Otro más con searchweb2. SOCORRO

  • Autor montoni
  • Fecha de inicio
Estado
Cerrado para nuevas respuestas
M

montoni

Guest
#1
También estoy afectado por la dichosa barrita y página de inicio. Me ha costado muchísimo bajarme el HijackThis, porque cada página que intentaba abrir que tuviese el nombre del programa me era cerrada automáticamente.

Aquí está el log, y ¿después que? Intenta una explicación sencilla y paso a paso porque no soy muy experto. Muchas gracias

Logfile of HijackThis v1.98.0

Scan saved at 16:18:59, on 29/07/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP3\WINAMPA.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\RUNDLL.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\SP.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht.../www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.smrldijqjqhiepjdl.com/Bn3XNdH8m...2a1WfTAel4H.asp

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: (no name) - {A782CBB6-BC21-72B9-7DF0-577C1E718B6F} - C:\ARCHIVOS DE PROGRAMA\MAILGLUE\JUMP LITE.EXE

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [locksonce] C:\ARCHIV~1\MEALBA~1\softaimpoll.exe

O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe

O4 - HKLM\..\Run: [iszyjiy] C:\WINDOWS\SYSTEM\ofnnnq.exe

O4 - HKLM\..\Run: [Rundll] Rundll.exe

O4 - HKLM\..\Run: [Dumb Slow Scr Settings] C:\WINDOWS\Application Data\Grid Date Dumb Slow\Bore way.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [Update Service] C:\ARCHIV~1\ARCHIV~1\TEKNUM~1\UPDATE.EXE /startup

O4 - HKCU\..\Run: [sp] C:\sp.exe

O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: Download with Go!Zilla - file://C:\ARCHIVOS DE PROGRAMA\GO!ZILLA\download-with-gozilla.html

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Backward &Links - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\eurokazaa3\local.htm

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .mid: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .bmp: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Abre el administrador de tareas y termina, si existen, los procesos:

ofnnnq.exe(posiblemente un troyano)

Rundll.exe (este es el Server de troyano littlewitch)

Bore way.exe

UPDATE.EXE

sp.exe

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht.../www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.smrldijqjqhiepjdl.com/Bn3XNdH8m...2a1WfTAel4H.asp

O2 - BHO: (no name) - {A782CBB6-BC21-72B9-7DF0-577C1E718B6F} - C:\ARCHIVOS DE PROGRAMA\MAILGLUE\JUMP LITE.EXE

O4 - HKLM\..\Run: [locksonce] C:\ARCHIV~1\MEALBA~1\softaimpoll.exe

O4 - HKLM\..\Run: [iszyjiy] C:\WINDOWS\SYSTEM\ofnnnq.exe

O4 - HKLM\..\Run: [Rundll] Rundll.exe

O4 - HKLM\..\Run: [Dumb Slow Scr Settings] C:\WINDOWS\Application Data\Grid Date Dumb Slow\Bore way.exe

O4 - HKCU\..\Run: [Update Service] C:\ARCHIV~1\ARCHIV~1\TEKNUM~1\UPDATE.EXE /startup

O4 - HKCU\..\Run: [sp] C:\sp.exe

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde la pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demas que te provoque marcar después le das a Clean).

Reinicia a prueba de fallos

Elimina completamente estas carpetas:

C:\Archivos de programa\ MEALBA~1\ (el nombre ha sido cortado por el hijackthis a 8 caracteres, deberás ver tu cual es el nombre exacto)

C:\Archivos de programa\ TEKNUM~1\ (el nombre ha sido cortado por el hijackthis a 8 caracteres, deberás ver tu cual es el nombre exacto)

C:\ARCHIVOS DE PROGRAMA\MAILGLUE\

C:\WINDOWS\Application Data\Grid Date Dumb Slow\

Y los archivos:

C:\sp.exe

C:\WINDOWS\SYSTEM\ofnnnq.exe

C:\WINDOWS\SYSTEM\RUNDLL.EXE

Reinicia normalmente y dime si se ha arreglado, si no se ha arreglado colócame el nuevo log y colócame también el log del startuplist:

StartupList

Cambia todas tus contraseñas de correos, accesos a cuentas bancarias que hayas accedido desde esa computadora, etc. ya que el troyano littlewitch permite averiguarlas con facilidad en un sistema Windows 98 SE y es posible que el que te haya infectado ya se las sepa todas.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie