me redirecciona a una pagina abnow.com

Iniciado por liada22, 9 Febrero 2012, 23:24 PM

0 Miembros y 3 Visitantes están viendo este tema.

liada22

[L]ord [R]NA acabo de pasar el Hijackthis y me sale esto:
Por cierto el toolbar de facemoods no lo tengo instalado, por lo menos no me sale en agregar o quitar programas y en archivos de programas tampoco me sale.

Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:19, on 14/02/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Acronis\TrueImageEnterpriseServer\TrueImageMonitor.exe
C:\Archivos de programa\Acronis\TrueImageEnterpriseServer\TimounterMonitor.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE
C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Motorola\MotoConnectService\MotoConnectService.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Motorola\MotoConnectService\MotoConnect.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\internet explorer\iexplore.exe
C:\Archivos de programa\internet explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Archivos de programa\jccatch.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Archivos de programa\getflash.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Archivos de programa\Acronis\TrueImageEnterpriseServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Archivos de programa\Acronis\TrueImageEnterpriseServer\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Flashget] D:\Archivos de programa\flashget.exe /min
O4 - HKLM\..\Run: [EPSON Stylus Photo RX620 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P31 "EPSON Stylus Photo RX620 Series" /O39 "Microsoft Document Imaging Writer Port:" /M "Stylus Photo RX620"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX620 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P42 "EPSON Stylus Photo RX620 Series (Copiar 1)" /O6 "USB001" /M "Stylus Photo RX620"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\BitTorrent.exe"  /MINIMIZED
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [l10zvlu59v] C:\Documents and Settings\Carol\l10zvlu59v.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download All with FlashGet - D:\Archivos de programa\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - D:\Archivos de programa\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Archivos de programa\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Archivos de programa\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1284654391983
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} - https://www2.agenciatributaria.gob.es/es13/h/cactivex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: MotoConnect Service - Unknown owner - C:\Archivos de programa\Motorola\MotoConnectService\MotoConnectService.exe
O23 - Service: PPPoEWin (sfdrv01) - Unknown owner - \\.\globalrootC:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8145 bytes

r32

#11
Hola Liada22 TDDSKiller te quitó lo gordo, luego ya con Malwarebytes quitas el resto, lo agarraste bien, te infectó el sector de arranque del disco.
Con respecto al log de Hijackthis puedes dar fix a esta entrada:

O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)

Para esta entrada ves al "msconfig" (Inicio-Ejecutar) o desde CCleaner (Herramientas-Inicio) para eliminarlo del arranque:

O4 - HKCU\..\Run: [l10zvlu59v] C:\Documents and Settings\Carol\l10zvlu59v.exe

Sigue la ruta del archivo: C:\Documents and Settings\Carol y elimina el ejecutable:

l10zvlu59v.exe

Ahora supongo el PC irá bastante mejor ¿no?
Te volvió a detectar alguna infección?

No veo el proceso de ningun antivirus residente? Creo sería bueno instalases uno, aunque sea gratuito, los hay buenos.

Un saludo



liada22

#12
BUenas r32, te cuento, acabo de eliminar esos dos archivos que me has dicho con el hijackthis, pero el toolbar ha desaparecido pero el otro archivo no lo puedo borrar, ni con el ccleaner ni siguiendo la ruta, voy a intentarlo en modo seguro porque me dice que no se puede eliminar porque esta protegido contra escritura, como lo hago para eliminarlo si no lo consigo en modo seguro????
Y lo de abnow creo que ya se ha ido porque ya no me redirecciona, por que se ha ido??? que archivo era el que le redireccionaba????
Por cierto hace poco quite el antivirus que tenia porque era gratuito y era malisimo, me aconsejas alguno???
Voy a intentar borrar ese archivo en modo seguro ahora te cuento
Saludos

liada22

puffff te cuento r32, he eliminado el archivo ese ejecutable con el ccleaner desde modo seguro, y en mi pc no me deja borrarlo, pero ahora el problema es que el ordenador no me arranca, todo el rato me reinicia...y no me carga windows...que le ha pasado????joder como me lo haya cargado....

r32

Hola , pues vaya faena con el archivo.
El archivo que te comenté de eliminar esta catalogado como "Trj/CI.A Virus/Trojan" por Panda Antivirus.
Si no te dejó eliminar uno de los archivos es porque carga incluso en modo seguro.
¿Puedes iniciar en modo seguro? o tambien reinicia solo.

Puede ser que quede algun resto de la infección, podrías pasarle un LiveCD, de Kaspersky por ejemplo.
A ver si puedes iniciar en Modo seguro con funciones de red y poder descargar el LiveCD.
Si te deja iniciar con funciones de red, descarga la ISO y grabala en un CD:

http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Si no te dejase tampoco en modo seguro, intenta descargarte el archivo ISO desde otro ordenador.
Una vez grabado el CD, modifica el orden de arranque en tu BIOS para que arranque el CD antes que el disco duro
y sigue las instrucciones del LiveCD.

Si tienes el Cd de windows puedes probar de Reparar el sistema, si no solo te quedaría "formatear" con el inconveniente de la
perdida de información.

A veces pasa que al eliminar algun tipo de virus, éste dañe el arranque o archivos de sistema y registro.
Ahoramismo no se me ocurre nada más, a ver si entra alguien más al tema y añade otra solución.

Cualquier duda aqui estamos, un saludo.

liada22

joer....y no hay manera de recuperar ese archivo de ccleaner en modo seguro??? es que no entiendo mucho de ordenas, y lo que me dices no creo que sepa hacerlo....

r32

#16
Bueno, podemos probar otras cosas siempre y cuando te deje acceder en modo seguro con funciones de red.

Citary no hay manera de recuperar ese archivo de ccleaner en modo seguro
Ese archivo, aunque parece ser el causante del problema no tendría que ser recuperado, es un malware.

¿Probaste a pasar Malwarebytes en modo seguro?

Comentabas que uno de los archivos no pudiste eliminarlo, con lo que intentaría pasar un antivirus online o instalar uno de forma residente y intentar eliminar del todo la infección.

Puedes instalar Avira por ejemplo, luego si no te gusta lo desintalas, pero es bueno y muy paranoico con el malware:

http://www.avira.com/es/free-download-avira-free-antivirus

Se activará la descarga automáticamente...

liada22

el malwarebytes lo he pasado en modo seguro y no me ha detectado ningun virus ni nada.
El archivo que no me deja eliminar es el que tengo en mi pc, lo he borrado con el ccleaner y ahora no me sale en el programa, pero en mi pc sigue y no deja borrarlo.
Me deja iniciar en modo seguro pero no con funciones de red....

liada22

tengo un error que no para de salir cuando entro en webs, es:
Error en el script de internet explorer ¿desea continuar ejecutando este script?

Alguien sabe por que sale esta ventana y como quitarlo???

ciberdiego

Bajate el combofix, para este tipo de troyano, http://goo.gl/nFjUE
si se abre y se cierra úsalo en modo seguro modo consola desde el CMD.
He quitado varios así...