Ayuda eliminar secuestro pagina de inicio. LogFile

Estado
Cerrado para nuevas respuestas

hcmontana

Nuevo Miembro
Miembro
#1
Aqui muestro el logfile que me ha proporcionado el Hijackthis 1.98

Espero que alguien pueda ayudarme.

Un saludo , gracias.

Logfile of HijackThis v1.98.0

Scan saved at 15:01:16, on 02/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System\update.exe

C:\Archivos de programa\NoAds\NoAds.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador\Mis documentos\aplicaciones\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {270D9A26-54B6-4AD9-9CD4-13C0B9203AAE} - C:\WINDOWS\System32\ebpne.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1629.0\es\msntb.dll

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [systray] C:\WINDOWS\System32\a.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Free Edition\bdnagent.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\update.exe

O4 - HKCU\..\Run: [NoAds] "C:\Archivos de programa\NoAds\NoAds.exe"

O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://petite-virgins.biz/dl/adv74/x.chm::/load.exe

O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/internet-optimi...DistIOcrack.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B69A96D-54A4-43C1-BC7A-1BD3F76E26A8}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Filter: text/html - {E12267F1-5606-4FE5-B9A7-E0651A178513} - C:\WINDOWS\System32\ebpne.dll

O18 - Filter: text/plain - {E12267F1-5606-4FE5-B9A7-E0651A178513} - C:\WINDOWS\System32\ebpne.dll
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Nota: Para poder ver archivos y carpetas ocultas en XP tenemos que abrir: MI PC>>menú herramientas>>opciones de carpeta>>pestaña Ver>>marcar las casillas de Mostrar todos los archivos y carpetas ocultas y Mostrar el contenido de las carpetas de sistema.

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

[systray] C:\WINDOWS\System32\a.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

[System Update] C:\WINDOWS\System\update.exe

Desactiva la opción de restaurar el sistema, para hacerlo:

Tecla Ctrl + tecla de pausa>>pestaña restaurar el sistema>>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

o

Inicio>>Control Panel>>Sistema>>pestaña restaurar el sistema>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix. (Las que todavía estén presentes)

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {270D9A26-54B6-4AD9-9CD4-13C0B9203AAE} - C:\WINDOWS\System32\ebpne.dll

O4 - HKLM\..\Run: [systray] C:\WINDOWS\System32\a.exe

O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\update.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://petite-virgins.biz/dl/adv74/x.chm::/load.exe

O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe

O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/internet-optimi...DistIOcrack.CAB

O18 - Filter: text/html - {E12267F1-5606-4FE5-B9A7-E0651A178513} - C:\WINDOWS\System32\ebpne.dll

O18 - Filter: text/plain - {E12267F1-5606-4FE5-B9A7-E0651A178513} - C:\WINDOWS\System32\ebpne.dll

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde lla pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Reinicia en modo seguro

Elimina estos archivos:

C:\WINDOWS\System32\ebpne.dll

C:\WINDOWS\System32\a.exe

C:\WINDOWS\System\update.exe

Vuelve a eliminar los archivos temporales

Entra a la carpeta:

C:\Documents and Settings\Administrador\Configuración local\Temp

Asegurate que ya no esté el archivo

sp.html

Si todavía está presente eliminalo

Reinicia normalmente y vuelve a activar la opción de restaurar el sistema.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie