mi navegador cambia de pagina cada 5 minutos

Tema en 'Seguridad informática' comenzado por GraNiC, 28/4/05.

Estado del tema:
No está abierto para más respuestas.
  1. GraNiC

    GraNiC Nuevo Miembro Miembro

    Yo Tengo un problema muy parecido al de los demas con los spyware o ad-ware o como se llamen, trate de seguir indicaciones dadas para los demas problemas ya que eran muy parecidos y ver si podia solucionarlo sin nececidar de postear pero todo sigue igual mi pagina de inicio es distinta ala que originalmente tenia, me aparece un icono enseguida del reloj que es un circulo rojo con una equis blanka en el centro, me aparecen mensajes de que tengo spyware y si quiero eliminar mi problema darle en aceptar pero lo hago y me manda a una pagina donde venden anti spywares, cada 10 minutos me cambia la pagina en la que estoy para enviarme a una pornografica y ya no se que hacer, espero que me puedan ayudar, ya baje los programas que se han mencionado en la pagina ad-aware, spybot, etc.. pero nada de esto me da resultado dicen que ya lo eliminaron pero no, el problema persiste.



    ojala me pudieran ayudar, estoy muy desesperado :(
  2. alnitak

    alnitak Nuevo Miembro Miembro

    Por favor, bájate el HijackThis 1.99.1 descomprímelo en c:\ ejecútalo, dale a Do a system scan and save a log, salva el log y cópialo aquí.
  3. GraNiC

    GraNiC Nuevo Miembro Miembro

    esto me aparece en el log



    Logfile of HijackThis v1.99.1

    Scan saved at 02:58:53 p.m., on 28/04/05

    Platform: Windows 98 Gold (Win9x 4.10.1998)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



    Running processes:

    C:\WINDOWS\SYSTEM\KERNEL32.DLL

    C:\WINDOWS\SYSTEM\MSGSRV32.EXE

    C:\WINDOWS\SYSTEM\MPREXE.EXE

    C:\WINDOWS\SYSTEM\MSTASK.EXE

    C:\WINDOWS\SYSTEM\mmtask.tsk

    C:\WINDOWS\EXPLORER.EXE

    C:\WINDOWS\TASKMON.EXE

    C:\WINDOWS\SYSTEM\SYSTRAY.EXE

    C:\WINDOWS\LOADQM.EXE

    C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

    C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

    C:\WINDOWS\ESCRITORIO\HIJACKTHIS\HIJACKTHIS.EXE



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0179/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=megared.com.mx:4000

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

    O4 - HKLM\..\Run: [LoadQM] loadqm.exe

    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

    O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

    O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

    O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

    O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
  4. GraNiC

    GraNiC Nuevo Miembro Miembro

    Con el BitDefender antivirus online me salieron estos resultados de archivos infectados:



    BitDefender Online Scanner - Real Time Virus Report







    Generated at: Thu, Apr 28, 2005 - 16:00:55





    --------------------------------------------------------------------------------











    Scan Info







    Scanned Files

    7578



    Infected Files

    4

















    Virus Detected







    Trojan.Downloader.Esepor.Y

    1



    BehavesLike:Trojan.Downloader

    3
  5. Caito

    Caito Nuevo Miembro Miembro

  6. GraNiC

    GraNiC Nuevo Miembro Miembro

    Utilice el Pc cillin y no me encuentra nada...

    que otra cosa puedo hacer?
  7. GraNiC

    GraNiC Nuevo Miembro Miembro

    despues de varios intentos si me encotro algo y me salioe sto en el log:



    "Spyware Log","2005/04/28","M3X7R0"

    "Time","Threat Name","Result"

    "18:34","COOKIE_2574","Spyware Detected"

    "18:34","COOKIE_2817","Spyware Detected"

    "18:34","COOKIE_3163","Spyware Detected"

    "18:37","COOKIE_2574","Clean succeeded"

    "18:37","COOKIE_2817","Clean succeeded"

    "18:37","COOKIE_3163","Clean succeeded"
  8. Caito

    Caito Nuevo Miembro Miembro

    Evindentemente no tienes nada grave, pienso que con el AdAware Se y un buen AV

    y si puedes un firewall estarás bien protegido.

    salu2

    Caito
  9. GraNiC

    GraNiC Nuevo Miembro Miembro

    con el Ad-aware se que stoy protegido pero no hayo como kitar ese programa que es el que hace que se me cambien las paginas, su icono que esta enseguida del reloj de la maquina es un icono rojo con una equis blanka que me manda ala pagina www.newgenlook.com y que creo que que es lo que que mesta causando este problema por que ya utilize muchos programas pero no e podido kitarlo, en el spybot me dice que no me puede borrar esto por que esta en uso, pero no puedo cerrarlo nisiquiera desactivarlo antes de que corra.

    el error del spybot dice Xuron 55 (Datei C:/windows/win.ini kann nicht geoffnet werden. el proceso no tiene acceso al archivo por que esta siendo utilizado por otro proceso



    que puedo hacer?
  10. Caito

    Caito Nuevo Miembro Miembro

    Haz que se vean todos los archivos:

    Haga doble clic en el icono Mi PC en el escritorio de Windows.

    Haga clic en el menú Ver, y después en Opciones u Opciones de carpeta.

    Haga clic en la pestaña Ver.

    Realice uno de los siguientes pasos:

    Windows 95. Seleccione "Mostrar todos los archivos".

    Windows 98. En el cuadro Configuraciones avanzadas, en la carpeta

    "Archivos ocultos", seleccione Mostrar todos los archivos.

    Haga clic en Aplicar y después en Aceptar.

    Lanza el hijack y pon un nuevo log.

    Salu2

    Caito

    Pd: probaste de ejecutar el SpyBot en Modo a Prueba de Fallos?

    1.- Salga de todos los programas

    2.- Seleccione Inicio, Apagar el sistema.

    3.- Apague la computadora, y aguarde 10 segundos (no use el botón RESET, usted debe apagar su PC para borrar cualquier posible virus en memoria).

    4.- Encienda su PC.

    5.- pulse F8 repedidas veces hasta que salga un menu

    6.- Seleccione "Modo a prueba de fallos"
  11. GraNiC

    GraNiC Nuevo Miembro Miembro

    este es el log:

    Logfile of HijackThis v1.99.1

    Scan saved at 06:32:21 p.m., on 04/29/2005

    Platform: Windows 98 Gold (Win9x 4.10.1998)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



    Running processes:

    C:\WINDOWS\SYSTEM\KERNEL32.DLL

    C:\WINDOWS\SYSTEM\MSGSRV32.EXE

    C:\WINDOWS\SYSTEM\MPREXE.EXE

    C:\WINDOWS\SYSTEM\MSTASK.EXE

    C:\WINDOWS\SYSTEM\mmtask.tsk

    C:\ARCHIVOS DE PROGRAMA\TREND MICRO\INTERNET SECURITY 2005\PCCTLCOM.EXE

    C:\WINDOWS\EXPLORER.EXE

    C:\ARCHIVOS DE PROGRAMA\TREND MICRO\INTERNET SECURITY 2005\PCCIOMON.EXE

    C:\ARCHIVOS DE PROGRAMA\TREND MICRO\INTERNET SECURITY 2005\TMPFW.EXE

    C:\WINDOWS\TASKMON.EXE

    C:\WINDOWS\SYSTEM\SYSTRAY.EXE

    C:\WINDOWS\LOADQM.EXE

    C:\ARCHIVOS DE PROGRAMA\TREND MICRO\INTERNET SECURITY 2005\PCCGUIDE.EXE

    C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

    C:\ARCHIVOS DE PROGRAMA\TREND MICRO\INTERNET SECURITY 2005\TMPROXY.EXE

    C:\WINDOWS\SYSTEM\DDHELP.EXE

    C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

    C:\WINDOWS\ESCRITORIO\DESINFECTAR\HIJACKTHIS\HIJACKTHIS.EXE



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0179/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=megared.com.mx:4000

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

    O4 - HKLM\..\Run: [LoadQM] loadqm.exe

    O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 2005\pccguide.exe"

    O4 - HKLM\..\Run: [SpySpotter] C:\ARCHIVOS DE PROGRAMA\SPYSPOTTER\SpySpotter.exe -onreboot

    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

    O4 - HKLM\..\RunServices: [PcCtlCom] C:\ARCHIVOS DE PROGRAMA\TREND MICRO\INTERNET SECURITY 2005\PCCTLCOM.EXE

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\RunServices: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

    O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

    O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

    O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

    O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab
  12. Arwing

    Arwing Guest

    Busca si en tu sistema se encuentran alguno de estos archivos y los borras: popup_bl.dll y systr.dll.



    Arwing
  13. GraNiC

    GraNiC Nuevo Miembro Miembro

    tratando con el modo aprueba de fallos sigue igual, el problema es que se me instala en enseguida del reloj un icono circular color rojo con una equiz blanca enseguida del reloj ese es el causante del problema pero no puedo quitarlo, al momento de darle click con el boton derecho para ver si me da mas opciones me abre la pagina de www.newgenlook.com la que tengo como pagina de inicio por causa de este programa y es el que me cambia la pagina en la cual estoy en el navegador cuando se le viene en gana a hacia la misma pagina.



    ya no c que hacer... :(
  14. Arwing

    Arwing Guest

    A ver, busca estos otros archivos y dime si te aparecen en tu sistema:



    param32.dll

    guninstall.exe

    popup_bl.dll



    Arwing
  15. Caito

    Caito Nuevo Miembro Miembro

    Baja este programa :



    http://www.cs.nyu.edu/~vs667/articles/hoto...lentRunners.zip

    Crea una carpeta para ese programa, descomprímelo,ejecúta el Silent Runners.vbs file,

    abre Startup Programs.txt un log que se acaba de crear en la misma carpeta del programa, lo copias y lo pegas como respuesta a este tema.



    Salu2

    Caito
  16. GraNiC

    GraNiC Nuevo Miembro Miembro

    "Silent Runners.vbs", revision 35, http://www.silentrunners.org/

    Operating System: Windows 98

    Output limited to non-default values, except where indicated by "{++}"





    Startup items buried in registry:

    ---------------------------------



    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

    "MsnMsgr" = ""C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background" [MS]



    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

    "ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]

    "TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]

    "SystemTray" = "SysTray.Exe" [MS]

    "LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]

    "LoadQM" = "loadqm.exe" [MS]

    "pccguide.exe" = ""C:\Archivos de programa\Trend Micro\Internet Security 2005\pccguide.exe"" ["Trend Micro Incorporated."]



    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}

    "LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]

    "SchedulingAgent" = "mstask.exe" [MS]

    "TmPfw" = (no data)

    "PcCtlCom" = "C:\ARCHIVOS DE PROGRAMA\TREND MICRO\INTERNET SECURITY 2005\PCCTLCOM.EXE" ["Trend Micro Incorporated."]
  17. Caito

    Caito Nuevo Miembro Miembro

    Eso es todo el log ?

    Salu2

    Caito
  18. GraNiC

    GraNiC Nuevo Miembro Miembro

    Ese fue todo el log que me salio, y si me aparecieron esos archivos .dll, que hago con ellos, los borro?
  19. Caito

    Caito Nuevo Miembro Miembro

    Baja este programa:

    http://www.takefiles.com/scanwith/KillBox.zip

    Ejecuta el programa:

    Selecciona la opción 'Unregister DLL before deleting' y "Delete on reboot" (Eliminar al reiniciar).



    En el recuadro etiquetado como "Full path of file to delete" (Ruta completa del archivo a eliminar), copia tal cual la ruta del archivo que puede ser este :

    C:\WINNT\System32\systr.dll o este C:\WINDOWS\System32\guninst.exe o este

    C:\WINDOWS\system32\ Param32.dll o este popup_bl.dll o este svrhost.exe





    pon uno por vez ( si encontraste más de uno ), y luego :

    pulsa el botón que parece un circulo rojo con una X blanca en él. Cuando te pregunte si deseas reiniciar ahora ("Reboot now"), dile que NO.

    y pones el otro archivo , y cuando están todos :

    y te pregunte si deseas reiniciar ahora ("Reboot now"), dile que SÍ (YES).

    Se reiniciará la pc.

    Luego del reinicio :



    Cierra todas las aplicaciones

    Lanza el Hijack

    Scan y luego Fix a estas:



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0179/

    Ejecuta el Disk Cleaner y luego el Microsoft Antispiware

    Y pega un nuevo log.

    Salu2

    Caito

    Pd : cuales archivos encontraste ?(de los que te puso Arwing )
  20. GraNiC

    GraNiC Nuevo Miembro Miembro

    si, esos fueron los que encontre, boy a seguir los pasos que me dijistes para poder limpiar la maquina, ojala funcionen.

    gracias
Estado del tema:
No está abierto para más respuestas.

Comparte esta página