duda adware

neikex · #1 (**permalink**) 25/09/2004, 12:45

le pase al ordenador el adware se y me encontro entre claves del registro, files, etc unos 4 archivos cosa q me parece un poco exagerada, qisiera saber si todo lo q encuentra el programa se puede borrar sin causar ningun conflicto en el sistema o sin cargarse algun sistema de windows?? puedo borrarlos todos sin miedo?

neikex · #2 (**permalink**) 25/09/2004, 13:04

TAMBIEN LE PASE EL HIJACKTHIS Y EL LOG ES ESTE, EL PROBLEMA Q TEGO ES Q ME RALENTIZA MUXO LAS PAGINAS DE MANERA QUE A VECES INCLUSO ES IMPOSIBLE ABRIRLAS ADEMAS DE VEZ EN CUANDO ME APARECE UNA PAGINA DE JUEGOS Y SE ME APAGA LA CONEXION AUTOMATICAMENTE. SI ALGIEN PUEDE AYUDAME LO AGRADECERIA

Logfile of HijackThis v1.98.2
Scan saved at 20:58:58, on 25/09/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Nico\Escritorio\virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Archivos de programa\SideFind\sfbho.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Archivos de programa\ISTbar\istbar.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [svchost] windowsrx.exe
O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

elpiedra · #3 (**permalink**) 25/09/2004, 16:25

En cuanto a lo del Ad-Aware SE es muy seguro y todo lo que te muestra lo podes eliminar sin problemas, en todo caso tiene una manera de dejar los archivos en cuarentena o de restaurar los cambios realizados.

Te recomiendo que mires el Tutorial de Spywares y que sigas los paso de una buena eliminación.

Despues instálate todos los parches de seguridad de windows que veo que no tenes ninguno, directamente de windows update.

En cuanto al log del HJT con el restaurar sistema apagado, marca y elimina las siguientes casillas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Archivos de programa\SideFind\sfbho.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Archivos de programa\ISTbar\istbar.dll
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [svchost] windowsrx.exe

Tambien te recomiendo que elimines el MSN Plus que trae muchos problemas de ese estilo y que luego de eliminar todo esto que elimines en forma manual las cookies, el historial y los temporales de internet, al igual de poner una pagina de inicio a mano.

Salu2
El Piedra

neikex · #4 (**permalink**) 26/09/2004, 13:37

despues de quitar todo lo q me dijiste y borrar to los archivos q me encontrava el adware me queda esto en el log del hijackthis, las primeras claves se q estan bien pero de los 09 en adelante esas paginas no me suenan de nada y una de eyas se me abre a veces sola, esas casillas tb las tengo q mandar fix checked????

EL LOG ES ESTE:

Logfile of HijackThis v1.98.2
Scan saved at 21:20:27, on 26/09/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\soundman.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Nico\Escritorio\virus\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\eMule\emule.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...count_id=76081
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...count_id=76081
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SU B_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...count_id=76081
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msbb] c:\archivos de programa\180solutions\msbb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Publijuegos - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\pspa-pjuegos\local.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_ES_XP.cab
O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/esi/games3.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/Tria...1.0.0.2ie.cab?
O17 - HKLM\System\CCS\Services\Tcpip\..\{159D6282-2C91-4D2D-B9C6-7F59DF443B7B}: NameServer = 62.81.0.34 62.81.16.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{159D6282-2C91-4D2D-B9C6-7F59DF443B7B}: NameServer = 62.81.0.34 62.81.16.130
O18 - Filter: text/html - {C19FB5D3-A3C1-46C4-878D-8E235700DDEE} - C:\Documents and Settings\Nico\Configuración local\Datos de programa\microsoft\internet explorer\V0.15.dat

elpiedra · #5 (**permalink**) 26/09/2004, 13:51

Bueno primero que nada antes de eliminar nada tenes que entender que si no actualizas tu sistema operativo Windows y tu IE es muy probable que se te sigan metiendo virus y otras cosas.

Anda a Windows Update y si no queres ponerle el SP2 por lo menos carga el SP1 y todos los parches criticos.

Despues y solo despues de tener los parches instalados tenes que usar el Ad-Aware SE y el HjT sino todo el trabajo que hagas no va a servir de nada

Despues tenes muchas cosas que sacar no solo algunos 09

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...count_id=76081
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...count_id=76081
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...count_id=76081
O4 - HKLM\..\Run: [msbb] c:\archivos de programa\180solutions\msbb.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Publijuegos - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\pspa-pjuegos\local.htm (file missing)
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_ES_XP.cab
O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/esi/games3.cab
O18 - Filter: text/html - {C19FB5D3-A3C1-46C4-878D-8E235700DDEE} - C:\Documents and Settings\Nico\Configuración local\Datos de programa\microsoft\internet explorer\V0.15.dat

Proba con eso pero siempre siguiendo los pasos de una buena eliminacion que estan en el tutorial de spywares si no no sirve de nada ok

Salu2
El Piedra