Borrar Newdot.net (tambien va Hijackthis)

Estado
Cerrado para nuevas respuestas

Verojane

Nuevo Miembro
Miembro
#1
Hace un tiempo aparecio el la lista de inicio "Newdot", he tratado de borrarlo con el regedit y desde Archivos de Programa ( no me deja), he ejecutado el ad-aware y el spybot, en modo a prueba de fallos y no encuentra nada de Newdot.

Ademas uso Winmx con internet de 64k y ha estado super lento o empieza bien hasta el 4% y luego cae hasta 0k/s, y cuando lo reconfiguro dice "winmx is unable to receive incoming TCP connections from the internet", saque el cortafuegos de windows, abri los puertos tcp 6699 y udp 6257, y no hay cambios.

Tambien uso 2 antivirus, y siempre cuando voy en el segundo, salta el primero(avg), y dice que hay un archivo contaminado en la carpeta Temp de Documents and Settings, y el archivo no existe.

Agradezco cualquier tipo de ayuda para solucionar lo que se pueda.

Logfile of HijackThis v1.98.2

Scan saved at 21:34:27, on 02-12-2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\Grisoft\AVG6\avgcc32.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\AutoDetector\monitor.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\AVPersonal\AVGNT.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\YAHOO!\MESSEN~1\ymsgr_tray.exe

C:\Archivos de programa\MyEmoticons\MYEMOTICONS.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\AVPersonal\AVGUARD.EXE

C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe

C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\mqsvc.exe

C:\WINDOWS\System32\mqtgsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HijackThis\HijackThis_1.98.2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://humxxaoowh.info/Yk/Sd_wrRAkK3HQmtP5...PPhxW5hxOKY.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://crackspider.net/ie/assist.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://best-search.cc/index.php?v=6&aff=4099742

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts

O1 - Hosts: 81.211.105.69 lender-search.com

O1 - Hosts: 81.211.105.68 hot-searches.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2D5713E6-0E6B-F42B-660F-14D029E74869} - C:\DOCUME~1\User\DATOSD~1\0132~1\Warn Bat.exe

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_38.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7694E640-93B5-F073-3036-0F36ED32D0A5} - C:\DOCUME~1\User\DATOSD~1\0132~1\Warn Bat.exe

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O3 - Toolbar: (no name) - {930E4DE1-973D-42D6-BF6E-6788E06BD003} - (no file)

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [AVG_CC] C:\Archivos de programa\Grisoft\AVG6\avgcc32.exe /startup

O4 - HKLM\..\Run: [OSS] c:\windows\system32\ossproxy.exe -boot

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Archivos de programa\Archivos comunes\Ulead Systems\AutoDetector\monitor.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [ImInstaller] C:\DOCUME~1\User\CONFIG~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -product IncrediMail

O4 - HKLM\..\Run: [EPSON Stylus C63 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE /P23 "EPSON Stylus C63 Series" /O6 "USB001" /M "Stylus C63"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WinBrush] C:\Documents and Settings\User\Escritorio\WinBrush 2002\winbrush.exe /S

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [TypeJump] C:\DOCUME~1\User\DATOSD~1\FORKTE~1\SafeHtmSoft.exe

O4 - HKCU\..\Run: [MyEmoticons] C:\Archivos de programa\MyEmoticons\MYEMOTICONS.EXE

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1029.dll,InstantAccess

O4 - HKCU\..\Run: [Dialer] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\MSA32CHK.dll,Reg BeachBoys

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZZ

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: Musica - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp37\entrar.html (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: BeachBoys - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\User\Datos de programa\MATRIX\BeachBoys\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: BeachBoys - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\User\Datos de programa\MATRIX\BeachBoys\LanzarDll.exe (HKCU)

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: ChatSpace Full Java Client 3.1.0.239 - http://200.28.222.242:8002/Java/cfs31239.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab

O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EC..._1029_ES_XP.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...7330495fb00c2db

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://01.sharedsource.org/html/TriacomUD_1.0.0.2ie.cab?

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...403/mcfscan.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_ES_XP.cab
 
A

Arwing

Guest
#2
Hola, no sé si WinMX venga con spyware o no, deberías investigarlo, pero a mi me parece que el NewDotNet quizá haya venido con el WinMX u otro similar que hayas usado recientemente.

Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:

https://www.trucoswindows.net/forowindows/temas/manual-pasos-a-seguir-para-el-uso-hijackthis.19526/

Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):

C:\DOCUME~1\User\DATOSD~1\0132~1\Warn Bat.exe

c:\windows\system32\ossproxy.exe

C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL

C:\DOCUME~1\User\DATOSD~1\FORKTE~1\SafeHtmSoft.exe

C:\WINDOWS\System32\MSA32CHK.dll

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://humxxaoowh.info/Yk/Sd_wrRAkK3HQmtP5...PPhxW5hxOKY.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://crackspider.net/ie/assist.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://best-search.cc/index.php?v=6&aff=4099742
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {2D5713E6-0E6B-F42B-660F-14D029E74869} - C:\DOCUME~1\User\DATOSD~1\0132~1\Warn Bat.exe
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {7694E640-93B5-F073-3036-0F36ED32D0A5} - C:\DOCUME~1\User\DATOSD~1\0132~1\Warn Bat.exe
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [OSS] c:\windows\system32\ossproxy.exe -boot
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [TypeJump] C:\DOCUME~1\User\DATOSD~1\FORKTE~1\SafeHtmSoft.exe
O4 - HKCU\..\Run: [Dialer] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\MSA32CHK.dll,Reg BeachBoys
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZZ
O9 - Extra button: Musica - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp37\entrar.html (file missing)
O9 - Extra button: BeachBoys - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\User\Datos de programa\MATRIX\BeachBoys\LanzarDll.exe (HKCU)
O9 - Extra 'Tools' menuitem: BeachBoys - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\User\Datos de programa\MATRIX\BeachBoys\LanzarDll.exe (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: ChatSpace Full Java Client 3.1.0.239 - http://200.28.222.242:8002/Java/cfs31239.cab
O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EC..._1029_ES_XP.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...7330495fb00c2db
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://01.sharedsource.org/html/TriacomUD_1.0.0.2ie.cab?
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_ES_XP.cab

Y da click en el botón "Fix Checked"

Descarga el programa Disk Cleaner y úsalo para borrar todos los archivos temporales de tu computadora.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y carpetas y bórralos:

C:\Archivos de programa\NewDotNet\

C:\DOCUME~1\User\DATOSD~1\0132~1\

c:\windows\system32\ossproxy.exe

C:\DOCUME~1\User\DATOSD~1\FORKTE~1\

C:\WINDOWS\System32\MSA32CHK.dll

C:\Documents and Settings\User\Datos de programa\MATRIX\

Reinicia el sistema y prueba que tal te va ahora.

Saludos

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie