Pagina de inicio cambiada

  • Autor -frankie-
  • Fecha de inicio
Estado
Cerrado para nuevas respuestas
F

-frankie-

Guest
#1
Saludos a todos y enhorabuena por el foro.

Desde hace un mes, mi pagina de inicio no es la habitual (maduixa.net).Ahora me aparece richfind.com, con una barra de dicha pagina y por otro lado, no puedo navegar mas de una hora seguida.

Tambien desde hace una semana, cuando abro el Explorer, me aparece un mensaje en pantalla procedente de www.richfind.com en que se me avisa de que tengo el spyware "wild tangent".

He pasado el ad-aware, spyboot y otros programas, y no me detectan nada.

He estado analizando el logfile del HijackThis, pero tengo miedo de borrar algo que sea importante para el funcionamiento del ordenador.

Logfile of HijackThis v1.97.7

Scan saved at 23:37:40, on 17/10/2004

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\System32\winlogon.exe

C:\WINNT\System32\services.exe

C:\WINNT\System32\lsass.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\NISUM.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Norton Antivirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINNT\System32\nvsvc32.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\ptssvc.exe

C:\WINNT\System32\regsvc.exe

C:\Archivos de programa\Norton Antivirus\SAVScan.exe

C:\WINNT\System32\MSTask.exe

C:\WINNT\System32\ScsiAccess.EXE

C:\ARCHIV-1\NORTON-1\SPEEDD-1\nopdb.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.exe

C:\WINNT\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\nuevo\Winamp3\winampa.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Kodak\KODAK Software

Updater\7288971\Program\backWeb-7288971.exe

C:\Archivos de programa\Caplio Software\RGateL.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Hjt\HijackThis.exe

C:\WINNT\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://www.richfind.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.richfind.com/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.richfind.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

http://www.richfind.com/ie/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.richfind.com/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://www.richfind.com/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.richfind.com/ie/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

http://www.richfind.com/ie/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =

http://maduixa.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Vinculos

R3 - URLSearchHook: Richfind - {9E0D98ED-D8A4-4FD3-8082-0B904A6F05B7} -

C:\WINNT\System32\Q11280046.dll

02 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)

02 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

02- BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\ARCHIV-1\SPYBOT-1\SDHelper.dll

02 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Antivirus\NavShExt.dll

02 - BHO: (no name) - {C2DEB9B4-4062-41AB-978A-FF5417B6A654} -

C:\WINNT\System32\Q11280046.dll

02 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} -

C:\WINNT\dealhlpr.dll

03 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -

C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

03 - Toolbar: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} -

C:\WINNT\dealhlpr.dll

03 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINNT\System32\msdxm.ocx

03 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)

03 - Toolbar: Richfind - {8C91E6E2-6D4A-4FBD-873A-E14048C600F5} -

C:\WINNT\System32\Q11280046.dll

04 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

04 - HKLM\..\Run: [Soundman] SOUNDMAN.EXE

04 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINNT\System32\NVCpl.dll,NVStartup

04 - HKLM\..\Run: [nwiz] nwiz.exe /install

04 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\SymantecShared\ccApp.exe"

04 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\SymantecShared\ccRegVfy.exe"

04 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

04 - HKLM\..\Run: [WinampAgent] "C\Archivos de

programa\nuevo\Winamp3\winampa.exe

04 - HKLM\..\Run: [Security iGuard] C:\Archivos de programa\Security iGuard\Security iGuard.exe

04 - HKCU\..\Run: [EXPL32.EXE] C:\WINNT\system\EXPL32.EXE

04 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV-1\SYMNET-1\SNDMon.exe

04 - HKCU\..\Run: [Spyware Begone] C:\freescan.exe -FastScan

04 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

04 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\Kodak Software Updater\7288971\Program\backWeb-7288971.exe

04 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\0SA9.EXE

04 - Global Startup: RICOH Gate La.lnk = C:\Archivos de programa\Caplio

Software\RGateL.exe

04 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de

programa\Kodak\Kodak EasyShare Software\bin\EasyShare.exe

06 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

06 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

08 - Extra context menu item: Shorten URL - http:\\www.cjb.net/menuext.html

09 - Extra button: Richfind (HKLM)

09 - Extra button: Richfind (HKLM)

09 - Extra button: JUGAR (HKLM)

09 - Extra button: UPA (HKCU)

09 - Extra 'Tools' menuitem: UPA (HKCU)

012 - Plugin for .mid: C:\Archivos de programa\Internet

Explorer\PLUGINS\npqtplugin2.dll

012 - Plugin for .mp3: C:\Archivos de programa\Internet

Explorer\PLUGINS\npqtplugin4.dll

012 - Plugin for .mpeg; C:\Archivos de programa\Internet

Explorer\PLUGINS\npqtplugin3.dll

016 - DPF: {1D4DB7D2-6EC947A3-BD87-1E41684E07BB} -

http://imgfarm.com/images/nocache/funwebpr...etup1.0.0.8.cab

016 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) -

http://www.spywarestormer.com/files2/Install.cab

016 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) -

http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

016 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} -

http://www.contenidospc.com/ruboskizo2.cab

016 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} -

http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_ES.cab

016 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} -

http://www.grupomarineda.net/net/auto/DialerData.cab

016 - DPF: ´7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -

http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

016 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -

http://v4.windowsupdate.microsoft.com/CAB/...8261.7339814815

016 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

http://download.macromedia.com/pub/shockwave/cabs/flash.cab

016 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -

http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2.0.0.4396/mcfscan.cab

Saludos y gracias por adelantado, por si se me puede echar una mano.
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola, Por favor, bájate el HijackThis 1.98.2 y sobrescribe tu versión antes de seguir las demás instrucciones.

Norton remueve algúnos de los adwares que infectan tu sistema, asegurate que esté actualizado antes de seguir las demás instrucciones

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:Mostrar archivos ocultos

Reinicia el sistema en modo seguro:Como reiniciar a prueba de fallos

Ejecuta el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://www.richfind.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.richfind.com/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.richfind.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

http://www.richfind.com/ie/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.richfind.com/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://www.richfind.com/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.richfind.com/ie/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =http://www.richfind.com/ie/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\InternetSettings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: Richfind - {9E0D98ED-D8A4-4FD3-8082-0B904A6F05B7} -C:\WINNT\System32\Q11280046.dll

02 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)

02 - BHO: (no name) - {C2DEB9B4-4062-41AB-978A-FF5417B6A654} -C:\WINNT\System32\Q11280046.dll

02 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} -C:\WINNT\dealhlpr.dll

03 - Toolbar: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} -

C:\WINNT\dealhlpr.dll

03 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)

03 - Toolbar: Richfind - {8C91E6E2-6D4A-4FBD-873A-E14048C600F5} -

C:\WINNT\System32\Q11280046.dll

04 - HKCU\..\Run: [EXPL32.EXE] C:\WINNT\system\EXPL32.EXE

09 - Extra button: Richfind (HKLM)

09 - Extra button: Richfind (HKLM)

016 - DPF: {1D4DB7D2-6EC947A3-BD87-1E41684E07BB} -

http://imgfarm.com/images/nocache/funwebpr...etup1.0.0.8.cab

016 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} -

http://www.contenidospc.com/ruboskizo2.cab

016 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} -

http://akamai.downloadv3.com/binaries/Live...ervice_5_ES.cab

016 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} -

http://www.grupomarineda.net/net/auto/DialerData.cab

016 - DPF: ´7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -

http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema), hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:

Disk Cleaner

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:

C:\WINNT\dealhlpr.dll

C:\WINNT\System32\Q11280046.dll

C:\WINNT\system\EXPL32.EXE

Escanéate con Norton actualizado y con Ad Aware o algúna herramienta equivalente

Reinicia normalmente.

Actualiza tu sistema a través del Windows Update, no tienes las ultimas actualizaciones

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
F

-frankie-

Guest
#3
He actualizado el Explorer, tal como dijiste, y me he bajado la nueva versión del Hijackthis.Dejo el log que me sale ahora, antes de empezar a borrar, por si ha cambiado algúna cosa.

Venga, gracias por adelantado nuevamente.

Logfile of HijackThis v1.98.2

Scan saved at 0:45:50, on 21/10/2004

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\NISUM.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINNT\System32\nvsvc32.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\ptssvc.exe

C:\WINNT\system32\regsvc.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\ScsiAccess.EXE

C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\wuauclt.exe

C:\WINNT\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\nuevo\Winamp3\winampa.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

C:\Archivos de programa\Caplio Software\RGateL.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\HJT2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.maduixa.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Richfind - {9E0D98ED-D8A4-4FD3-8082-0B904A6F05B7} - C:\WINNT\System32\Q11280046.dll

O2 - BHO: Richfind - {00000000-0000-0000-0000-000000000000} - C:\WINNT\System32\Q11280046.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: Richfind - {C2DEB9B4-4062-41AB-978A-FF5417B6A654} - C:\WINNT\System32\Q11280046.dll

O2 - BHO: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINNT\dealhlpr.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINNT\dealhlpr.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Richfind - {00000000-0000-0000-0000-000000000000} - C:\WINNT\System32\Q11280046.dll

O3 - Toolbar: Richfind - {8C91E6E2-6D4A-4FBD-873A-E14048C600F5} - C:\WINNT\System32\Q11280046.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\nuevo\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [Security iGuard] C:\Archivos de programa\Security iGuard\Security iGuard.exe

O4 - HKCU\..\Run: [EXPL32.EXE] C:\WINNT\system\EXPL32.EXE

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: RICOH Gate La.lnk = C:\Archivos de programa\Caplio Software\RGateL.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html

O9 - Extra button: Richfind - {00000000-0000-0000-0000-000000000000} - C:\WINNT\System32\Q11280046.dll

O9 - Extra button: Richfind - {8C91E6E2-6D4A-4FBD-873A-E14048C600F5} - C:\WINNT\System32\Q11280046.dll

O9 - Extra button: JUGAR - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\mcm-muyamigos\entrar.html (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: UPA - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\CESID\Datos de programa\MATRIX\UPA\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: UPA - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\CESID\Datos de programa\MATRIX\UPA\LanzarDll.exe (HKCU)

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebpr...etup1.0.0.8.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} - http://www.contenidospc.com/ruboskizo2.cab

O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_ES.cab

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} - http://www.grupomarineda.net/auto/DialerData.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4396/mcfscan.cab

O18 - Filter: text/html - {D3120133-C53C-48DC-BB10-42396E49678E} - C:\WINNT\System32\Q11280046.dll

O18 - Filter: text/plain - {D3120133-C53C-48DC-BB10-42396E49678E} - C:\WINNT\System32\Q11280046.dll
 

alnitak

Ex-Admin
Miembro
#4
No cambia nada en el log al cambiar la version, cambia la efectividad a la hora de remover las entradas y se agregan algúnas nuevas funciones que no estaban en la versión anterior.

Por favor, sigue las instrucciones y postea un nuevo log después de seguirlas
 
F

-frankie-

Guest
#5
Este es el log que sale ahora.

Lo que he notado es que cada vez que enciendo el ordenador, me salen mensajes del Spybot confirmando las nuevas entradas, teniendo que ir aceptando cada operacion realizada.Por lo demas, pinta bien la cosa..

Logfile of HijackThis v1.98.2

Scan saved at 13:36:55, on 21/10/2004

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\NISUM.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINNT\System32\nvsvc32.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\ptssvc.exe

C:\WINNT\system32\regsvc.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\ScsiAccess.EXE

C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\nuevo\Winamp3\winampa.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

C:\Archivos de programa\Caplio Software\RGateL.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\HJT2\HijackThis.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.maduixa.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.maduixa.net/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {C2DEB9B4-4062-41AB-978A-FF5417B6A654} - (no file)

O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\nuevo\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [Security iGuard] C:\Archivos de programa\Security iGuard\Security iGuard.exe

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: RICOH Gate La.lnk = C:\Archivos de programa\Caplio Software\RGateL.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html

O9 - Extra button: JUGAR - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\mcm-muyamigos\entrar.html (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: UPA - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\CESID\Datos de programa\MATRIX\UPA\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: UPA - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\CESID\Datos de programa\MATRIX\UPA\LanzarDll.exe (HKCU)

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} -

O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} -

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} -

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4396/mcfscan.cab

Venga, gracias nuevamente.
 

alnitak

Ex-Admin
Miembro
#6
Cierra todos los navegadores, ejecuta el hijackThis, revisa las casillas de las siguientes entradas y dale a fix:

O2 - BHO: (no name) - {C2DEB9B4-4062-41AB-978A-FF5417B6A654} - (no file)

O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O9 - Extra button: JUGAR - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\mcm-muyamigos\entrar.html (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} -

O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} -

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} -
 
F

-frankie-

Guest
#7
Acabo de borrar lo que me has dicho.

Aqui te dejo el nuevo log.

Logfile of HijackThis v1.98.2

Scan saved at 15:21:52, on 21/10/2004

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\NISUM.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINNT\System32\nvsvc32.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\ptssvc.exe

C:\WINNT\system32\regsvc.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\ScsiAccess.EXE

C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\nuevo\Winamp3\winampa.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

C:\Archivos de programa\Caplio Software\RGateL.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\HJT2\HijackThis.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.maduixa.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.maduixa.net/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\nuevo\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [Security iGuard] C:\Archivos de programa\Security iGuard\Security iGuard.exe

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: RICOH Gate La.lnk = C:\Archivos de programa\Caplio Software\RGateL.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4396/mcfscan.cab

Venga, saludos.
 

alnitak

Ex-Admin
Miembro
#8
Me parece que no ha quedado nada fuera de lugar.

Si ya has reiniciado varias veces y no se te ha vuelto a cambiar la pagina diría que ya tu sistema ha quedado limpio, de toda manera ejecuta un escaneo profundo oon SPYBOT para que elimine cualquier resto de infecciones que pueda haber quedado por ahí.
 
F

-frankie-

Guest
#9
Muchisimas gracias por tu ayuda, porque no me ha vuelto a salir la dichosa pagina de inicio, y el ordenador parece que va mas rápido ahora.

Mi duda es que en busqueda de archivos y carpetas me siguen saliendo las siguientes entradas:

ziparchive.dll

timesynchronize.exe

zlib.dll

appsinstalled.htm

msmgt.exe

Tengo que borrarlas?.

Venga, saludos y gracias nuevamente.
 

alnitak

Ex-Admin
Miembro
#10
Cuando usamos el HijackThis para remover algúna entrada lo unico que estamos haciendo es desactivar el malware, no estamos eliminando el archivo, por eso hay que eliminarlo a mano una vez que haya quedado desactivado o emplear antivirus y antispywares para que terminen de sacar la basura.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie