localizar un malware Tema Solucionado

Foro referente al sistema operativo Windows 7
Avatar de Usuario
Yudhistira
Usuario topegama
Usuario topegama
Mensajes: 801
Registrado: 27 Feb 2008, 15:30
Ubicación: BCN
Agradecido : 38 veces
Agradecimiento recibido: 5 veces
Contactar:

localizar un malware

Mensajepor Yudhistira » 10 Mar 2014, 18:11

Un programa (al menos 1) espía se ha instalado en el navegador y no hay forma de localizarlo, he pasado el spyhunter, el sin-espías, el malwarebytes y no lo coge. He ido a la carpeta appdata y a la carpeta de firefox pero no consigo dar con él.
Os subo el logfile del hijackthis a los que sabeis interpretarlo, a ver si veis alguna entrada sospechosa.
Gracias

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:55, on 10/03/2014
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v10.0 (10.00.9200.16618)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_12_0_0_70.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_12_0_0_70.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {db131c55-60c8-4adc-84dc-9e76ab06e2dc} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Aplicación auxiliar de inicio de sesión de Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [HControlUser] C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')
O8 - Extra context menu item: Enviar imagen al dispositivo &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Enviar página al dispositivo &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Enviar a Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: Enviar a &Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{59F73A45-D4F2-4FD6-8360-E2E15D7805EE}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: AFBAgent - Unknown owner - C:\Windows\system32\FBAgent.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: ASLDR Service (ASLDRService) - ASUS - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - ASUS - C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Network Service (NvNetworkService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9791 bytes
Los 3 pasos de la verdad:
1º: Se ridiculiza.
2º: Acción violenta.
3º: Aceptación.
From > Earthlings

Avatar de Usuario
medDelfin
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 2031
Registrado: 12 Feb 2008, 06:24
Ubicación: Alicante/España
Agradecido : 5 veces
Agradecimiento recibido: 96 veces
Contactar:

Re: localizar un malware

Mensajepor medDelfin » 10 Mar 2014, 20:58

Hola. De momento, empieza por esto:
 
Eliminar entradas con Hijackthis
Ejecuta de nuevo HijackThis (con todos los programas cerrados), pulsa sobre "Do a system scan only", marca las siguientes entradas y pulsa "Fix Checked":

R3 - URLSearchHook: (no name) - {db131c55-60c8-4adc-84dc-9e76ab06e2dc} - (no file)

Reinicia el equipo y coméntanos si se ha solucionado tu problema.

A continuación, ejecuta al pie de la letra...
 
Limpieza con Adwcleaner
Pega el log que te genera adwcleaner tal y como indica el siguiente tutorial:

Limpieza con Adwcleaner

Y coméntanos si se ha solucionado tu problema.

Y luego, aunque puedas no estar muy de acuerdo...
 
Limpieza con Ccleaner
Ejecuta las secciones Limpiador y Registro.

Descarga e instala CCleaner como se menciona en este tutorial

Como paso adicional, (con CCleaner) DESACTIVA estas entradas del inicio que no veo necesarias:

HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')


No olvides subir el log de AdwCleaner.

Un saludo.
Imagen
"En los momentos de crisis, es mas importante la imaginación... que el conocimiento.."
- Albert Eistein -

Avatar de Usuario
Yudhistira
Usuario topegama
Usuario topegama
Mensajes: 801
Registrado: 27 Feb 2008, 15:30
Ubicación: BCN
Agradecido : 38 veces
Agradecimiento recibido: 5 veces
Contactar:

Re: localizar un malware

Mensajepor Yudhistira » 12 Mar 2014, 10:58

Gracias MeDelphin x tu tiempo.

Aquí dejo el log del adwCleaner:

# AdwCleaner v3.021 - Reporte Creado 12/03/2014 en 10:52:28
# Actualizado 10/03/2014 por Xplode
# Sistema Operativo : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nombre de usuario : Mike - PORTÁTILASUS
# Ejecutado desde : C:\Users\Mike\Desktop\adwcleaner.exe
# Opción : Limpiar

***** [ Servicios ] *****


***** [ Archivos / Carpetas ] *****

Archivo Borrar : C:\Windows\System32\Tasks\NCH Software

***** [ Accesos directos ] *****


***** [ Registro ] *****

Clave Borrar : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Clave Borrar : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Clave Borrar : HKLM\Software\caphyon

***** [ Navegadores ] *****

-\\ Internet Explorer v10.0.9200.16618


-\\ Mozilla Firefox v27.0.1 (es-ES)

[ Archivo : C:\Users\Mike\AppData\Roaming\Mozilla\Firefox\Profiles\w8zf89iy.default\prefs.js ]


*************************

AdwCleaner[R2].txt - [1057 octets] - [12/03/2014 10:49:19]
AdwCleaner[S1].txt - [962 octets] - [12/03/2014 10:52:28]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1021 octets] ##########
Los 3 pasos de la verdad:
1º: Se ridiculiza.
2º: Acción violenta.
3º: Aceptación.
From > Earthlings

Avatar de Usuario
Yudhistira
Usuario topegama
Usuario topegama
Mensajes: 801
Registrado: 27 Feb 2008, 15:30
Ubicación: BCN
Agradecido : 38 veces
Agradecimiento recibido: 5 veces
Contactar:

Re: localizar un malware

Mensajepor Yudhistira » 12 Mar 2014, 11:20

HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')

Esta entrada no sale en el inicio. La otra sí me sale y la he borrado.

Lo que me está molestando es esta ventana que se autodirige en cualquier momento, con la molestia de que me hace cerrarla y, x consiguiente, tengo que volver a abrir la web y volver a seguir los pasos de registro, etc.

Imagen
Los 3 pasos de la verdad:
1º: Se ridiculiza.
2º: Acción violenta.
3º: Aceptación.
From > Earthlings

Avatar de Usuario
Yudhistira
Usuario topegama
Usuario topegama
Mensajes: 801
Registrado: 27 Feb 2008, 15:30
Ubicación: BCN
Agradecido : 38 veces
Agradecimiento recibido: 5 veces
Contactar:

Re: localizar un malware

Mensajepor Yudhistira » 12 Mar 2014, 11:35

No me deja darte las gracias.
Bueno te las doy en público.
Gracias x tu generosidad, quien es generoso se crea un buen karma ;)
Los 3 pasos de la verdad:
1º: Se ridiculiza.
2º: Acción violenta.
3º: Aceptación.
From > Earthlings

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: localizar un malware

Mensajepor helheim » 12 Mar 2014, 13:38

Veo en el informe de Hijackthis que tienes o has tenido en algún momento instalado SpyHunter, que durante unos años estuvo en la lista de Rogues de Infospyware. Aunque ahora parece ser que ha sido retirado de esa lista, yo me desharía totalmente si es que todavía lo tienes instalado.

LISTADO DE FALSOS ANTIVIRUS

Un saludo.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)

Avatar de Usuario
Yudhistira
Usuario topegama
Usuario topegama
Mensajes: 801
Registrado: 27 Feb 2008, 15:30
Ubicación: BCN
Agradecido : 38 veces
Agradecimiento recibido: 5 veces
Contactar:

Re: localizar un malware

Mensajepor Yudhistira » 12 Mar 2014, 15:00

Vaya! justo os iba a preguntar sobre esto. La impresión q m da es q se hace cargo demasiado del equipo, que accede a "partes" del sistema sin mi consentimiento.
Sí, lo tengo aún instalado, en el empeño de encontrar una solución. Lo encontré con el crack en la www.
Gracias x haberte adelantado.
Un saludo
Los 3 pasos de la verdad:
1º: Se ridiculiza.
2º: Acción violenta.
3º: Aceptación.
From > Earthlings

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: localizar un malware

Mensajepor helheim » 12 Mar 2014, 23:02

Empieza por desinstalarlo y comprobar como se comporta el sistema.

Un saludo.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)

Avatar de Usuario
medDelfin
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 2031
Registrado: 12 Feb 2008, 06:24
Ubicación: Alicante/España
Agradecido : 5 veces
Agradecimiento recibido: 96 veces
Contactar:

Re: localizar un malware

Mensajepor medDelfin » 13 Mar 2014, 00:20

Hay una opción que profundiza mas en el sistema para detectar y eliminar un posible segundo (o tercero, o mas) antivirus (falso o legítimo) en ejecución:

AppRemover (portable). Se aconseja en los foros por lo inocuo y simple que es: :
http://www.appremover.com/download
Descarga y guarda la utilidad en el Escritorio.
En 'Modo seguro' > clic derecho > Ejecutar como administrador.
Te mostrará los antivirus y "software de seguridad" que tengas instalados dándote la posibilidad de desinstalar lo que encuentre.

Saludos.
Imagen
"En los momentos de crisis, es mas importante la imaginación... que el conocimiento.."
- Albert Eistein -

Avatar de Usuario
Yudhistira
Usuario topegama
Usuario topegama
Mensajes: 801
Registrado: 27 Feb 2008, 15:30
Ubicación: BCN
Agradecido : 38 veces
Agradecimiento recibido: 5 veces
Contactar:

Re: localizar un malware

Mensajepor Yudhistira » 13 Mar 2014, 09:59

helheim escribió:Empieza por desinstalarlo y comprobar como se comporta el sistema.


Desinstalado

Ok gracias medDelphin lo probaré. Aunque no tengo virus, sólo la molesta entrada q mostró el hijackthis
Los 3 pasos de la verdad:
1º: Se ridiculiza.
2º: Acción violenta.
3º: Aceptación.
From > Earthlings


Volver a “Windows 7”

¿Quién está conectado?

Usuarios navegando por este Foro: Google [Bot] y 7 invitados