Tema: Spybot S&D detecta cambio en el registro cada vez que enciendo el ordenador

[Jynx]

Hola!

Antes de comenzar quisiera agradeceros a todos los que hacéis posible este foro por vuestra amabilidad y generosidad a la hora de compartir conocimientos, responder consultas y asesorar a pardillos como yo. La verdad es que entre destroyerweb y este foro he quedado gratamente sorprendido, por toda la información disponible y lo bien explicada que está.

También quisiera pediros disculpas si he iniciado este tema en el lugar equivocado, pues aún ando algo despistadillo entre tanta información.

Mi consulta es la siguiente:

Cada vez que enciendo el ordenador me sale una pantallita del residente de Spybot S&D en que me avisa de lo siguiente:

Spybot S&D ha detectado un cambio en una entrada importante del registro de windows.
Categoría: System Startup global entry
Cambio: valor eliminado
Entrada: SunJavaUpdateSched
Datos antiguos: C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
Datos nuevos: (((NO APARECE NADA)))

He mirado en Archivos de programa y esa carpeta de Java no existe (o yo no la encuentro). Lo curioso es que no para de salir cada vez que arranco el ordenador o lo reinicio (aunque le mande al residente aceptar o denegar ese cambio en el registro) y no se a que se debe ni que he de hacer para que deje de salirme. Previamente había desinstalado el Java ese (lo de una tacita humeante) desde el RegSeeker, desde la zona de aplicaciones instaladas.

Aparentemente, salvo el coñazo de tener que quitar esa pantallita cada vez que enciendo, no he notado que nada funcione mal, pero me gustaría que dejara de salirme.

Por otro lado leyendo las FAQ a ver si encontraba algo igual a lo que me sucede, vi un mensaje de una chica que sobre el Spybot decía lo siguiente: "He descargado un parche para la ventana de avisos del Tea Timer que viene "defectuosa" donde se le da a "Aceptar" o "No Aceptar" lo he instalado siguiendo las instrucciones con exactitud, pero la verdad es que nunca pude verla, porque al parecer el Tea Timer también se queda colgado."
¿Donde puedo bajar ese parche? He buscado en la página de Spybot pero no consigo encontrarlo.

Os ruego me disculpéis por este rollo macabeo que me acaba de salir.

Muchísimas gracias por vuestra atención.

Un saludo.

[Mr_X]

Bienvenido

Ve al Panel de control ¿existe una entrada llamada "Panel de control de Java"? Si es así, dale doble clic-->Pestaña Actualización-->desmarca la entrada "Comprobar actualizaciones automáticamente"

[Jynx]

Ve al Panel de control ¿existe una entrada llamada "Panel de control de Java"? Si es así, dale doble clic-->Pestaña Actualización-->desmarca la entrada "Comprobar actualizaciones automáticamente"

Hola MR_X!

Esa carpeta que me comentas no existe, no me sale por ningún lado, igual que la de Java de archivos de programa, parecen "fantasmas".

No hace mucho, para que el MSN Messenger me abriera las páginas con el Firefox en lugar de con el Explorer, seguí los consejos de las FAQ's de la página MozillaES, e instalé el Messenger Plus! 3 y acto seguido el StuffPlug-NG. ¿Pudiera esto ener alguna relación con mi problema?

Es que lo de esa carpeta de Java y ese archivo "jusched.exe" no me aparezcan por ningún lado no lo entiendo...

Saludos.

[Mr_X]

Regálanos un log del HijackThis...

[Jynx]

Hola de nuevo!

He hecho el escaneo con el HijackThis (en modo seguro, como recomienda el tutorial) que me sugeriste. A continuación pego el log, pero lo curioso es que despues de hacer el escaneo, apagar el ordenador y encenderlo de nuevo, no me ha salido nada de lo que me salía otras veces ¿?¿?¿?

Logfile of HijackThis v1.99.1
Scan saved at 23:37:38, on 20/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.5\THGuard.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

[Mr_X]

Si dices que desinstalaste el Java, elimina las siguientes entradas en el HijackThis (ejecuta el HijackThis, selecciona Do a system scan only, marca la casilla a la izquierda de las siguientes entradas y dale al botón Fix checked):

Código: [Seleccionar]

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -

¿Usas el FlashGet?

[Jynx]

Buenas!

He estado varios días sin usar el ordenador, asi que no he podido contestar pronto. Respondiendo a lo del FlashGet, lo tuve, pero hace tiempo ya que lo desinstalé.

En cuanto a lo del HijackThis que me dices, he hecho lo de marcar las casillas y darle al fix chequed (todo esto en modo seguro), pero el problema persiste. Si cuando sale la pantalla del Spybot S&D para aceptar o rechazar el cambio en el registro yo lo acepto, no se pone como entrada de arranque el SunJavaUpdateSched, pero si no lo acepto, se vuelve a poner ello sólo de forma automática.

Lo mismo me ocurre además ahora con otra entrada de arranque que he visto que no era necesaria y la quité: CTFMON.EXE

Copio un nuevo log del HijackThis que saqué después de todo esto:

Logfile of HijackThis v1.99.1
Scan saved at 15:19:57, on 26/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.5\THGuard.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe