Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: choche en 11 de Marzo de 2005, 02:42:48 am
-
Tengo un contacto q le salen varias ventanas y no se q son, ni si ha de hacer lo q dicen o no. Estas son las ventanas:
(http://www.imagegator.com/uploads/45a963d704.jpg) (http://www.imagegator.com)
(http://www.imagegator.com/uploads/0f4813ace7.jpg) (http://www.imagegator.com)
Tambien tiene o tenia (ya no sé) una barra añadida al internet explorer llamada hotbar, le dije q mirara en agregar o quitar programas y la eliminamos desde alli, pero ahora viendo los procesos de inicio me salen 2 de un hotbar, por eso ya no se si lo elimino bien o falta algo por eliminar o que.
Los procesos del hotbar dicen:
Item Name : Hotbar
Type : Browser Helper Objects
Command : C:\Archivos de programa\Hotbar\Bin\4.6.1.0\HbHostIE.dll
Disabled : No
Product Name : Hobar
File Version : 4.6.1.1447
Description :
Company : Hotbar.com Inc.
Location
File Created Date: 09/02/2005 10:54:17
Item Name : Hotbar
Type : Registry -> Machine Run
Command: C:\Archivos de programa\Hotbar\Bin\4.6.1.0\HbOEAddOn.exe
Disabled : No
Product Name: Hobar
File Version : 4.6.1.1447
Description :
Company : Hotbar.com Inc.
Location : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
File Created Date : 15/02/2005 7:36:30
Ademas de otro proceso llamado ErrorGuard que es el q le abre esas ventanas de arriba y no consigo encontrar mucho sobre el. Parece spyware pero no estoy seguro:
Item Name: ErrorGuard
Type : Registry -> Machine Run
Command : C:\Archivos de programa\ErrorGuard\ErrorGuard.Exe
Disabled : No
Product Name: Error Guard
File Version : 2.05
Description : Error Guard
Company : Error-Guard Inc.
Location :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
File Created Date : 08/03/2005 20:09:00
-
Yo creo mas bien q es un engaño del spyware.......no haria caso, pero si haria un scan con hijackthis para quitar la barra y alguna otra cosilla q tenga.....si quieres pegar aqui el .log yo mas o menos te ayudo a resolverlo......aunq no soy un profesional me defiendo :D
Un saludo :wink:
-
Mi contacto tiene conocimientos muy básicos con el pc, por lo q el hijackthis por el momento no quiero usarlo a no ser q me diga Fasts q sea necesario.
El ad.aware ya lo corrio y elimino todo lo q encontro. El problema es q esa ventana no hace más q salirle y no sabemos q es por lo q no sabemos q hacer para q no salga.
Respecto al hotbar lo eliminamos en su día desde agregar o quitar programas , pero anoche en la lista de procesos q me envio vi dos procesos sobre el hotbar y ya no estoy seguro si se elimino bien o es q quedan aun restos.
Por el momento le dije q desabilitara los procesos de inicio del hotbar y el errorguard.
-
Hombre, yo no digo q resuelva el el .log......pero errorguard es un spyware q se quita facilmente con hijackthis, al igual q la barra del navegador, supongo q te podra pasar un .log y tu pegarlo en el foro, luego para tu colega seguir las instrucciones q se le den no sera dificil :D
Aunq solo es una idea....
Un saludete :wink:
-
El hijackthis es un muy buen programa y por poner el log seguro que no te pasa nada, ponlo aqui para que lobodem2r lo lea y pueda aconsejararte bien, ademas que utilizandolo bien te aseguro que te ahorras muchos disgustos por no decir muchos formateos... :twisted:
-
Don choche!!! ¿Cómo anda?
Veamos ese log del HT. Fijate que sea la última versión, que creo que es la 1.99.1 ( http://www.merijn.org/files/hijackthis.zip ). Acordate de instalarlo en una carpeta propia, no lo dejes en la temporal.
El Sysinfo ( http://www.sysinfo.org/startuplist.php ) dice que el ErrorGuard.Exe es un "spyware remover of dubious repute", o sea de dudosa reputación, con lo que hay que sacarlo.
Hotbar es decididamente spyware, por lo que se lo debe eliminar sin más.
Iniciá la máquina en modo seguro ( F8 ) y corré el HT apretando el primer botón (por defecto). Luego copiá el log y publicalo aquí.
-
Despues de unos cuantos dias sin ver a mi contacto, hoy por fin lo he visto y hemos bajado el jijackthis. Lamentablemente no hemos hecho más pq se tenía q ir. A ver si pronto pongo el log :roll:
-
Choche, dile a tu amigo, que cuando en un pc sale la ventanita de "este equipo está en peligro, pincha aquí para solucionarlo" y esa solución pasa por instalar un programa, en este caso el Error Guard, nunca lo haga, vamos que nunca instale algo que de pronto salga en una ventana emergente, porque no puede ser nada bueno.
Ahora a la solución, según mis consultas, ese mensaje que le sale, es sólo una forma de recordarle que no ha pagado por ese programa (que en concreto cueta 30 $ y hay que pagar con tárjeta de crédito) y también, parece que el propio scan de Pang -on-line, lo soluciona.
Pero eso si, avisa a tu amigo para otras ocasiones
Saludos
-
Si eso le dije claro q cuando se lo dije ya lo habia instalado.
-
Logfile of HijackThis v1.99.1
Scan saved at 07:39:40 p.m., on 05/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\pctspk.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINNT\System32\Wins.exe
C:\WINNT\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINNT\System32\wuauclt.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\EDGAR PIMENTEL MORA\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com.mx/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Archivos de programa\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Archivos de programa\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Archivos de programa\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [WinampAgent] :C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] :C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ErrorGuard] :C:\Archivos de programa\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINNT\System32\gah95on6.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [MS Unix Binary] Wins.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] Wins.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS Unix Binary] Wins.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Archivos de programa\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Archivos de programa\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c8.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C0579D1-D21B-41FC-90E0-36675A28F78F}: NameServer = 10.37.60.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E93724A-E98E-449D-8412-D06AA0D0EA9D}: NameServer = 200.33.148.201 200.33.148.193
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: McShield - Unknown owner - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINNT\system32\pctspk.exe
-
genial choche, a ver si ahora se pasan por aqui lobodem2r o Fats, y resuelven "el caso"
os sio, amigos, un saludillo, Ikun.
-
Sé que ante la sabiduría de Fats, no tengo nada que hacer, (tampoco lo pretendo, claro) pero como te dije, el scan de panda on-line lo soluciona.
Saludos
-
Gracias por sus palabras, pero son exageradas. :oops:
choche, hacele caso a los que saben y pasá el Panda online. Te esperamos para que nos digas que todo ya está bien! :)
-
No Fats, revísale el log del HijackThis, puesto que tu, lo mismo que yo, has visto entradas tales como NavExcel Search, y alguna más que hay que dar fixed, y ya que se pone a hacerle limpieza que la haga en profundidad.
Y los elogios son merecidisimos :lol: :lol:
Saludos
-
Ok, le dire q pase el panda online. Pero lo del hotbar y si hay algo más como lo arreglamos?
-
Bueno, basta de esas cosas y empecemos a limpiar, que se nos viene la noche... ;)
Con respecto al ErrorGuard, mi consejo es que se lo desinstale, pero eso va en cada uno. Lo que yo encontré es:
http://www.sysinfo.org/startuplist.php?filter=ErrorGuard.Exe
ErrorGuard X ErrorGuard.exe Spyware remover of dubious repute
Si alguien sabe algo en contrario, por favor que lo reporte. No figura en la lista que mantienen actualizada 69anonimo69, dest y danae.
Por favor, que reinicie en modo seguro ( F8 ) y que marque todo lo que encuentre de lo que te muestro abajo (pero SOLO lo que te muestro, el resto que lo deje en paz):
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Archivos de programa\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Archivos de programa\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Archivos de programa\NavExcel Search Toolbar\NavExcelBar.dll
Si se optó por desinstalar el ErrorGuard, esta línea no debería estar:
O4 - HKLM\..\Run: [ErrorGuard] :C:\Archivos de programa\ErrorGuard\ErrorGuard.Exe
Si no se quiere desinstalar, por favor NO TOCAR dicha línea. Sólo hacerlo en el caso de que NO TENGA un desinstalador y haya que hacerlo manualmente.
Seguimos con el resto:
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINNT\System32\gah95on6.exe
O4 - HKLM\..\Run: [MS Unix Binary] Wins.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] Wins.exe
O4 - HKCU\..\Run: [MS Unix Binary] Wins.exe
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Archivos de programa\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Archivos de programa\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c8.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
Con respecto a los Lop.com domain hijacks (O17), en este preciso momento no puedo acceder a Google, por lo que no puedo saber si el rango de IP 200.33.148.201 200.33.148.193 es un rango válido o no. El primero parece de una intranet o un servidor de una LAN, no lo tocaría. En el caso de que no se sepa qué son ninguno de los dos, es decir, que no se los pueda asociar a un proveedor de internet (aparecen sólo cuando uno está conectado) o a una red LAN (la máquina es del trabajo), deberían ser eliminados:
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C0579D1-D21B-41FC-90E0-36675A28F78F}: NameServer = 10.37.60.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E93724A-E98E-449D-8412-D06AA0D0EA9D}: NameServer = 200.33.148.201 200.33.148.193
Lo que está en Rojo es adware, lo que está en Azul probablemente es virus o troyano.
Apretar Fix checked, cerrar el HijackThis y eliminar (sin reiniciar) los siguientes archivos y/o directorios:
C:\Archivos de programa\ShopperReports\
C:\Archivos de programa\NavExcel Search Toolbar\
C:\Program Files\Media Access\
C:\WINNT\System32\gah95on6.exe
Wins.exe
Si se optó por desinstalar el ErrorGuard, verificar que no exista más la carpeta C:\Archivos de programa\ErrorGuard\, si no, desestimar el comentario.
Ahora sí, reiniciar y publicar un nuevo log del HT.
-
Perdón, omití decir que deben poder verse TODOS los archivos, incluidos los ocultos o de sistema, y que el archivo Wins.exe hay que buscarlo. Probablemente se encuentre en C:\Windows o sus subcarpetas system o system32...