Problema spyware no se quita

Question

Problema spyware no se quita

ivan016 25 may 2008 02:53

MegaAdicto!!!

1.028 mensajes
desde may 2002
en BCN/Almeria

Hola, pues resulta que he estado un dia sin antivirus, por cambio de activation key y me he encontrado que el ordenador va muuuy lento y se me abren ventanas solas. Tengo algun spyware que le pase el programa que le pase se queda iwal. Tengo el Kaspersky y me detecto algo, y me lo desinfecto, pero al reiniciar sigue iwal. Dejo un log del hijackthis a ver si me podeis exar una mano. saluds y gracias!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:48:33, on 25/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\PRISMSVR.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\vVX1000.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDB707D9-3C9B-499E-8D24-24C98CE496EE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{EDB707D9-3C9B-499E-8D24-24C98CE496EE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{EDB707D9-3C9B-499E-8D24-24C98CE496EE}: NameServer = 80.58.0.33,80.58.32.97
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4548 bytes

18 respuestas

Answer 1 · 2008-05-25T01:23:27+00:00

Instálate el Spybot Search&Destroy que es FREEWARE y funciona realmente bien.

Suerte.

Answer 2 · 2008-05-25T10:10:29+00:00

Me lo instale ayer tambien pero lo acabe borrando porque no me hizo nada. Voy a probar otra vez ahora que he desactivado la Restauracion de Sistema a ver. gracias.

Answer 3 · 2008-05-25T12:57:01+00:00

El svchost.exe esta repetido en los procesos. Eso me pasó a mi y el MSNCleaner que han sacado los de InfoSpyware me lo detectó y elimino el fake. Si quieres probar, te lo adjunto.

#1302# 25 may 2008 15:42 · Answer 4 · 2008-05-25T13:42:45+00:00

Esto me parece sospechoso:
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe

Y que tengas esto...
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDB707D9-3C9B-499E-8D24-24C98CE496EE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{EDB707D9-3C9B-499E-8D24-24C98CE496EE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{EDB707D9-3C9B-499E-8D24-24C98CE496EE}: NameServer = 80.58.0.33,80.58.32.97

Serede, el tener multiples svchost.exe es normal mientras este en SYSTEM32.

Answer 5 · 2008-05-25T13:53:54+00:00

El svchost.exe que yo tuve estaba en temporales xD

coyote escribió:Esto me parece sospechoso:
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe

A mi rambién, no me fijé.

Answer 6 · 2008-05-25T15:06:57+00:00

El VX1000 es el nombre de mi webcam d microsoft. pero lo eliminare. lo otro ya no se ke es. Ahora escribo dsde la play pk en el pc ya no me tira internet...

#1302# 25 may 2008 17:11 · Answer 7 · 2008-05-25T15:11:18+00:00

Cambia las DNS, la primera esta bien: 80.58.0.33 pero la otro me parece sospechosa.

Cambiala por 80.58.0.97

Aparte de eso, no veo nada extraño en el LOG.

Answer 8 · 2008-05-25T15:19:47+00:00

Yo lo uniko k te digo es que cuando puedas te vayas a Windows Update. Tienes el SP3 y el IE7 disonibles.

Answer 9 · 2008-05-25T15:29:22+00:00

ok, ya lo he cambiado, pero va igual. Lo que si me he dado cuenta es que el antivirus se queda colgado en jkkJaaba.dll que esta en sistem32 y en winlogon. Y el spyboot me detecta virtumond o algo asi

#1302# 25 may 2008 17:30 · Answer 10 · 2008-05-25T15:30:41+00:00

Se te habrá corrompido el sistema, haz copias y formatea.

Answer 11 · 2008-05-25T15:32:17+00:00

jkkjaaba.dll me suena a troyano o a algo peor. Yo he mirado y en mi system32 no hay ni rastro de ese archivo, lo mejor es que hagas lo que te aconseja coyote antes de que sea tarde y no puedas recuperar nada.

Answer 12 · 2008-05-25T15:54:19+00:00

Ok, gracias. No veas la semana que llevo. En año i pico no habia formateado, todo ok, y esta semana con este seran 2, el primero por un virus de msn que formatee y listo, pero este no se como se ha metido... He estado estos dias dejando el ordena como lo tenia antes de programas y eso y me encuentro con eso... aix... en fin... gracias!

Y ale a formatear otra vez. Una ultima cosa. Me recomendais que siga con XP SP2 , con SP3 o le pongo vista?

Answer 13 · 2008-05-25T15:59:27+00:00

Ponle SP3, para poner SP2 mejor SP3 y si estas acostumbrado a XP si pones vista tu PC puede acabar muy mal xD

#1302# 25 may 2008 17:59 · Answer 14 · 2008-05-25T15:59:38+00:00

Integra el SP3 en la instalación (CD) y tira de XP. Vista personalmente no lo recomiendo a nadie, pero cada uno allá lo que quiera hacer.

PD: cuando tengas XP instalado, si eliges ese sistema, usa una cuenta de usuario en vez de Administrador, te ahorraras muchas sorpresas.

Answer 15 · 2008-05-25T16:05:21+00:00

ivan016 25 may 2008 18:05

MegaAdicto!!!

1.028 mensajes
desde may 2002
en BCN/Almeria

Gamertag: jpsyp PSN ID: jpsyp

Ok, gracias. Entonces seguire con el XP como siempre. Gracias!

Answer 16 · 2008-05-25T18:05:53+00:00

Un buen software antyspyware es el SUPERantispyware, existe version gratuita y la de pago, la unica diferencia entre ellas es que la de pago tiene soporte de "proteccion en tiempo real" pero vamos la gratuita le programas tu un scan cada X tiempo y solucionado, elimina muchos de los que spyware no elimina

Saludos!

Answer 17 · 2008-05-27T22:16:18+00:00

Gracias Strophe, la verdad es que lo probe el programa y me kito algo. Pero no todo, se ve ke cada vez tenia mas cosas. Asi que nada, formatee y problema resuelto. Y muy contento con Mi XP SP3. jeje Gracias x vuestra ayuda!!

P.D Ya se puede cerrar el Hilo.

Answer 18 · 2008-05-28T00:05:48+00:00

Que pena me había perdido el hilo!!!

Me alegro de que hayas solucionado el problema ivan016.

Te hubiera recomendado también el Lavasoft Ad-aware Pro,yo usaba este programa hace años y joder,eliminaba mucho spyware molesto...

Aunque hay spy,que,,lo hacen realmente de una forma que luego es muy difícil de quitar...Odio los que son tipo que se instala un programa y te informa y tal,¡¡los odio!!,y son jodidos de quitar.Aunque,lo mejor,como dice la peña,formatear y listo,y of course,XPSP3 desde 0 es la mejor opción...

Saludetes peña...