Problema con el xlime

  • Autor carpema
  • Fecha de inicio
Estado
Cerrado para nuevas respuestas
C

carpema

Guest
#1
Tengo un problema, tengo el xlime.offeroptimizer y he leido los foros para desinstalarlo con el hijack pero no sé hacerlo. Os copio el log para ver si me podéis dar algúna solución.

Gracias.

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Archivos de programa\Dell\OpenManage\Client\ActionAgent.exe

C:\DMI\WIN32\bin\DellDmi.exe

C:\Archivos de programa\Dell\OpenManage\Client\EventAgt.exe

C:\Archivos de programa\Dell\OpenManage\Client\DLT.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\WS_FTP Pro\ftpsched.exe

C:\Archivos de programa\Dell\OpenManage\Client\Iap.exe

C:\ePOAgent\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\dmi\win32\bin\Win32sl.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\ePOAgent\UpdaterUI.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\ARCHIV~1\MYWEBS~1\bar\3.bin\mwsoemon.exe

C:\Lotus\Notes\NLNOTES.EXE

C:\WINNT\system32\internat.exe

C:\Archivos de programa\3M\PSN2Lite\Psn2Lite.exe

C:\ARCHIV~1\3M\PSN2Lite\PSNGive.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Lotus\Notes\NCDaemon.exe

C:\Lotus\Notes\naldaemn.EXE

C:\Lotus\Notes\nWEB.EXE

C:\Lotus\Notes\nhldaemn.EXE

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\JF003688\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.terra.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/es/srchasst/srchcust.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 213.4.130.210 runonce.msn.com

O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\ARCHIV~1\Lycos\IEagent\CSIE.DLL

O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINNT\mxTarget.dll

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\3.bin\MWSBAR.DLL

O2 - BHO: (no name) - {3AFC4258-B712-6BE1-8727-63550BA02B4C} - C:\WINNT\system32\wbwvefgn.dll

O2 - BHO: (no name) - {3BA64458-E61C-69B1-8727-63550BA02B4C} - C:\WINNT\system32\wlvxhx.dll

O2 - BHO: (no name) - {3FFB1D5A-BA4F-39BF-8727-63550BA1244A} - C:\WINNT\system32\zmyfeeb.dll

O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll

O2 - BHO: (no name) - {68FA495F-BB4E-6BEA-8727-63550BAF784A} - C:\WINNT\system32\yykfzbsx.dll

O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\googletoolbar1.dll

O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINNT\system32\AlxTB2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\3.bin\MWSBAR.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\googletoolbar1.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [nccxwlyvhkak] C:\WINNT\system32\zvqfour.exe

O4 - HKLM\..\Run: [alchem] C:\WINNT\alchem.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\ePOAgent\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [IdiomaX Product Update] C:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 5.0\IdxLUpdate.exe /AUTOSTART

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Archivos de programa\3M\PSN2Lite\Psn2Lite.exe

O8 - Extra context menu item: &Google Search - res://c:\winnt\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\winnt\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\winnt\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\winnt\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Traductor de Web IdiomaX (HKLM)

O9 - Extra 'Tools' menuitem: Traductor de Web IdiomaX (HKLM)

O9 - Extra button: Real.com (HKLM)

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shock...director/sw.cab

O16 - DPF: {1E5592CB-8F5B-46F8-9EA6-65C01213808A} (InstaladorBetyByte Control) - http://www.cocacola.es/uploads/cab/instaladorbetybyte.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {5C0D8B6A-E2CD-4AEB-8D38-859500263E62} (TMCheckCtrl Class) - http://integrador.telefonica.terra.es:85/c...dor/TMCheck.dll

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://juegos.telefonica.terra.es:90/publi...ll/ExentCtl.ocx

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F275F73A-E5F5-4549-B1A4-F29DC88B4F5A} (Terra AgpLauncher) - http://cd.games.terra.es/res/user/files/AgpLauncher.CAB

O16 - DPF: {F8D6981E-E0ED-4D6C-95D9-69AA7117CCA3} (VMCtrl Class) - http://mu.telefonica.terra.es:81/images/vmailbox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{899653DD-6B7D-4876-95DA-CA811278F51A}: NameServer = 172.26.28.1,172.26.28.90
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Hay algúna razon especial por la cual has cortado la parte del log que describe el sistema operativo y la versión del HijackThis?

Hay que ver.............. :rolleyes:

Si tu versión no es la 1.98.2, bájate el HijackThis 1.98.2 y sobrescribe tu versión antes de seguir las demás instrucciones.

Desde el Panel Control > agregar/remover programas desinstala si existen:

twain-tech

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema si tu sistema es XP(aunque así a ojo parece ser el 2000):

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Ejecuta el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:

O1 - Hosts: 213.4.130.210 runonce.msn.com

O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\ARCHIV~1\Lycos\IEagent\CSIE.DLL

O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINNT\mxTarget.dll

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\3.bin\MWSBAR.DLL

O2 - BHO: (no name) - {3AFC4258-B712-6BE1-8727-63550BA02B4C} - C:\WINNT\system32\wbwvefgn.dll

O2 - BHO: (no name) - {3BA64458-E61C-69B1-8727-63550BA02B4C} - C:\WINNT\system32\wlvxhx.dll

O2 - BHO: (no name) - {3FFB1D5A-BA4F-39BF-8727-63550BA1244A} - C:\WINNT\system32\zmyfeeb.dll

O2 - BHO: (no name) - {68FA495F-BB4E-6BEA-8727-63550BAF784A} - C:\WINNT\system32\yykfzbsx.dll

O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINNT\system32\AlxTB2.dll

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\3.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [nccxwlyvhkak] C:\WINNT\system32\zvqfour.exe

O4 - HKLM\..\Run: [alchem] C:\WINNT\alchem.exe

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab



Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema), hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:

Disk Cleaner

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:

C:\WINNT\system32\wbwvefgn.dll

C:\WINNT\system32\wlvxhx.dll

C:\WINNT\system32\zmyfeeb.dll

C:\WINNT\system32\yykfzbsx.dll

C:\WINNT\system32\AlxTB2.dll

C:\WINNT\mxTarget.dll

C:\WINNT\system32\zvqfour.exe

C:\WINNT\alchem.exe

Elimina estas carpetas y todo su contenido

C:\Archivos de programa\Lycos\

C:\Archivos de programa\MyWebSearch\

Reinicia normalmente y reactiva la opción de restaurar el sistema.

Instala la ultima versión de Ad Aware, actualízalo y escanéate para que termine de limpiar.

Toma otro log COMPLETO después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie