Tema: spyware imposible de eliminar?

[FatsGordon]

backkust, fijate que el HT que tenés no es la última versión. Por favor actualizala y volvé a publicar el log (creo que la última es la 1.98.2, podés bajarla de http://computercops.biz/zx/Merijn/hijackthis.zip , por ejemplo (y si no, podés ir a http://www.spywareinfo.com/~merijn/downloads.html y elegir otro sitio de bajada).

[backkust]

¿como puedo postear una imagen gif o jpg que tengo grabada en el escritorio del ordenador que tiene que ver con este problema?



Logfile of HijackThis v1.98.2
Scan saved at 17:30:39, on 29/11/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SLAVE.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE
C:\PROGRAM FILES\FARSTONE\RESTOREIT_98\VBPTASK.EXE
C:\LOTUS\REGISTER\REMIND32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\MENU\CLEAN\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [MemoryBoost] "C:\Archivos de programa\MemoryBoost\MemoryBoost.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\FarStone\RestoreIT_98\VBPTASK.EXE" VBStart
O4 - HKLM\..\RunServices: [RA Server] C:\WINDOWS\Slave.exe
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Archivos de programa\Eset\nod32krn.exe"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe
O4 - Startup: Lotus SmartSuite 9.6 - Español Registro.lnk = C:\lotus\register\remind32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = telefonica
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.5.64.2,195.5.64.6

[destroyer]

hola:
  la imagen tendrias que subirla a un alojamiento web y despues enlazar aqui su direccion para verla..

En este post tienes la informacion y un lugar donde subirla, por si te es de ayuda amigo.

http://www.daboweb.com/phpBB2/viewtopic.php?t=9194

Un saludo

[backkust]

posteo exactamente la imagen que me sale..

[/img]

[FatsGordon]

Con respecto a la imagen, parece como si tuvieras algo, pero vamos a los hechos:

Parece que la entrada O4 - HKLM\..\RunServices: [RA Server] C:\WINDOWS\Slave.exe correspondería a un virus.

Lo que tendrías que hacer primero, si no lo hiciste ya, es correr un AV online, como el Panda y el Symantec:

Symantec:

http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym

Panda:

http://www.pandasoftware.es/activescan/

O en Kaspersky ( http://www.kaspersky.com/scanforvirus ), ingresando C:\WINDOWS\Slave.exe en la casilla que dice Online Virus Scanner y apretando Submit.

Para más datos sobre este virus, podés consultar en:

http://securityresponse.symantec.com/avcenter/venc/data/remacc.raserver.html

Si no lo tenés, te aconsejo que de inmediato te consigas un firewall (yo uso el de Sygate, es gratuito y es bueno).

Una vez limpia la máquina, o al menos controlada, volvé a postear un log de HT.

[backkust]

es un programa que yo he instalado.
su mision es poder controlar remotamente mi maquina (menajerla a traves de internet). es algo asi como vnc, pero no necesito saber la direccion ip de mi maquina.

tengo uno de los mejores antivirus, el nod32 v2 y no detecta nada extraño.
he pasado adicionalmente el paranoico s-cop y el drweb.

nada extraño se encontro y sigo con problemas
   

[backkust]

el slave.exe, forma parte del programa Remote Anything, y es un programa de pago cuya funcion he detallado arriba.
comprendo que muchos digan que es un virus o una infeccion, porque de hecho el pestpatrol me lo detecta como tal y es normal, me explico:

si estuviera instalado en el ordenador sin yo saberlo, si seria un gran problema porque da acceso total a mi maquina e incluso de forma silenciosa, pero en este caso lo he instalado yo. es un programa que solo utiliza un puerto tcp y nada mas.

resumiendo: ese no es el problema.
¿alguna otra sugerencia?

estoy ahora mismo actualizando el windows98se con los ultimos parches de microsoft. ya os contare en unos minutos...

[backkust]

y sigue fallando. he descargado e instalado todos los parches que tiene microsoft para 98se y nada.

ayuda
esto ya parece un problema a solucionar con un formateo , y solo pensarlo me agobio.

saludos

[destroyer]

hola:
  ¿Has comprobado si en el administrador de dispositivos aparece alguna aplicacion nueva cuando te muestra esa pantalla?

Una duda personal...  ¿Por qué el 98lite?

Un saludo

[backkust]

antes de nada deciros que windows 98se, poer 2 motivos.
1 porque la maquinas es digamos "justita" y nunca podria instalarle un xp o algo asi
2  porque en concreto tengo un programa en cd que solo me funciona con 98 y es imposible hacerlo funcionar con xp ni siquiera en modo compatibilidad. es un programa tecnico para diseño de riegos

al tema (esto de verdad que ya es un desafio de narices)
hoy he amanecido con ganas de cargarme esta mierd...
acabo de instalar un firewall a ver si salta la liebre, pero hasta ese momento he razonado (no se si esta bien razonado) que supongo que hay un programa residente o algo residente en memoria que cuando quiere abre el navegador por defecto y pone esa pantalla posiblemente descargandola directamente de internet.
razonado esto he abierto un pequeño programa que me dice que tengo ejecutando en mi pc aunque aparentemente no este visible (no exactamente todos los procesos, solo los programas)
el resultado es el siguiente: (pongo solo lo que desconozco)

CPCLASS13

ASWANASYNC

DDE SERVERWINDOW (aparece 3 veces)

IHW2

MS_WEBCHECKMONITOR

OLECHANNELWND (aparece 2 veces)

OLEMAINTHREADWNDNAME (aparece 4 veces)

PPCT_ST


¿que son estas cosas?
aclarar que con este programa solo puedo ver y cerrar estas cosas pero no me dice la ruta de donde estan o si las ejecuta a su vez algun otro programa.
ninguna de estas cosas aparece en el msconfig (en el arranque)
ninguna me suena de nada

¿alguna idea?
¿sirve de algo esto?