SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
Sigo con el about:blank...
FatsGordon:
A no desesperar! :)
Ya lo vamos a agarrar...
Hacé lo siguiente:
Andá a Inicio->Ejecutar, escribí msconfig y apretá Enter. Luego buscá SE.DLL en la lista de Inicio y quitalo sacándole la marca. NO REINICIES AUNQUE TE LO PIDA!!
Con CTRL+ALT+DEL invocá el Administrador de tareas, encontrá y detené el proceso Rundll32.exe, Rundll.exe o cualquier variante de Rundll que encuentres.
Ahora sí buscá SE.DLL y eliminalo. Luego corré el HT y eliminá las entradas de siempre y luego fijate cómo se llama ahora la otra dll y buscala y eliminala.
Luego reiniciá y publicá un nuevo log.
ripley:
Hola Fats. Bueno, siguiendo tus instrucciones he podido eliminar la se.dll. Pero al intentar eliminar las entradas de siempre en el HT, ha aparecido otra vez "HijackThis is about to remove a BHO and the corresponding file from your system. Close all Internet windows and all Windows Explorer windows before continuing for the best chance of success", he ido a buscar la otra dll (sigue llamándose ijn.dll) y no me ha dejado eliminarla ("este archivo está en uso, etc").
Al reiniciar ha quedado todo igual. Este es el log:
Logfile of HijackThis v1.99.1
Scan saved at 23:54:19, on 22/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {6D6705D7-F6BE-4125-9040-31929D72CE32} - C:\WINDOWS\SYSTEM\IJN.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [OmgStartup] C:\Archivos de programa\Archivos comunes\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Filter: text/html - {E9DD2AD9-F70F-4A7A-8658-2113F39DEFED} - C:\WINDOWS\SYSTEM\IJN.DLL
O18 - Filter: text/plain - {E9DD2AD9-F70F-4A7A-8658-2113F39DEFED} - C:\WINDOWS\SYSTEM\IJN.DLL
Por cierto, con la ijn.dll he probado a cambiarle el nombre pero, claro, tampoco me deja...
:cry: :cry: :cry:
FatsGordon:
Estoy esperando una solución enlatada de otro foro, pero podemos empezar a atacar el problema por otro lado... En principio probá de bajarte e instalar como te dije el SpywareBlaster ( http://www.javacoolsoftware.com/downloads.html ), el SpywareGuard (misma página) y el a2 ( http://www.emsisoft.org/en/software/free/ ).
Por otro lado...
Bajate el About:Buster 4.0 de http://www.majorgeeks.com/download4289.html . Creo que tenés que correrlo dos veces para limpiar todo.
Bajate también DelDomains.inf ( http://www.mvps.org/winhelp2002/DelDomains.inf ), hacele click derecho y apretá Instalar. Esto va a eliminar todos los Sitios de confianza.
Bajate el BackDoor.Agent.B.Removal.Tool de http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html , seguí las instrucciones de Symantec para correrlo y guardá el log para verlo después.
Reiniciá la máquina y corré el CWShredder usando la opción Fix en vez de Scan only. Reiniciá y volvé a generar un log de HT, y de paso pegá el de Symantec.
ripley:
Hola Fats. Bueno, ya estoy aquí con la relacion de todos los procesos.
Me bajé otra vez el spywareblaster, lo instalé y, al abrirlo, me apareció otra vez el mensaje: "This program has been damaged, possibly by a bad sector of the hard drive or a virus. Please reinstall it". Me bajé el spywareguard y el a2 y los instalé. También bajé y instalé el Aboutbuster, el DelDomains y el Backdoor.Agent.B. Removal. Tool. Cuando los tuve todos instalados, deshabilité Restaurar Sistema y reinicié en modo seguro.
Hice un scan con el a2 y me encontró esto:
Nom del fitxer Diagnosi
c:\WINDOWS\Downloaded Program Files\CONFLICT.1\sp.exe Trojan.Win32.Spooner.f
c:\WINDOWS\Downloaded Program Files\sp.exe Trojan.Win32.Spooner.f
c:\WINDOWS\Downloaded Program Files\CONFLICT.2\sp.exe Trojan.Win32.Spooner.f
c:\Mis documentos\Eduard\Internet\MAILS\vueltecita.bat not-virus:Joke.Win32.Train
c:\Archivos de programa\Archivos comunes\rrlllpea\tpahfenl\nbltnejf.exe Backdoor.Agent.ay
c:\Archivos de programa\Archivos comunes\rrlllpea\rlfhdnacrp\fdlrnfljd.exe Backdoor.Agent.ay
c:\BDE\bdeviewer.exe Trojan.Win32.Krepper.y
Los eliminé todos (menos el joke) sin ningún problema.
Ejecuté el About Buster y empezaron a salir continuamente mensajes tipo así:
BROWSER HIJACK ALERT - BROWSER PAGE CHANGED
On 21:13:57 03/24/2005 a browser page change was detected.
Registry Location: HKCU\Software\Microsoft\Internet Explorer\Main\
Value Name: Start Page
Old Value: http://www.daboweb.com/
New Value: about:blank
User Action Taken: RESTORE OLD VALUE
Cliqué con el botón derecho a DelDomains.inf y le di a instalar. Quizás hizo alguna cosa pero yo no me enteré, pues no apareció ningúna acción o mensaje especial. De hecho sólo aparecían los mensajes de
BROWSER HIJACK ALERT - BROWSER PAGE CHANGED
On 21:13:57 03/24/2005 a browser page change was detected.
Registry Location: HKCU\Software\Microsoft\Internet Explorer\Main\
Value Name: Start Page
Old Value: http://www.daboweb.com/
New Value: about:blank
User Action Taken: RESTORE OLD VALUE
Etc…
Pasé el Backdoor.Agent.B. Removal. Tool. y no encontró nada:
Symantec Backdoor.Agent.B Removal Tool 1.0.1.2
Backdoor.Agent.B has not been found on your computer. Symantec Backdoor.Agent.B Removal Tool 1.0.1.2
Backdoor.Agent.B has not been found on your computer.
Reinicié en modo seguro y pasé el CWShredder, que eliminó el de siempre: CWS HiddenDll y luego hice un scan con Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 21:51:11, on 24/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [OmgStartup] C:\Archivos de programa\Archivos comunes\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Eliminé las entradas habituales y esta vez no me dio problemas y las eliminó todas. Me fui a Temp y eliminé sin problemas el SE.DLL. Me fui a System para eliminar el IJN.DLL y ya no estaba! :!: :!: Eliminé también los temporales de Internet, las Cookies y todo lo que había en la carpeta TEMP. El nuevo log de HT es este:
Logfile of HijackThis v1.99.1
Scan saved at 0:45:19, on 25/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\SGMAIN.EXE
C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\SGBHP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daboweb.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [OmgStartup] C:\Archivos de programa\Archivos comunes\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - HKCU\..\RunServices: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Para asegurarme bloqueé la pagina de inicio de Internet con el Anti-Secuestrador IE. También le he pasado el AdAware (sólo encontró uno y creo que se referia al programa que bloqueaba la página de inicio de Internet), el Spybot, que encontró, una vez más, el DSO Exploit:
DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
También pasé el CWShredder (ya no encontró ningún CWS Hidden Dll), otra vez el About Buster y otra vez también el a2.
También le pasé el Ccleaner y tengo una duda: en la tercera pestaña, la de Registro, me encontró 2 entradas de Active X/COM con los datos CmdLineExt y 15 entradas de Active X/COM con los datos In Proc Server 32/ C:/ Windows/ System/ IJN.DLL. Como el botón no es "Eliminar" sinó "Reparar problemas" he pensado que igual lo restauraba y volvería otra vez al principio, así que no lo he tocado. Qué hago con esas entradas?
Finalmente, he quitado la marca a deshabilitar Restaurar Sistema y he reiniciado ya en modo normal. De momento no hay señales del SE.DLL, ni del IJN.DLL, aunque no me fío. He ido a Ejecutar/ msconfig y en la pestaña Inicio continúa el Sp sin marca. También he ido a Regedit (sólo a mirar) y he visto que en HKEY LOCAL MACHINE / SOFTWARE / Microsoft/ Windows / Current Version / Run aún está el Se.dll. Pero ahí no he tocado nada porque eso es chino para mí.
En fin, toda esta novela la he escrito en el Word de mi PC. Ahora viene la prueba: conectarme a Internet para copiarlo y poner este mensaje en el foro. Espero que no se me instale la mierda del About: blank otra vez...
Bueno, qué opinas?
:)
FatsGordon:
Bueno, parece que tuvimos algun éxito con lo que intentaste... Por las dudas escribo bajito, a ver si me escucha tu máquina y se rebela... :lol: :lol:
Por favor, mantenenos al tanto de lo que suceda, y en lo posible tratá de navegar por sitios seguros... ;)
El log del HT se ve perfectamente normal, espero que siga así. Me llama la atención lo del SpywareBlaster... Es muy extraño. ¿Te fijaste por ejemplo en Google si alguien más tuvo ese problema y cómo lo solucionaron?
Comentanos cómo anda todo...
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa