hijack this

Hola

Por favor me pueden ayudar??? , estoy cayendo en depresión.

un maldito bicho me redirecciona la página web, hago correr el AD-aware SE, el cual elimina las entradas sospechozas (alrededor de 70), sin embargo al resetear la maquina, vuelven a aparecer.

por favor si no me ayudan voy a teminar peinando muñecas (loco de remate).

Aquí les dejo el log

Logfile of HijackThis v1.98.2

Scan saved at 11:42:05 a.m., on 13/09/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\PCCWIN97.EXE

C:\WINDOWS\TEMP\ZS490C.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\PCTVOICE.EXE

C:\ARCHIVOS DE PROGRAMA\AHEAD\INCD\INCD.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM32\WINMM64.EXE

C:\ARCHIVOS DE PROGRAMA\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\MIS DOCUMENTOS\DESCARGAS\TRUCOSWINDOWS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=hc

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=hc

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=hc

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=hc

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=hc

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=hc

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy-cti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [OfficeScan95] "C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\pccwin97.exe" -HideWindow

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [OfficeScan95] "C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\pccwin97.exe"

O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\SYSTEM32\WINMM64.EXE

O4 - HKCU\..\Run: [S-MSHHMSS-] C:\WINDOWS\S-MSHHMSS-.EXE

O4 - Startup: CstCti.pif = C:\CSTCTI.BAT

O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe

O4 - Startup: Microsoft Outlook.lnk = C:\Archivos de programa\Microsoft Office\Office\OUTLOOK.EXE

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.

Hola

Tu log no parece estar completo, de ser así por favor postealo completo.

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina cada uno estos procesos:

C:\WINDOWS\TEMP\ZS490C.EXE

C:\WINDOWS\SYSTEM32\WINMM64.EXE

Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que esos procesos ya no estén.

Inicia el HijackThis.



Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , cheka las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=hc

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=hc

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=hc

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=hc

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=hc

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=hc

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=hc

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy-cti

O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\SYSTEM32\WINMM64.EXE

O4 - HKCU\..\Run: [S-MSHHMSS-] C:\WINDOWS\S-MSHHMSS-.EXE

O4 - Startup: CstCti.pif = C:\CSTCTI.BAT

Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:

http://www.trucoswindows.net/detalles-110-...ner_151190.html

O si prefieres te lo bajas desde la pagina del autor para asegurarte que sea la ultima versión (es freeware)

http://www.xs4all.nl/~mp2004



Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:

C:\WINDOWS\TEMP\ZS490C.EXE

C:\WINDOWS\SYSTEM32\WINMM64.EXE

C:\WINDOWS\S-MSHHMSS-.EXE

Renombra este archive:

C:\CSTCTI.BAT

Como

C:\CSTCTI.txt

Reinicia normalmente, postea otro log y posteame el contenido del archivo C:\CSTCTI.txt

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.

Gracias, me has salvado nuevamente.

la maquina ahora está estable sin redireccionar IE, ni programas en 2º plano como el winmm64.exe,

aquí adjunto el contenido de CSTCTI.bat ahora en CSTCTI.txt

route add 172.16.0.0 mask 255.255.0.0 172.18.10.10

exit

Gracias otra vez.

Para aprender : qué le viste de sospechoso a esta :

O4 - Startup: CstCti.pif = C:\CSTCTI.BAT

Gracias

Caito

Tomarlo como sospechoso porque si buscas su nombre y su ruta en Google no te muestra ningún resultado, además de que no es un archivo usual de verse.

El contenido parece el de una LAN con router, pero mejor que te diga Alnitak que yo no estoy seguro de eso.

Arwing

Un bat en el arranque es siempre sospechoso, puede ser cualquier cosa, desde un virus que acabe con el sistema operativo hasta un inocente enrutamiento en la red local como en este caso xDD

PenDriver renombra el archivo a bat, osea dejalo como estaba al principio.

Despues abre el HijackThis, dale a Config>>BackUps>>selecciona esta linea:

O4 - Startup: CstCti.pif = C:\CSTCTI.BAT

y dale al boton Restore