Ayuda. offeroptmizer tambien me ha atacado.

Tema en 'Seguridad informática' comenzado por sombragris, 10/10/04.

Estado del tema:
No está abierto para más respuestas.
  1. sombragris

    sombragris Nuevo Miembro Miembro

    Hola, ante todo un saludo a todos, he entrado porque he visto cómo podeis solucionar este problema de que me salten ventanas popup cada vez q abro una pagina distinta del explorer.



    Realmente no sé si tengo derecho a pediros vuestra ayuda porque no he sido nunca miembro de este foro hasta la fecha, pero me hariais un gran favor si me dijerais cómo solucionar el problema.



    He visto en otros posts que la cosa es poneros el log que sale con el Hijackthis y decís que es lo que hay que eliminar. Os lo pongo, y muchísimas gracias por adelantado:





    Logfile of HijackThis v1.97.7

    Scan saved at 15:05:18, on 10/10/2004

    Platform: Windows XP SP1 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\windows\system\hpsysdrv.exe

    C:\HP\KBD\KBD.EXE

    C:\WINDOWS\system32\dla\tfswctrl.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\QuickTime\qttask.exe

    C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

    C:\Archivos de programa\Common files\updmgr\updmgr.exe

    C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe

    C:\Program Files\Windows SyncroAd\SyncroAd.exe

    C:\WINDOWS\System32\njkxsn.exe

    C:\Program Files\Windows SyncroAd\WinSync.exe

    C:\WINDOWS\NCLAUNCH.EXe

    C:\Archivos de programa\Archivos comunes\GMT\GMT.exe

    C:\Archivos de programa\hp center\137903\Program\BackWeb-137903.exe

    C:\WINDOWS\System32\nvsvc32.exe

    C:\Archivos de programa\Web_Rebates\WebRebates1.exe

    C:\Archivos de programa\Web_Rebates\WebRebates0.exe

    C:\Archivos de programa\eMule\emule.exe

    C:\Archivos de programa\mirc\mirc32.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Downloads\HijackThis.exe



    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://approvedlinks.com/sp.htm

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://approvedlinks.com/sp.htm

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://approvedlinks.com/sp.htm

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trucoswindows.net/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sp5.hpwis.com/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-sp5.hpwis.com/

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sp5.hpwis.com/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tefs.com/searchbar.html

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.tefs.com/searchbar.html

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sp5.hpwis.com/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-sp5.hpwis.com/

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srch-sp5.hpwis.com/

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tefs.com/searchbar.html

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://approvedlinks.com/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\ARCHIV~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)



    O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll

    O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\ARCHIV~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll

    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

    O2 - BHO: (no name) - {D44B5436-B3E4-4595-B0E9-106690E70A58} - C:\DOCUME~1\PROPIE~1\DATOSD~1\yllkdrotgl.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

    O3 - Toolbar: Accessories - {9B35A850-66AB-4c6d-8A66-136ECADCD904} - C:\DOCUME~1\PROPIE~1\DATOSD~1\yllkdrotgl.dll

    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

    O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

    O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

    O4 - HKLM\..\Run: [updmgr] C:\Archivos de programa\Common files\updmgr\updmgr.exe

    O4 - HKLM\..\Run: [CMESys] "C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe"

    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

    O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

    O4 - HKLM\..\Run: [ehcktrmeo] C:\WINDOWS\System32\njkxsn.exe

    O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe

    O4 - HKLM\..\Run: [WebRebates0] "C:\Archivos de programa\Web_Rebates\WebRebates0.exe"

    O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Archivos de programa\Microsoft Works\WkDetect.exe

    O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe

    O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\djtopr1150.exe"

    O4 - Global Startup: GStartup.lnk = C:\Archivos de programa\Archivos comunes\GMT\GMT.exe

    O4 - Global Startup: hp center.lnk = C:\Archivos de programa\hp center\137903\Program\BackWeb-137903.exe

    O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm

    O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm

    O8 - Extra context menu item: Web Rebates - file://C:\Archivos de programa\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

    O9 - Extra button: Related (HKLM)

    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

    O9 - Extra button: FlashGet (HKLM)

    O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

    O9 - Extra button: Messenger (HKLM)

    O9 - Extra 'Tools' menuitem: Messenger (HKLM)

    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...3cac49effa47610

    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab

    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
  2. Arwing

    Arwing Guest

    Hola, por curiosidad ¿de dónde has bajado el HJT?, ya que tienes una versión relativamente antigua, la más nueva es la 1.98.2. Puedes descargarla desde http://merijn.arwinianos.net



    También actualiza tu software RealPlayer y QuickTime.



    Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:



    http://www.trucoswindows.net/forowindows/manuales-seguridad/19526-manual-pasos-seguir-hijackthis.html



    Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):



    C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

    C:\Archivos de programa\Common files\updmgr\updmgr.exe

    C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe

    C:\Program Files\Windows SyncroAd\SyncroAd.exe

    C:\WINDOWS\System32\njkxsn.exe

    C:\Program Files\Windows SyncroAd\WinSync.exe

    C:\Archivos de programa\Archivos comunes\GMT\GMT.exe

    C:\Archivos de programa\Web_Rebates\WebRebates1.exe

    C:\Archivos de programa\Web_Rebates\WebRebates0.exe



    Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.



    Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):



    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://approvedlinks.com/sp.htm

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://approvedlinks.com/sp.htm

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://approvedlinks.com/sp.htm

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trucoswindows.net/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sp5.hpwis.com/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-sp5.hpwis.com/

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sp5.hpwis.com/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tefs.com/searchbar.html

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.tefs.com/searchbar.html

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sp5.hpwis.com/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-sp5.hpwis.com/

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srch-sp5.hpwis.com/

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tefs.com/searchbar.html

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://approvedlinks.com/



    R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\ARCHIV~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)



    O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll

    O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\ARCHIV~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)

    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll

    O2 - BHO: (no name) - {D44B5436-B3E4-4595-B0E9-106690E70A58} - C:\DOCUME~1\PROPIE~1\DATOSD~1\yllkdrotgl.dll



    O3 - Toolbar: Accessories - {9B35A850-66AB-4c6d-8A66-136ECADCD904} - C:\DOCUME~1\PROPIE~1\DATOSD~1\yllkdrotgl.dll



    O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

    O4 - HKLM\..\Run: [updmgr] C:\Archivos de programa\Common files\updmgr\updmgr.exe

    O4 - HKLM\..\Run: [CMESys] "C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe"

    O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

    O4 - HKLM\..\Run: [ehcktrmeo] C:\WINDOWS\System32\njkxsn.exe

    O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe

    O4 - HKLM\..\Run: [WebRebates0] "C:\Archivos de programa\Web_Rebates\WebRebates0.exe"



    O8 - Extra context menu item: Web Rebates - file://C:\Archivos de programa\Web_Rebates\Sy1150\Tp1150\scri1150a.htm



    O9 - Extra button: Related (HKLM)

    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)



    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...3cac49effa47610

    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -



    Y da click en el botón "Fix Checked"



    Descarga el programa Disk Cleaner y úsalo para borrar todos los archivos temporales de tu computadora.



    Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos



    Ahora busca los siguientes archivos y carpetas y bórralos:





    C:\WINDOWS\System32\P2P Networking\

    C:\Archivos de programa\Common files\updmgr\

    C:\Archivos de programa\Archivos comunes\CMEII\

    C:\WINDOWS\System32\njkxsn.exe

    C:\Program Files\Windows SyncroAd\

    C:\Archivos de programa\Archivos comunes\GMT\

    C:\Archivos de programa\Web_Rebates\

    C:\ARCHIV~1\PERFEC~1\

    C:\WINDOWS\localNRD.dll

    C:\WINDOWS\2_0_1browserhelper2.dll

    C:\DOCUME~1\PROPIE~1\DATOSD~1\yllkdrotgl.dll

    C:\Archivos de programa\Archivos comunes\CMEII\

    C:\WINDOWS\System32\njkxsn.exe

    C:\WINDOWS\conscorr.exe



    Reinicia el sistema y prueba que tal te va ahora.



    Saludos

    Arwing
  3. sombragris

    sombragris Nuevo Miembro Miembro

    muchisimas gracias, Arwing. Ya parece que todo va bien.



    A proposito, una ultima cosa, cuando ejecute lo del hijackthis me aparecieron en una carpeta un monton de archivitos extraños del tipo backup-20041011-001326-117





    que son? los borro?





    MUCHISIMAS GRACIAS DE NUEVO POR TU AYUDA!
  4. alnitak

    alnitak Nuevo Miembro Miembro

    Son los backups del hijackthis para restaurar alguna entrada si te equivocas a la hora de marcar. Si tu sistema ha quedado bien ejecuta el hijackthis >> clic sobre config >> cpestaña backups >> clic sobre Delete all
  5. sombragris

    sombragris Nuevo Miembro Miembro

    OK. Ya está hecho. Muchísimas gracias de nuevo por vuestra ayuda. Sois geniales.
Estado del tema:
No está abierto para más respuestas.

Comparte esta página