pagina de inicio y pop ups que no puedo quitar

Estado
Cerrado para nuevas respuestas

malditacorchea

Nuevo Miembro
Miembro
#1
buenas gente:

el problema que tengo es, como anuncia claramente el título, que tengo spyware en esta computadora y eso me provoca que se ponga automáticamente una página de inicio que yo no acepté y que se abran ventanas de internet aún sin haber abierto el internet explorer. Paradójicamente, las ventanas que se abren me dicen que tengo spyware y me ofrecen soluciones, o sea que me ofrecen soluciones para un problema que me causaron ellos!

bajé el HijackThis, y seguí los pasos que recomiendan en este foro, borré algúnos archivos que pude identificar como peligrosos, pero al reiniciar la PC vuelven a aparecer, así que es probable que no haya borrado el o los principales. Sucede que no soy muy conocedor del tema y tengo miedo de hacer pelota la máquina.

Si no es mucha molestia, y ya que ustedes la tienen clarísima. les dejo la log file del scan para que me cuenten qué puedo borrar y qué no. Ahí va:

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\MSOE32.EXE

C:\WINDOWS\SYSTEM\JAVAUF32.EXE

C:\WINDOWS\MFCQS.EXE

C:\WINDOWS\ADDEP32.EXE

C:\WINDOWS\SDKHJ32.EXE

C:\WINDOWS\SDKYC32.EXE

C:\WINDOWS\SYSTEM\MFCWF32.EXE

C:\WINDOWS\APPBU.EXE

C:\WINDOWS\APPRS.EXE

C:\WINDOWS\SYSTEM\ATLFA32.EXE

C:\WINDOWS\JAVAAI.EXE

C:\WINDOWS\D3XH32.EXE

C:\WINDOWS\SYSTEM\NETVJ32.EXE

C:\WINDOWS\ATLLW.EXE

C:\WINDOWS\APIRY.EXE

C:\WINDOWS\SYSTEM\JAVAAV32.EXE

C:\WINDOWS\MFCEP.EXE

C:\WINDOWS\ADDQT.EXE

C:\WINDOWS\CRHV32.EXE

C:\WINDOWS\APPWQ32.EXE

C:\WINDOWS\SYSTEM\SYSCD32.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\SAHAGENT.EXE

C:\WINDOWS\SYSTEM\KALVUSR32.EXE

C:\WINDOWS\ptsnoop.exe

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\WINRAR\WINRAR.EXE

C:\WINDOWS\TEMP\RAR$EX00.877\HIJACKTHIS\HIJACKTHIS[WWW.TRUCOSWINDOWS.NET].EXE

C:\WINDOWS\ADDQT.EXE

C:\WINDOWS\SYSTEM\IPSJ.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\IPSJ.EXE

C:\WINDOWS\ADDVV32.EXE

C:\WINDOWS\SYSTEM\IPSJ.EXE

C:\WINDOWS\SYSTEM\IPSJ.EXE

C:\WINDOWS\NETHD32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\IPSJ.EXE

C:\WINDOWS\ADDQT.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\D3TD.EXE

C:\WINDOWS\SYSTEM\IPSJ.EXE

C:\WINDOWS\NETHD32.EXE

C:\WINDOWS\NETHD32.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sibep.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sibep.dll/sp.html#28129

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sibep.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sibep.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sibep.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sibep.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sibep.dll/sp.html#28129

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {B61BACAE-2CB6-EF24-C53E-8CA0B2907B91} - C:\WINDOWS\SYSMG.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~2\ADVTOOLS\ADVCHK.EXE

O4 - HKLM\..\Run: [NPROTECT] C:\ARCHIV~1\NORTON~2\ADVTOOLS\NPROTECT.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [DeskAd Service] C:\PROGRAM FILES\DESKAD SERVICE\DESKADSERV.EXE

O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\SYSTEM\SahAgent.exe

O4 - HKLM\..\Run: [kalvsys] C:\WINDOWS\SYSTEM\KALVUSR32.EXE

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [NPROTECT] C:\ARCHIV~1\NORTON~2\ADVTOOLS\NPROTECT.EXE

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [MFCWF32.EXE] C:\WINDOWS\SYSTEM\MFCWF32.EXE

O4 - HKLM\..\RunServices: [ADDEP32.EXE] C:\WINDOWS\ADDEP32.EXE

O4 - HKLM\..\RunServices: [JAVAUF32.EXE] C:\WINDOWS\SYSTEM\JAVAUF32.EXE

O4 - HKLM\..\RunServices: [MSOE32.EXE] C:\WINDOWS\MSOE32.EXE

O4 - HKLM\..\RunServices: [APPBU.EXE] C:\WINDOWS\APPBU.EXE

O4 - HKLM\..\RunServices: [SDKHJ32.EXE] C:\WINDOWS\SDKHJ32.EXE

O4 - HKLM\..\RunServices: [MFCQS.EXE] C:\WINDOWS\MFCQS.EXE

O4 - HKLM\..\RunServices: [APPRS.EXE] C:\WINDOWS\APPRS.EXE

O4 - HKLM\..\RunServices: [D3XH32.EXE] C:\WINDOWS\D3XH32.EXE

O4 - HKLM\..\RunServices: [SDKYC32.EXE] C:\WINDOWS\SDKYC32.EXE

O4 - HKLM\..\RunServices: [ATLFA32.EXE] C:\WINDOWS\SYSTEM\ATLFA32.EXE

O4 - HKLM\..\RunServices: [NETVJ32.EXE] C:\WINDOWS\SYSTEM\NETVJ32.EXE

O4 - HKLM\..\RunServices: [JAVAAI.EXE] C:\WINDOWS\JAVAAI.EXE

O4 - HKLM\..\RunServices: [ATLLW.EXE] C:\WINDOWS\ATLLW.EXE

O4 - HKLM\..\RunServices: [APIRY.EXE] C:\WINDOWS\APIRY.EXE

O4 - HKLM\..\RunServices: [MFCEP.EXE] C:\WINDOWS\MFCEP.EXE

O4 - HKLM\..\RunServices: [JAVAAV32.EXE] C:\WINDOWS\SYSTEM\JAVAAV32.EXE

O4 - HKLM\..\RunServices: [ADDQT.EXE] C:\WINDOWS\ADDQT.EXE

O4 - HKLM\..\RunServices: [APPWQ32.EXE] C:\WINDOWS\APPWQ32.EXE

O4 - HKLM\..\RunServices: [CRHV32.EXE] C:\WINDOWS\CRHV32.EXE

O4 - HKLM\..\RunServices: [SYSCD32.EXE] C:\WINDOWS\SYSTEM\SYSCD32.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O12 - Plugin for .com/click: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.static.topconverting.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O15 - Trusted IP range: 206.161.124.130 (HKLM)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Muchas gracias.
 

dsncorp

Nuevo Miembro
Miembro
#2
No te preocupes, por intentar borrar no haras pelota la maquína a lo sumo reinstalaras el sistema operativo jaja, pero a mi me ha pasado y a veces es inevitable, porque se esconden en el registro en todos lados.
 

alnitak

Ex-Admin
Miembro
#3
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola, por favor para la proxima copia los logs completos, con el encabezado también

Si no estas usando la versión 1.99.0(eso sale en el encabezado y no lo has colocado) por favor, bájate el HijackThis 1.99.0 descomprímelo en c:\ ejecútalo y solo usa esta version.

Por favor, bájate e instala el programa Disk Cleaner

Voy a asumir que usar Windows 98 SE (eso también sale en el encabezado y no lo has colocado)

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Como mostrar archivos ocultos

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Ejecuta el HijackThis 1.99.0, dale a Do a System Scan Only , revisa las casillas de las siguientes entradas y dale a fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sibep.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sibep.dll/sp.html#28129

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sibep.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sibep.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sibep.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sibep.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sibep.dll/sp.html#28129

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {B61BACAE-2CB6-EF24-C53E-8CA0B2907B91} - C:\WINDOWS\SYSMG.DLL

O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\SYSTEM\SahAgent.exe

O4 - HKLM\..\Run: [kalvsys] C:\WINDOWS\SYSTEM\KALVUSR32.EXE

O4 - HKLM\..\RunServices: [MFCWF32.EXE] C:\WINDOWS\SYSTEM\MFCWF32.EXE

O4 - HKLM\..\RunServices: [ADDEP32.EXE] C:\WINDOWS\ADDEP32.EXE

O4 - HKLM\..\RunServices: [JAVAUF32.EXE] C:\WINDOWS\SYSTEM\JAVAUF32.EXE

O4 - HKLM\..\RunServices: [MSOE32.EXE] C:\WINDOWS\MSOE32.EXE

O4 - HKLM\..\RunServices: [APPBU.EXE] C:\WINDOWS\APPBU.EXE

O4 - HKLM\..\RunServices: [SDKHJ32.EXE] C:\WINDOWS\SDKHJ32.EXE

O4 - HKLM\..\RunServices: [MFCQS.EXE] C:\WINDOWS\MFCQS.EXE

O4 - HKLM\..\RunServices: [APPRS.EXE] C:\WINDOWS\APPRS.EXE

O4 - HKLM\..\RunServices: [D3XH32.EXE] C:\WINDOWS\D3XH32.EXE

O4 - HKLM\..\RunServices: [SDKYC32.EXE] C:\WINDOWS\SDKYC32.EXE

O4 - HKLM\..\RunServices: [ATLFA32.EXE] C:\WINDOWS\SYSTEM\ATLFA32.EXE

O4 - HKLM\..\RunServices: [NETVJ32.EXE] C:\WINDOWS\SYSTEM\NETVJ32.EXE

O4 - HKLM\..\RunServices: [JAVAAI.EXE] C:\WINDOWS\JAVAAI.EXE

O4 - HKLM\..\RunServices: [ATLLW.EXE] C:\WINDOWS\ATLLW.EXE

O4 - HKLM\..\RunServices: [APIRY.EXE] C:\WINDOWS\APIRY.EXE

O4 - HKLM\..\RunServices: [MFCEP.EXE] C:\WINDOWS\MFCEP.EXE

O4 - HKLM\..\RunServices: [JAVAAV32.EXE] C:\WINDOWS\SYSTEM\JAVAAV32.EXE

O4 - HKLM\..\RunServices: [ADDQT.EXE] C:\WINDOWS\ADDQT.EXE

O4 - HKLM\..\RunServices: [APPWQ32.EXE] C:\WINDOWS\APPWQ32.EXE

O4 - HKLM\..\RunServices: [CRHV32.EXE] C:\WINDOWS\CRHV32.EXE

O4 - HKLM\..\RunServices: [SYSCD32.EXE] C:\WINDOWS\SYSTEM\SYSCD32.EXE

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.static.topconverting.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O15 - Trusted IP range: 206.161.124.130 (HKLM)

Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files, Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Elimina estos archivos si todavía existen:

C:\WINDOWS\SYSTEM\MFCWF32.EXE

C:\WINDOWS\SYSTEM\JAVAUF32.EXE

C:\WINDOWS\SYSTEM\ATLFA32.EXE

C:\WINDOWS\SYSTEM\NETVJ32.EXE

C:\WINDOWS\SYSTEM\JAVAAV32.EXE

C:\WINDOWS\SYSTEM\SYSCD32.EXE

C:\WINDOWS\SYSMG.DLL

C:\WINDOWS\ADDEP32.EXE

C:\WINDOWS\MSOE32.EXE

C:\WINDOWS\APPBU.EXE

C:\WINDOWS\SDKHJ32.EXE

C:\WINDOWS\MFCQS.EXE

C:\WINDOWS\APPRS.EXE

C:\WINDOWS\D3XH32.EXE

C:\WINDOWS\SDKYC32.EXE

C:\WINDOWS\JAVAAI.EXE

C:\WINDOWS\ATLLW.EXE

C:\WINDOWS\APIRY.EXE

C:\WINDOWS\MFCEP.EXE

C:\WINDOWS\ADDQT.EXE

C:\WINDOWS\APPWQ32.EXE

C:\WINDOWS\CRHV32.EXE

Elimina estas carpetas y todo su contenido si todavía existen:

AGREGAR AQUI

Limpia la papelera.

Reinicia normalmente el sistema.

Instala la ultima versión de Ad Aware SE, actualízalo y escanéate para que termine de limpiar.

Actualiza tu sistema a través del Windows Update y bájate todas las actualizaciones críticas disponibles para tu sistema operativo.

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

malditacorchea

Nuevo Miembro
Miembro
#4
yo de nuevo. resulta que mientras esperaba su repsuesta, algo salió mal, no sé dónde, no sé porqué, pero la cosa es que al reiniciarla cuando llega el momento de arbir Windows sale un error que dice que "explorer efectuó una operaciòn no vàlida y que debe cerrarse". Y queda sólo el papel tapiza y los únicos programas activos que figuran son el Norton y MDM. O sea que no puedo usar windows, básicamente. Traté de usar el disco de inicio, disquette, pero no hubo caso.... yo creo que debe haber un problema con los archivos del sistema, pero no sé, la verdad. Ah, dato importante: no tengo CD de instalación de windows, sólo el disquette de inicio, así que no puedo usar el comando EXT, porque no tengo de dónde sacar lo que quiero sacar, no sé si me explico. De todas maneras el contenido del disco rígido (documentos y todo eso) está intacto.

El error que me sale es:

Error de página no válida en el módulo explorer.exe

EAX=00000000 CS=0laf EIP=00402541 EFLGS=00010246

EBX=00000001 SS=0lb7 ESP=0080fecc EBP=0080fef4

ECX=c16c6c20 DS=0lb7 ESI=00000000 FS=3f37

EDX=0080fefc ES=0lb7 EDI=00000000 GS=0000

bytes en CS:EIP:

,02x......................... y así

volcado de pila:

,08x........................ y así
 

alnitak

Ex-Admin
Miembro
#5
Date cuenta tu mismo de la cantidad impresionante de malwares que se estaban arrancando con tu sistema y al parecer no hemos llegado a tiempo. Intenta iniciar en modo seguro y seguir las instrucciones a ver si lo arreglamos pero como no lo logres me parece que vas a tener que conseguir el CD y reinstalar el sistema :(
 
Estado
Cerrado para nuevas respuestas
Arriba Pie