Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: reyeropower666 en 13 de Mayo de 2004, 03:23:44 pm
-
Buenas a todos:
A ver si alguien por favor puede ayudarme. Cada vez que me conecto a Internet en la página de inicio se corresponde quickpromotion.com y no a Google como tenía prederminada. He probado de todo: herramientas de Internet, Ad-ware, Antivirus, el cwshredder y aquello no se quita ni a la de tres.
A ver si alguien puede darme una solución, por favor. Gracias y un saludo.
-
Hola!!
Sin conexión a internet: Vete a inicio - ejecutar : escribe msconfig y luego elige la tecla inicio, fijate bien a ver si tienes ese nombrecito en la pantalla que te salga, deshabilitalo. Reinicia, te saldrá una pantalla en la cual te dice que has hecho cambios y blablabla, acepta.
Ahora vete a Mi Pc - Herramientas - Opciones de carpeta - Ver - Habilita la opción de mostrar todos los archivos y carpetas ocultos, aplicar - aceptar.
Sal y ve a MI Pc - C - Archivos de programa y mira ver si tienes algo raro allí, si es así eliminalo y quita de la papelera. Si no encuentras ahí ve de nuevo a Mi Pc - pica con el botón derecho en C y dale a la opción buscar, pon el nombre quickpromotion y que busque si lo encuentra ya sabes.
Suerte.
-
¿Serías tan amable de publicar el último log del Ad-aware? Lo que intento saber es por qué no lo detectó.
En estos casos es necesario NO borrar los archivos que provocan esto porque nos sirven para análisis. Lo que se debe hacer es copiarlos a una carpeta y hacer un .ZIP con ellos, para luego mandar ese .ZIP a la dirección URL que está en mi firma.
Les pido por favor a todos los colaboradores que eviten el borrado PREVIO al envío de archivos, a menos que no haya más remedio o que el archivo no se encuentre por ningún medio.
Muchas gracias.
-
Hola... quizá sea una tontería, pero comprueba en las propiedades del icono con el que abres el navegador que no está abriendo la página que dices. Para ello, picas en el icono con el botón derecho, y te vas a la opción "propiedades". En el campo "destino" sólo debería aparecer el ejecutable con su ruta. En mi caso en el icono del explorer pone lo siguiente:
"C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE". Si detrás pones una URL, cuando abras el navegador usando ese icono, abrirá inmediatamente la página indicada.
Saludos.
-
Anda pos es verdad!!!! :? Tiene razón Fats, antes de borrar haz lo que él te dice. Si luego ves ke no hay solución dale caña manual.
Sorry Fats.
-
Muchachos, he hecho todo lo que me habeis dicho y es que no encuentro nada de nada.....vamos que la cosa sigue igual. Estoy desesperao.....
¿Alguna otra solución? Gracias y un saludo.
-
Si. Lo que yo te pedí:
¿Serías tan amable de publicar el último log del Ad-aware? Lo que intento saber es por qué no lo detectó.
-
Es que soy un completo inútil informaticamente hablando. Espero que sea esto. Muchas gracias.
Lavasoft Ad-aware Personal Build 6.181
Logfile creado:jueves, 13 de mayo de 2004 22:26:06
Created with Ad-aware Personal, free for private use.
Usando archivo de referencia:01R303 08.05.2004
______________________________________________________
Ad-aware Settings
=========================
Juego : Activar escaneo en profundidad
Juego : Modo seguro (siempre pide una confirmación)
Juego : Escanear procesos activos
Juego : Escanear registro
Juego : Escanear registro a fondo
13-05-04 22:26:06 - Scan started. (Smart mode)
Listando procesos activos
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:1 [kernel32.dll]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4291764245
Threads : 4
Priority : High
FileSize : 468 KB
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
Copyright : Copyright (C) Microsoft Corp. 1991-1999
CompanyName : Microsoft Corporation
FileDescription : Componente del n
InternalName : KERNEL32
OriginalFilename : KERNEL32.DLL
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 01/01/01
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:2 [msgsrv32.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294907013
Threads : 1
Priority : Normal
FileSize : 11 KB
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
Copyright : Copyright (C) Microsoft Corp. 1992-1998
CompanyName : Microsoft Corporation
FileDescription : Servidor de mensajes VxD de 32 bits de Windows
InternalName : MSGSRV32
OriginalFilename : MSGSRV32.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 01/01/01
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:3 [mprexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294959925
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
Copyright : Copyright (C) Microsoft Corp. 1993-1998
CompanyName : Microsoft Corporation
FileDescription : WIN32 Network Interface Service Process
InternalName : MPREXE
OriginalFilename : MPREXE.EXE
ProductName : Microsoft(R) Windows(R) Operating System
Created on : 01/01/01
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:4 [mmtask.tsk]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294951933
Threads : 1
Priority : Normal
FileSize : 1 KB
FileVersion : 4.03.1998
ProductVersion : 4.03.1998
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Multimedia background task support module
InternalName : mmtask.tsk
OriginalFilename : mmtask.tsk
ProductName : Microsoft Windows
Created on : 01/01/01
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:5 [mstask.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294937769
Threads : 2
Priority : Normal
FileSize : 116 KB
FileVersion : 4.71.1959.1
ProductVersion : 4.71.1959.1
Copyright : Copyright (C) Microsoft Corp. 1997
CompanyName : Microsoft Corporation
FileDescription : Motor de Programador de tareas
InternalName : TaskScheduler
OriginalFilename : mstask.exe
ProductName : Programador de tareas de Microsoft
Created on : 01/01/01
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:6 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294848193
Threads : 39
Priority : Normal
FileSize : 176 KB
FileVersion : 4.72.3110.1
ProductVersion : 4.72.3110.1
Copyright : (C) Microsoft Corporation 1981-1997
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft(R) Windows NT(R)
Created on : 05/05/99 20:22:00
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:7 [taskmon.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294877361
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
Copyright : Copyright (C) Microsoft Corp. 1998
CompanyName : Microsoft Corporation
FileDescription : Task Monitor
InternalName : TaskMon
OriginalFilename : TASKMON.EXE
ProductName : Microsoft(R) Windows(R) Operating System
Created on : 01/01/01
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:8 [systray.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294869809
Threads : 2
Priority : Normal
FileSize : 32 KB
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
Copyright : Copyright (C) Microsoft Corp. 1993-1998
CompanyName : Microsoft Corporation
FileDescription : Subprograma Bandeja de sistema
InternalName : SYSTRAY
OriginalFilename : SYSTRAY.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 01/01/01
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:9 [navapw32.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\
ProcessID : 4294777917
Threads : 18
Priority : Normal
FileSize : 77 KB
FileVersion : 8.07.17
ProductVersion : 8.07.17
Copyright : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Agent
InternalName : NAVAPW32
OriginalFilename : NAVAPW32.EXE
ProductName : Norton AntiVirus
Created on : 29/04/02 8:53:42
Last accessed : 12/05/04 22:00:00
Last modified : 25/03/02 10:25:26
#:10 [ddhelp.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294832797
Threads : 6
Priority : Realtime
FileSize : 32 KB
FileVersion : 4.09.00.0900
ProductVersion : 4.09.00.0900
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Microsoft DirectX Helper
InternalName : DDHelp.exe
OriginalFilename : DDHelp.exe
ProductName : Microsoft
Created on : 08/12/03 18:19:14
Last accessed : 12/05/04 22:00:00
Last modified : 11/12/02 22:14:32
#:11 [createcd50.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ADAPTEC SHARED\CREATECD\
ProcessID : 4294891409
Threads : 1
Priority : Normal
FileSize : 112 KB
FileVersion : 5.1 (60)
ProductVersion : 5.1 (60)
Copyright : Copyright (c) 1999-2001 Roxio, Inc.
CompanyName : Roxio
FileDescription : Roxio Create CD
InternalName : createcd.exe
OriginalFilename : createcd.exe
ProductName : Easy CD Creator
Created on : 14/09/01 11:48:08
Last accessed : 12/05/04 22:00:00
Last modified : 14/09/01 11:48:08
#:12 [directcd.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\
ProcessID : 4294836937
Threads : 1
Priority : Normal
FileSize : 640 KB
FileVersion : 5.10 (115)
ProductVersion : 5.10 (115)
Copyright : Copyright
CompanyName : Roxio
FileDescription : DirectCD Application
InternalName : DirectCD
OriginalFilename : Directcd.exe
ProductName : DirectCD
Created on : 14/09/01 9:34:38
Last accessed : 12/05/04 22:00:00
Last modified : 14/09/01 9:34:38
#:13 [rundll32.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294822425
Threads : 1
Priority : Normal
FileSize : 24 KB
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
Copyright : Copyright (C) Microsoft Corp. 1991-1998
CompanyName : Microsoft Corporation
FileDescription : Ejecutar un archivo DLL como una aplicaci
InternalName : rundll
OriginalFilename : RUNDLL.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 05/05/99 20:22:00
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:14 [realsched.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\
ProcessID : 4294814941
Threads : 2
Priority : Normal
FileSize : 148 KB
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
OriginalFilename : realsched.exe
ProductName : RealOne Player (32-bit)
Created on : 29/12/03 13:12:35
Last accessed : 12/05/04 22:00:00
Last modified : 29/12/03 13:12:36
#:15 [systemie.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294725321
Threads : 1
Priority : Normal
FileSize : 5 KB
Created on : 10/04/04 13:11:07
Last accessed : 12/05/04 22:00:00
Last modified : 10/04/04 13:11:06
#:16 [systemp.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294770389
Threads : 1
Priority : Normal
FileSize : 6 KB
Created on : 17/04/04 12:48:38
Last accessed : 12/05/04 22:00:00
Last modified : 17/04/04 12:48:38
#:17 [wmiexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294648753
Threads : 3
Priority : Normal
FileSize : 16 KB
FileVersion : 5.00.1755.1
ProductVersion : 5.00.1755.1
Copyright : Copyright (C) Microsoft Corp. 1981-1998
CompanyName : Microsoft Corporation
FileDescription : WMI service exe housing
InternalName : wmiexe
OriginalFilename : wmiexe.exe
ProductName : Microsoft(R) Windows NT(R) Operating System
Created on : 01/01/01
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:18 [emule.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\EMULE\
ProcessID : 4294782445
Threads : 3
Priority : Normal
FileSize : 3328 KB
FileVersion : 0.42.4
ProductVersion : 0.42.4
Copyright : Copyright
CompanyName : http://www.emule-project.org
FileDescription : eMule
InternalName : emule.exe
OriginalFilename : emule.exe
ProductName : eMule
Created on : 01/04/04 21:03:26
Last accessed : 12/05/04 22:00:00
Last modified : 01/04/04 21:03:28
#:19 [pstores.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294579633
Threads : 4
Priority : Normal
FileSize : 79 KB
FileVersion : 5.00.1877.3
ProductVersion : 5.00.1877.3
Copyright : Copyright (C) Microsoft Corp. 1981-1998
CompanyName : Microsoft Corporation
FileDescription : Protected storage server
InternalName : Protected storage server
OriginalFilename : Protected storage server
ProductName : Microsoft(R) Windows NT(R) Operating System
Created on : 01/01/01
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:20 [studio.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\WINAMP3\
ProcessID : 4294653733
Threads : 7
Priority : Normal
FileSize : 611 KB
FileVersion : 1, 0, 0, 454
ProductVersion : 1, 0, 0, 454
Copyright : Copyright
CompanyName : Nullsoft
FileDescription : Winamp3
InternalName : Studio
OriginalFilename : Studio.exe
ProductName : Nullsoft Winamp3
Created on : 28/11/01 19:41:16
Last accessed : 12/05/04 22:00:00
Last modified : 28/11/01 19:41:16
#:21 [iexplore.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\
ProcessID : 4294405293
Threads : 1
Priority : Normal
FileSize : 76 KB
FileVersion : 5.00.2614.3500
ProductVersion : 5.00.2614.3500
Copyright : Copyright (C) Microsoft Corp. 1981-1999
CompanyName : Microsoft Corporation
FileDescription : Microsoft Internet Explorer
InternalName : iexplore
OriginalFilename : IEXPLORE.EXE
ProductName : Microsoft(R) Windows (R) 2000 Operating System
Created on : 05/05/99 20:22:00
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:22 [notepad.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294564073
Threads : 1
Priority : Normal
FileSize : 56 KB
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
Copyright : Copyright (C) Microsoft Corp. 1991-1998
CompanyName : Microsoft Corporation
FileDescription : Archivo de la aplicaci
InternalName : Bloc de notas
OriginalFilename : notepad.exe
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 05/05/99 20:22:00
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:23 [iexplore.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\
ProcessID : 4294416937
Threads : 1
Priority : Normal
FileSize : 76 KB
FileVersion : 5.00.2614.3500
ProductVersion : 5.00.2614.3500
Copyright : Copyright (C) Microsoft Corp. 1981-1999
CompanyName : Microsoft Corporation
FileDescription : Microsoft Internet Explorer
InternalName : iexplore
OriginalFilename : IEXPLORE.EXE
ProductName : Microsoft(R) Windows (R) 2000 Operating System
Created on : 05/05/99 20:22:00
Last accessed : 12/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:24 [ad-aware.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 6\
ProcessID : 4294450609
Threads : 2
Priority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 26/01/04 20:14:08
Last accessed : 12/05/04 22:00:00
Last modified : 12/07/03 19:00:20
Resultados Escaneo de la memoria:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 0
Inicio escaneo del Registro
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Resultados Escaneo del registro:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 0
Inicio escaneo profundo del Registro
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Resultados Escaneo Profundo del registro:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 0
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Escaneando y examinando archivos en profundidad (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
22:28:49 Escaneo completo
Resumen Del escaneo
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total tiempo escaneo:00:02:43:20
Objetos Escaneados:35383
Objetos identificados:0
Objetos ignorados:0
Nuevos objetos:0
-
Ok, voy a decirte lo que tenés que hacer.
Primero volvé a correr el Ad-aware pero siguiendo las instrucciones que están en http://www.daboweb.com/phpBB2/viewtopic.php?t=2443.
Luego lo vas a publicar aquí, aunque esté limpio. El problema es que tu máquina NO está limpia, y se puede ver en el log del Ad-aware.
Luego de eso bajate el a squared de http://www.emsisoft.com/en/software/download/, actualizalo y correlo.
Por otro lado realizá los siguientes (TODOS) escaneos de antivirus online:
http://housecall.antivirus.com/
http://www.pandasoftware.es/activescan/activescan-com.asp
http://security.symantec.com/
Aparentemente tenés un troyano. Luego de todo lo que te pedí volvé y me contás qué sucedió.
Seguimos después de eso.
-
He pasado todos los antivirus que me has dicho, pero la cosa sigue igual. Concretamente el último que me dijistes que pasara localizó lo siguiente:
c:\nnctl.exe is infected with Keylogger.Trojan
c:\WINDOWS\SYSTEM\systemie.exe is infected with Keylogger.Trojan
c:\WINDOWS\SYSTEM\sief.dat is infected with Keylogger.Trojan
c:\WINDOWS\SYSTEM\systemie.dll is infected with Keylogger.Trojan
No sé si he hecho lo correcto, pero he borrado nnctl.exe y sief.dat, los otros me decía que no podía eliminarlos. En otro de los antivirus que pasé detectó lo siguiente:
Incident Status Location
Virus:Trj/Narod.B Disinfected Operating system
Virus:Trj/Narod.B Renamed C:\WINDOWS\SYSTEM\sysie.dll
Virus:Trj/Narod.B No disinfected C:\WINDOWS\SYSTEM\systemp.exe
Virus:Trj/Narod.B No disinfected C:\WINDOWS\SYSTEM\sp.dat
Virus:Trj/Narod.B Renamed C:\WINDOWS\SYSTEM\systemp.dll
Virus:Trj/Narod.B Renamed C:\WINDOWS\SYSTEM\sysp.dll
Virus:Trj/Narod.B Disinfected C:\ppdtl.exe
He vuelto a pasar el Ad-Aware bajo las indicaciones que me recomendastes y el último log es este:
Lavasoft Ad-aware Personal Build 6.181
Logfile creado:domingo, 16 de mayo de 2004 15:57:01
Created with Ad-aware Personal, free for private use.
Usando archivo de referencia:01R303 08.05.2004
______________________________________________________
Reffile status:
=========================
archivo de la referencia cargado:
Reference Number : 01R303 08.05.2004
Internal build : 235
File location : C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 6\reflist.ref
Total size : 1096786 Bytes
Signature data size : 1078166 Bytes
Reference data size : 18556 Bytes
Signatures total : 24182
Target categories : 10
Target families : 463
Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Non Intel
Memory available:34 %
Total physical memory:261564 kb
Available physical memory:720 kb
Total page file size:1835584 kb
Available on page file:1733848 kb
Total virtual memory:2093056 kb
Available virtual memory:2048576 kb
OS:Windows (98)
Ad-aware Settings
=========================
Juego : Activar escaneo en profundidad
Juego : Modo seguro (siempre pide una confirmación)
Juego : Escanear procesos activos
Juego : Escanear registro
Juego : Escanear registro a fondo
Juego : Escanear Favorito de IE para los sitios prohibidos
Juego : Escanear dentro de los archivos
Juego : Scan my Hosts file
Extended Ad-aware Settings
=========================
Juego : Unload recognized processes during scanning
Juego : Reanalyze result after scanning, before displaying result list
Juego : Run scan as background process (Low CPU usage)
Juego : Include basic Ad-aware settings in logfile
Juego : Include additional Ad-aware settings in logfile
Juego : Let windows remove files in use at next reboot
Juego : Delete quarantined objects after restoring
Juego : Remember window positions
Juego : Snap windows to desktop border
Juego : Always back up reference file, before updating
Juego : Create and save WebUpdate logfile
Juego : Dump details about unhandled exceptions to disk
16-05-04 15:57:01 - Scan started. (Smart mode)
Listando procesos activos
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:1 [kernel32.dll]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4291786767
Threads : 4
Priority : High
FileSize : 468 KB
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
Copyright : Copyright (C) Microsoft Corp. 1991-1999
CompanyName : Microsoft Corporation
FileDescription : Componente del n
InternalName : KERNEL32
OriginalFilename : KERNEL32.DLL
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 01/01/01
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:2 [msgsrv32.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294921375
Threads : 1
Priority : Normal
FileSize : 11 KB
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
Copyright : Copyright (C) Microsoft Corp. 1992-1998
CompanyName : Microsoft Corporation
FileDescription : Servidor de mensajes VxD de 32 bits de Windows
InternalName : MSGSRV32
OriginalFilename : MSGSRV32.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 01/01/01
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:3 [mprexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294949679
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
Copyright : Copyright (C) Microsoft Corp. 1993-1998
CompanyName : Microsoft Corporation
FileDescription : WIN32 Network Interface Service Process
InternalName : MPREXE
OriginalFilename : MPREXE.EXE
ProductName : Microsoft(R) Windows(R) Operating System
Created on : 01/01/01
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:4 [mstask.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294955319
Threads : 2
Priority : Normal
FileSize : 116 KB
FileVersion : 4.71.1959.1
ProductVersion : 4.71.1959.1
Copyright : Copyright (C) Microsoft Corp. 1997
CompanyName : Microsoft Corporation
FileDescription : Motor de Programador de tareas
InternalName : TaskScheduler
OriginalFilename : mstask.exe
ProductName : Programador de tareas de Microsoft
Created on : 01/01/01
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:5 [mmtask.tsk]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294852503
Threads : 1
Priority : Normal
FileSize : 1 KB
FileVersion : 4.03.1998
ProductVersion : 4.03.1998
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Multimedia background task support module
InternalName : mmtask.tsk
OriginalFilename : mmtask.tsk
ProductName : Microsoft Windows
Created on : 01/01/01
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:6 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294843795
Threads : 28
Priority : Normal
FileSize : 176 KB
FileVersion : 4.72.3110.1
ProductVersion : 4.72.3110.1
Copyright : (C) Microsoft Corporation 1981-1997
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft(R) Windows NT(R)
Created on : 05/05/99 20:22:00
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:7 [taskmon.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294900155
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
Copyright : Copyright (C) Microsoft Corp. 1998
CompanyName : Microsoft Corporation
FileDescription : Task Monitor
InternalName : TaskMon
OriginalFilename : TASKMON.EXE
ProductName : Microsoft(R) Windows(R) Operating System
Created on : 01/01/01
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:8 [systray.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294887655
Threads : 2
Priority : Normal
FileSize : 32 KB
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
Copyright : Copyright (C) Microsoft Corp. 1993-1998
CompanyName : Microsoft Corporation
FileDescription : Subprograma Bandeja de sistema
InternalName : SYSTRAY
OriginalFilename : SYSTRAY.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 01/01/01
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:9 [ddhelp.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294883651
Threads : 6
Priority : Realtime
FileSize : 32 KB
FileVersion : 4.09.00.0900
ProductVersion : 4.09.00.0900
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Microsoft DirectX Helper
InternalName : DDHelp.exe
OriginalFilename : DDHelp.exe
ProductName : Microsoft
Created on : 08/12/03 18:19:14
Last accessed : 15/05/04 22:00:00
Last modified : 11/12/02 22:14:32
#:10 [navapw32.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\
ProcessID : 4294880199
Threads : 20
Priority : Normal
FileSize : 77 KB
FileVersion : 8.07.17
ProductVersion : 8.07.17
Copyright : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Agent
InternalName : NAVAPW32
OriginalFilename : NAVAPW32.EXE
ProductName : Norton AntiVirus
Created on : 29/04/02 8:53:42
Last accessed : 15/05/04 22:00:00
Last modified : 25/03/02 10:25:26
#:11 [createcd50.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ADAPTEC SHARED\CREATECD\
ProcessID : 4294875499
Threads : 1
Priority : Normal
FileSize : 112 KB
FileVersion : 5.1 (60)
ProductVersion : 5.1 (60)
Copyright : Copyright (c) 1999-2001 Roxio, Inc.
CompanyName : Roxio
FileDescription : Roxio Create CD
InternalName : createcd.exe
OriginalFilename : createcd.exe
ProductName : Easy CD Creator
Created on : 14/09/01 11:48:08
Last accessed : 15/05/04 22:00:00
Last modified : 14/09/01 11:48:08
#:12 [directcd.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\
ProcessID : 4294810415
Threads : 1
Priority : Normal
FileSize : 640 KB
FileVersion : 5.10 (115)
ProductVersion : 5.10 (115)
Copyright : Copyright
CompanyName : Roxio
FileDescription : DirectCD Application
InternalName : DirectCD
OriginalFilename : Directcd.exe
ProductName : DirectCD
Created on : 14/09/01 9:34:38
Last accessed : 15/05/04 22:00:00
Last modified : 14/09/01 9:34:38
#:13 [rundll32.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294831991
Threads : 1
Priority : Normal
FileSize : 24 KB
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
Copyright : Copyright (C) Microsoft Corp. 1991-1998
CompanyName : Microsoft Corporation
FileDescription : Ejecutar un archivo DLL como una aplicaci
InternalName : rundll
OriginalFilename : RUNDLL.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 05/05/99 20:22:00
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:14 [realsched.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\
ProcessID : 4294831227
Threads : 2
Priority : Normal
FileSize : 148 KB
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
OriginalFilename : realsched.exe
ProductName : RealOne Player (32-bit)
Created on : 29/12/03 13:12:35
Last accessed : 15/05/04 22:00:00
Last modified : 29/12/03 13:12:36
#:15 [systemie.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294729643
Threads : 1
Priority : Normal
FileSize : 5 KB
Created on : 10/04/04 13:11:07
Last accessed : 15/05/04 22:00:00
Last modified : 10/04/04 13:11:06
#:16 [wmiexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294664615
Threads : 3
Priority : Normal
FileSize : 16 KB
FileVersion : 5.00.1755.1
ProductVersion : 5.00.1755.1
Copyright : Copyright (C) Microsoft Corp. 1981-1998
CompanyName : Microsoft Corporation
FileDescription : WMI service exe housing
InternalName : wmiexe
OriginalFilename : wmiexe.exe
ProductName : Microsoft(R) Windows NT(R) Operating System
Created on : 01/01/01
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:17 [emule.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\EMULE\
ProcessID : 4294638159
Threads : 3
Priority : Normal
FileSize : 3328 KB
FileVersion : 0.42.4
ProductVersion : 0.42.4
Copyright : Copyright
CompanyName : http://www.emule-project.org
FileDescription : eMule
InternalName : emule.exe
OriginalFilename : emule.exe
ProductName : eMule
Created on : 01/04/04 21:03:26
Last accessed : 15/05/04 22:00:00
Last modified : 01/04/04 21:03:28
#:18 [pstores.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294899587
Threads : 3
Priority : Normal
FileSize : 79 KB
FileVersion : 5.00.1877.3
ProductVersion : 5.00.1877.3
Copyright : Copyright (C) Microsoft Corp. 1981-1998
CompanyName : Microsoft Corporation
FileDescription : Protected storage server
InternalName : Protected storage server
OriginalFilename : Protected storage server
ProductName : Microsoft(R) Windows NT(R) Operating System
Created on : 01/01/01
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:19 [studio.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\WINAMP3\
ProcessID : 4294470511
Threads : 8
Priority : Normal
FileSize : 611 KB
FileVersion : 1, 0, 0, 454
ProductVersion : 1, 0, 0, 454
Copyright : Copyright
CompanyName : Nullsoft
FileDescription : Winamp3
InternalName : Studio
OriginalFilename : Studio.exe
ProductName : Nullsoft Winamp3
Created on : 28/11/01 19:41:16
Last accessed : 15/05/04 22:00:00
Last modified : 28/11/01 19:41:16
#:20 [tapisrv.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294325227
Threads : 5
Priority : Normal
FileSize : 120 KB
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
Copyright : Copyright (C) Microsoft Corp. 1994-1998
CompanyName : Microsoft Corporation
FileDescription : Servidor de telefon
InternalName : Servicio de telefon
OriginalFilename : TAPISRV.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 01/01/01
Last accessed : 15/05/04 22:00:00
Last modified : 05/05/99 20:22:00
#:21 [ad-aware.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 6\
ProcessID : 4294333159
Threads : 3
Priority : Idle
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 26/01/04 20:14:08
Last accessed : 15/05/04 22:00:00
Last modified : 12/07/03 19:00:20
Resultados Escaneo de la memoria:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 0
Inicio escaneo del Registro
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Resultados Escaneo del registro:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 0
Inicio escaneo profundo del Registro
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Resultados Escaneo Profundo del registro:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 0
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Escaneando y examinando archivos en profundidad (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Scanning Hosts file(C:\WINDOWS\hosts)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Hosts file scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
0 entries scanned.
Nuevos objetos:0
Objetos encontrados hasta ahora: 0
16:00:05 Escaneo completo
Resumen Del escaneo
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total tiempo escaneo:00:03:03:890
Objetos Escaneados:35565
Objetos identificados:0
Objetos ignorados:0
Nuevos objetos:0
También instalé el programa a2, lo he actualizado y pasado y no me ha detectado nada.
A ver si por favor me puedes echar una manita. Muchas gracias por todo y un saludo.
-
Por supuesto!! :D
Por favor baja el HijackThis de http://www.spywareinfo.com/~merijn/files/HijackThis.exe y ponelo en una carpeta nueva (por ejemplo C:\HijackThis). Abrilo y apretá Scan, luego Save log, guardalo en la misma carpeta nueva, seleccioná todo en el Bloc de notas y pegalo acá completo.
Espero a que publiques el log.
-
...antes de hacer esta operación cambié la página de inicio para el rato que iba a tener encendido el ordenador, no sé si algo tendrá que ver. Luego como sabeis si vuelvo a apagar y luego lo vuelvo a encender, sale de nuevo quickpromotion.com...Logfile of HijackThis v1.97.7
Scan saved at 21:16:59, on 17/05/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\ARCHIVOS DE PROGRAMA\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\SYSTEMIE.EXE
C:\WINDOWS\SYSTEM\SYSTEMP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\WINAMP3\STUDIO.EXE
C:\ARCHIVOS DE PROGRAMA\EMULE\EMULE.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: CSBrBHO - {96DA5BEE-4ACC-476C-B3EC-54C6730C4293} - C:\ARCHIVOS DE PROGRAMA\COMET\INSTALL\TEMP\BRBHO.DLL (file missing)
O2 - BHO: (no name) - {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - C:\WINDOWS\SYSTEM\MSHTMPRE.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SearchScout Toolbar - {FD7D6851-616E-48DE-AF55-EE2E34F389B0} - C:\ARCHIVOS DE PROGRAMA\SEARCHSCOUTTOOLBAR\SEARCHSCOUTTOOLBAR.DLL (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [CreateCD50] "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadHTML] rundll32.exe C:\WINDOWS\SYSTEM\MSHTMPRE.DLL,MShtmpre
O4 - HKLM\..\Run: [utilidades39es] C:\utilidades39es\UTILIDADES39ES.EXE -t
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [a²] "C:\Archivos de programa\a2\a2guard.exe"
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\IMAGE.DLL,Install
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: SearchScout Search - res://C:\ARCHIVOS DE PROGRAMA\SEARCHSCOUTTOOLBAR\SEARCHSCOUTTOOLBAR.DLL/SEARCHSCOUTMENUSEARCH.HTM
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Inicio (HKLM)
O9 - Extra button: StartMessenger (HKCU)
O9 - Extra 'Tools' menuitem: StartMessenger (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} (HTML Class) - http://www.123mania.com/softhtml.cab
O16 - DPF: {582788CA-7014-4904-A4EE-6FB6108AFE8E} (SrchHook Class) - http://www.123mania.com/asrcware.cab
O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.chicasmodelos.com/ruboskizo2.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.201.69.103/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom2.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37857.4753125
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_es.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt1_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot4_x.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
Muchas gracias.
-
Hola de nuevo.
Por favor, enviá los siguiente archivos para analizar usando el enlace en mi firma. Copiá los archivos a un directorio nuevo (por ejemplo C:\Basura), y una vez copiados hacé un único archivo comprimido con ellos (ZIP). Dicho archivo es el que vas a enviar. En el campo de texto poné "As per FatsGordon request", buscá el archivo con Examinar: y apretá Submit.
C:\WINDOWS\SYSTEM\SYSTEMIE.EXE
C:\WINDOWS\SYSTEM\SYSTEMP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\MSHTMPRE.DLL
C:\WINDOWS\IMAGE.DLL
Para que tengas una idea, el archivo WMIEXE.EXE es de sistema... pero del sistema Windows ME!!!!! Así que es un poquitito sospechoso... En mi opinión es un troyano.
Ahora vas a hacer lo siguiente: cerrá TODOS los programas y las ventanas de explorador, abrí el HijackThis, presioná Scan y poné una marca en cada una de las siguientes entradas:
O2 - BHO: CSBrBHO - {96DA5BEE-4ACC-476C-B3EC-54C6730C4293} - C:\ARCHIVOS DE PROGRAMA\COMET\INSTALL\TEMP\BRBHO.DLL (file missing)
O2 - BHO: (no name) - {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - C:\WINDOWS\SYSTEM\MSHTMPRE.DLL
O3 - Toolbar: SearchScout Toolbar - {FD7D6851-616E-48DE-AF55-EE2E34F389B0} - C:\ARCHIVOS DE PROGRAMA\SEARCHSCOUTTOOLBAR\SEARCHSCOUTTOOLBAR.DLL (file missing)
O4 - HKLM\..\Run: [LoadHTML] rundll32.exe C:\WINDOWS\SYSTEM\MSHTMPRE.DLL,MShtmpre
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\IMAGE.DLL,Install
O8 - Extra context menu item: SearchScout Search - res://C:\ARCHIVOS DE PROGRAMA\SEARCHSCOUTTOOLBAR\SEARCHSCOUTTOOLBAR.DLL/SEARCHSCOUTMENUSEARCH.HTM
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
Apretá Fix checked, cerrá el HijackThis y reiniciá la máquina en modo A prueba de fallos (F8 ). Una vez en dicho modo localizá estos archivos y eliminalos (asegurate de tenerlos zipeados en C:\Basura antes de hacerlo):
C:\WINDOWS\SYSTEM\SYSTEMIE.EXE
C:\WINDOWS\SYSTEM\SYSTEMP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\MSHTMPRE.DLL
C:\WINDOWS\IMAGE.DLL
Una vez eliminados reiniciá la máquina, publicá un nuevo log de HijackThis y enviá los archivos a analizar. Luego de enviados podés eliminar C:\Basura y lo que contiene.
-
Hola de nuevo:
He hecho todo lo que me has dicho, pero los siguientes archivos no he podido eliminarlos, el ordenador me decía que los estaba utilizando en ese momento y que era imposible. No sé si habra otra manera de eliminarlos, yo lo hacía desde "Windows Explorer" y desde "Mi Pc". Ya te he mandado todos los archivos que me dijiste, así que ya me dirás. Por supuesto, he vuelto a reiniciar el ordenador y a cambiar manualmente la página de inicio y me sigue saliendo quickpromotion.com una y otra vez. También realizé las operaciones con HijackThis que me recomendastes y te publico el último log. Espero tus respuestas. Muchas gracias por todo, eres muy amable.
Logfile of HijackThis v1.97.7
Scan saved at 22:21:57, on 18/05/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\ARCHIVOS DE PROGRAMA\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\SYSTEMIE.EXE
C:\WINDOWS\SYSTEM\SYSTEMP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.quickpromotion.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [CreateCD50] "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [utilidades39es] C:\utilidades39es\UTILIDADES39ES.EXE -t
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [a²] "C:\Archivos de programa\a2\a2guard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Inicio (HKLM)
O9 - Extra button: StartMessenger (HKCU)
O9 - Extra 'Tools' menuitem: StartMessenger (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - http://www.123mania.com/softhtml.cab
O16 - DPF: {582788CA-7014-4904-A4EE-6FB6108AFE8E} (SrchHook Class) - http://www.123mania.com/asrcware.cab
O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.chicasmodelos.com/ruboskizo2.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.201.69.103/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom2.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37857.4753125
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_es.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt1_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot4_x.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
-
...los archivos que no pude eliminar eran estos:
C:\WINDOWS\SYSTEM\SYSTEMIE.EXE
C:\WINDOWS\SYSTEM\SYSTEMP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
Gracias por todo otra vez.
-
Por favor, hacé lo siguiente: en un Bloc de notas copiá lo que está a continuación en negrita:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D1228C9-F556-4158-BC0B-D3FF4F3F3E1B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"systemie"=-
Grabalo como fix.reg. Hacé doble click sobre el archivo fix.reg y aceptá. Esto debería detener el accionar del SISTEMIE.EXE, que es un keylogger (troyano).
Luego reiniciá la máquina en modo A prueba de fallos (F8 ) ( http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406 en inglés) e intentá borrar los archivos. Además, buscá e intentá borrar los siguientes archivos:
sysie.dll
systemie.dll
systemie.dat
Luego de eso reiniciá normalmente y publicá un nuevo log de HT.
-
Hola:
He hecho al dedillo todo lo que me has dicho y seguimos igual, sigue saliendo la maldita página. He podido borrar todos los archivos que me dijistes menos el systemie.dat que no lo he encontrado en la carpeta de C/WINDOWS/SYSTEM. Te publico el último log de HijackThis que he hecho. A ver que podemos hacer ahora. Gracias por todo.Logfile of HijackThis v1.97.7
Scan saved at 20:53:58, on 19/05/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\ARCHIVOS DE PROGRAMA\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\SYSTEMP.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.quickpromotion.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [CreateCD50] "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [utilidades39es] C:\utilidades39es\UTILIDADES39ES.EXE -t
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [a²] "C:\Archivos de programa\a2\a2guard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Inicio (HKLM)
O9 - Extra button: StartMessenger (HKCU)
O9 - Extra 'Tools' menuitem: StartMessenger (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - http://www.123mania.com/softhtml.cab
O16 - DPF: {582788CA-7014-4904-A4EE-6FB6108AFE8E} (SrchHook Class) - http://www.123mania.com/asrcware.cab
O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.chicasmodelos.com/ruboskizo2.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.201.69.103/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom2.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37857.4753125
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_es.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt1_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot4_x.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
-
Ok, ahora probemos de limpiar con el HT a ver qué pasa:
Cerrá todos los programas y las ventanas de explorador y abrí el HT. Marcá las siguientes entradas, fijandote especialmente en las O16. Si ves alguna que es relevante (tu ISP, por ejemplo) eliminala de la lista, pero en general parecen sitios non-sanctos:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.quickpromotion.com
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - http://www.123mania.com/softhtml.cab
O16 - DPF: {582788CA-7014-4904-A4EE-6FB6108AFE8E} (SrchHook Class) - http://www.123mania.com/asrcware.cab
O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.chicasmodelos.com/ruboskizo2.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.201.69.103/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom2.cab
O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
También decime si reconocés esto (si no lo reconocés, agregalo a la lista anterior):
O4 - HKLM\..\Run: [utilidades39es] C:\utilidades39es\UTILIDADES39ES.EXE -t
Luego presioná Fix checked, reiniciá y publicá un nuevo log.
-
Seguimos igual. Este es el último log:
Logfile of HijackThis v1.97.7
Scan saved at 23:30:50, on 19/05/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\ARCHIVOS DE PROGRAMA\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\SYSTEMP.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.quickpromotion.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [CreateCD50] "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [a²] "C:\Archivos de programa\a2\a2guard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Inicio (HKLM)
O9 - Extra button: StartMessenger (HKCU)
O9 - Extra 'Tools' menuitem: StartMessenger (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37857.4753125
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_es.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt1_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot4_x.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
-
Uf!
Probemos esto, si no estás cansado (yo no), que encontré en Lavasoft:
Reiniciá la máquina en modo A prueba de fallos (F8 ).
Borrá los siguientes archivos:
Ubicación\NombreDeArchivo.ext - Tamaño (en bytes)
c:\Windows\system32\systemp.dll - 3072
c:\Windows\system32\systemp.exe - 6685
c:\Windows\system32\systesp.dll - 3072
c:\Windows\system32\syssp.dat - 4126 - trojan dropper
c:\Windows\system32\syssp.dll - 3072
c:\Windows\system32\sysp.dll - 3072
c:\Windows\system32\sp.dat - 6685 - trojan dropper
%Windows%\prefetch\SYSTEMP.EXE-10c72959.pf - 6685
(Según yo lo veo, el número en el último renglón es aleatorio, tratá de encontrar algo parecido)
Andá a Inicio->Ejecutar... y escribí Regedit. Luego Enter. Luego vas a buscar dentro del Regedit la siguiente cadena (sin las comillas) "systemsp.dll". Quien hizo esto encontró y BORRÓ estas dos:
[HKEY_CLASSES_ROOT\CLSID\{D2D609D5-D260-4185-A1A7-56573DADD179}\InProcServer32]
@="systemsp.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D2D609D5-D260-4185-A1A7-56573DADD179}\InProcServer32]
@="systemsp.dll"
Las que encuentres van a ser muy parecidas.
Se supone que una vez hecho todo esto ya se terminó la pesadilla. Contame cómo te fue y si pudiste limpiarlo publicá un nuevo log de HT.
-
Muchas gracias, de verdad. No sé como agradecértelo, has hecho un trabajo fantástico. He hecho todo lo que me dijiste y ya no me sale esa maldita página de inicio. Te publico el último log de HijackThis. Repito, muchísimas gracias. Saludos desde España.
Logfile of HijackThis v1.97.7
Scan saved at 20:59:47, on 20/05/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\ARCHIVOS DE PROGRAMA\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [CreateCD50] "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMANTEC\LIVEUP~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [a²] "C:\Archivos de programa\a2\a2guard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Inicio (HKLM)
O9 - Extra button: StartMessenger (HKCU)
O9 - Extra 'Tools' menuitem: StartMessenger (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37857.4753125
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_es.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt1_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot4_x.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
-
Felicitaciones, el log está limpio! :D
Me alegro de que todo esté bien. Un consejo sano: bajate el SpywareBlaster y el SpywareGuard de http://www.javacoolsoftware.com, instalalos y actualizalos, y además bajate el IE-SpyAd de http://www.staff.uiuc.edu/~ehowes/res/ie-spyad.zip. El IE-SpyAd lo deszipeás en una carpeta nueva, le das click a install.bat y elegís la opción 2, luego opción 1, luego cualquier tecla y luego salir, y ya está.
No te olvides de actualizar SIEMPRE estos softwares. En el caso de los primeros dos lo podés hacer por medio del mismo soft, pero en el del IE-SpyAd sólo descargandolo del sitio cada vez que hay una nueva versión.
Estos evitarán que entres por error a determinados sitios.
Por favor, volvé cuando quieras! :D
-
Felicidades a ambos por la paciencia y el esfuerzo... :wink: