Extra button: WebMail - {0FE88719-BA72-4FE4-89FF-8C7EF22E2577} - http://mail.telepolis.com/abrelogin.htm (file missing) (HKCU)
O9 - Extra button: Tu Móvil - {1E7E961A-6FB5-4BDD-B3F9-74845DF235EA} - http://moviles.telepolis.com (file missing) (HKCU)
O9 - Extra button: Tu Kiosco - {67E2F9F0-88E7-432C-8FC3-1CA001FA955B} - http://www.telepolis.com/cgi-bin/web/digital (file missing) (HKCU)
O9 - Extra button: Chat - {BB60D212-CD35-451C-8A6D-794A9330A03D} - http://www.telepolis.com/web/chat (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.telepolis.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130219349140
O17 - HKLM\System\CCS\Services\Tcpip\..\{22B6B7EA-62AE-4866-8AE9-A9E62235D81A}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{B819FCA2-39F1-4962-AC04-533CDB8879CE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{22B6B7EA-62AE-4866-8AE9-A9E62235D81A}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}
O18 - Filter: text/html - {B649D59D-29B4-41B0-A1ED-8707A6FE2E0A} - C:\WINDOWS\system32\efeokd.dll
O18 - Filter: text/plain - {B649D59D-29B4-41B0-A1ED-8707A6FE2E0A} - C:\WINDOWS\system32\efeokd.dll
O20 - AppInit_DLLs: c:\windows\system32\sqldbln.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\pavsrv51.exe

[Danae]

sigue estas instrucciones para pegar el log http://www.daboweb.com/foros/index.php?topic=13633.0
y sobre todo, el hijackthis ponlo en una carpeta sólo para él, es importante.


Ah!! y si tienes instalado, que lo veo el programa Sin espias, desinstalalo, es un falso antiespiware


Saludos

[klondike]

Por ahora:

Desactiva la opción restaura sitema


Inicia sesión en modo a prueba de fallos:


Limpia los archivos temporales


Pasa el adaware o el Spybot


Selecciona estas  entradas y dale a fix checked:

Código: [Seleccionar]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\admin\CONFIG~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\admin\CONFIG~1\Temp\se.dll/sp.html

O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hp31B0.tmp

Luego sube un nuevo log, que los expertos te digan como limpiar del todo tu pc


Espero haberte ayudado
KDK


Añado:

Sigue antes las inidicaciones de Danae

[Mr_X]

Pues tienes "clavado" el Smitfraud hasta los huesos... Revisa estas instrucciones para intentar eliminarlo...

[MClaud]

Parece que esta bastante mal, tienes about:blank como pagina principal y paginas que se abren solas qye envian información a servidores foraneos al margen de que tu pc debe estar una chancha.
La solución que yo haria es algo tediosa, si te animas a correr el riezgo te doy los pasos

Primero haste de mucha paciencia
Empieza por desinstalar spyaxe y no-spy
Descarga CleanUp para limpiar los temporales y cookies
Descarga Spybot y su actualización y correlo en modo seguro
Luego de ello usa el comando REGEDIT busca no-spy con Ctrl + B, elimina todas las entradas que aparezcan, igualmente las entradas de spyaxe
Sigue buscando ADBlacklist.htm en los registros
Elimina las entradas de Telepolis
Busca y elimina todas las entradas donde aparezca la dirección   80.58.0.33,80.58.32.97
Busca y elimina todas las entradas donde aparezca about:blank
Busca las entradas
Filter: text/html - {B649D59D-29B4-41B0-A1ED-8707A6FE2E0A} - C:\WINDOWS\system32\efeokd.dll
Filter: text/plain - {B649D59D-29B4-41B0-A1ED-8707A6FE2E0A} - C:\WINDOWS\system32\efeokd.dll
y eliminalas, luego de ello sales del editor de registros
Usa msconfig y en la pestaña inicio busca los programas spyaxe, no-spy y quita el check igualmente busca la direccion 80.58.0.33 ó 80.58.32.97
Reinicia la pc y busca los archivos sqldbln.dll y efeokd.dll y los eliminas
haz una nueva busqueda de about:blank en el editor de registros, solo por seguridad
Cambia la pagina de inicio de tu explorador y verifica que se haya corregido tu problema

[lormaetxea]

Hola.

Después realizar las instrucciones sugeridas este es el log que me queda. Sigo con el spyaxe.
Nuevas instrucciones? gracias.


Logfile of HijackThis v1.99.1
Scan saved at 19:29:06, on 05/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\admin\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AHQInit] C:\Archivos de programa\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [CTAvTray] C:\Archivos de programa\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Archivos de programa\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Abrir todos los vínculos de esta página... - C:\Archivos de programa\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Añadir a la lista negra de anuncios - C:\Archivos de programa\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Bloquear todas las imágenes del mismo servidor - C:\Archivos de programa\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Buscar - C:\Archivos de programa\Avant Browser\Search.htm
O8 - Extra context menu item: Destacar - C:\Archivos de programa\Avant Browser\Highlight.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130219349140
O17 - HKLM\System\CCS\Services\Tcpip\..\{B819FCA2-39F1-4962-AC04-533CDB8879CE}: NameServer = 80.58.0.33,80.58.32.97
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Antibirusa\pavsrv51.exe

[Mr_X]

Pasa un escaneo en línea del Ewido... Baja el Autoruns de Sysinternals, ejecuta el archivo AUTORUNS.EXE, ve al menú "Options" y marca las tres primeras opciones, tecla F5, menú "File", "Save as", dale un nombre y guárdalo, ahora abre ese archivo en el Bloc de notas, copia su contenido y pégalo en tu siguiente mensaje...