Problema con pagina de inicio searchweb2

Estado
Cerrado para nuevas respuestas

pares

Nuevo Miembro
Miembro
#1
Hola como están yo tengo el mismo problema en un laptop con Windows Milenium.

Alguien puede ayudarme a solucionar este desagradable problema?

Gracias.

Anexo el log

Logfile of HijackThis v1.97.7

Scan saved at 08:45:03 a.m., on 27/07/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\THOTKEY.EXE

C:\PROGRAM FILES\COMMON FILES\EPSON\EBAPI\SAGENT2.EXE

C:\PROGRAM FILES\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\IRMON.EXE

C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\SYSTEM\TPWRTRAY.EXE

C:\WINDOWS\SYSTEM\TFNCKY.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\CONFSVR.EXE

C:\WINDOWS\SYSTEM\ALISNDMG.EXE

C:\WINDOWS\SYSTEM\E_S10IC1.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\ONCE AIM\DASH ABOUT.EXE

C:\WINDOWS\SYSTEM\HPZTSB08.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE

C:\WINDOWS\RunDLL.exe

C:\PROGRAM FILES\TOSHIBA\NETDEVSW\NETDEVSW.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\GBCONMON.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\GBTASK.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?http://about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [IrMon] irmon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Gearbox] "C:\Program Files\Gearbox Connection Kit\bin\confsvr.exe"

O4 - HKLM\..\Run: [ALiSndMgr] ALiSndMg.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"

O4 - HKLM\..\Run: [Ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [Bits Okay] C:\PROGRA~1\ONCEAI~1\Dash about.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [THotkey] C:\WINDOWS\SYSTEM\THotkey.exe

O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe

O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - Startup: Network Device Switch.lnk = C:\Program Files\TOSHIBA\NetDevSw\NetDevSW.exe

O9 - Extra button: Real.com (HKLM)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38158.9408564815

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4375/mcfscan.cab
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusion, abran un nuevo tema para plantear su problema y posteen su log allí.
He separado tu post de los otros por lo que te cito aquí arriba.

Desactiva la opción de restaurar el sistema.

Crea una nueva carpeta en C:\ y salva el hijackthis en ella.

Cierra todos los navegadores

Ejecuta el hijackthis

Cheka estas entradas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...p://about:blank

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

NOTA: Debería haber una entrada en el run llamando al sp.exe y no la veo, no se si habrás pasado algún antivirus o anti spyware que te la pueda haber removido, de ser así mejor, pero revisa manualmente el registro para buscarla y removerla si después de esto te sale un error al reiniciar con algo como: "no se encuentra el sp.exe"

Dale a FIX

Elimina los archivos temporales

Reinicia a prueba de fallos y elimina el archivo sp.exe, debería haber uno en c:\ y tal vez hayan mas copias, buscalas y remuevelas todas.

Elimina los archivos temporales, reinicia normalmente y dime si se ha arreglado.

Tienes muchos procesos y programas arrancando con tu Toshiba, esto, ademas de dificultar la lectura del log, hará que tu sistema arranque y ande algo lento y podría llegar a causarte errores, deberías eliminar las entradas inecesarias(a tu criterio, claro), sobre todo hablando de un sistema Windows ME que es lo peor que ha hecho Microsoft.
 

pares

Nuevo Miembro
Miembro
#3
Hola. Gracias por la pronta respuesta. Apenas reinicié el PC, se instaló de nuevo en el registry el searchweb2.

te anexo el nuevo log.

Saludos:

Logfile of HijackThis v1.97.7

Scan saved at 02:00:27 p.m., on 27/07/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\THOTKEY.EXE

C:\PROGRAM FILES\COMMON FILES\EPSON\EBAPI\SAGENT2.EXE

C:\PROGRAM FILES\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\IRMON.EXE

C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\SYSTEM\TPWRTRAY.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\TFNCKY.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\CONFSVR.EXE

C:\WINDOWS\SYSTEM\ALISNDMG.EXE

C:\WINDOWS\SYSTEM\E_S10IC1.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\PROGRAM FILES\ONCE AIM\DASH ABOUT.EXE

C:\WINDOWS\SYSTEM\HPZTSB08.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE

C:\WINDOWS\RunDLL.exe

C:\PROGRAM FILES\UNH SOLUTIONS\BROWSER SENTINEL\BROWSERSENTINEL.EXE

C:\PROGRAM FILES\TOSHIBA\NETDEVSW\NETDEVSW.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\GBCONMON.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\GBTASK.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?http://www.google.co.ve

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [IrMon] irmon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Gearbox] "C:\Program Files\Gearbox Connection Kit\bin\confsvr.exe"

O4 - HKLM\..\Run: [ALiSndMgr] ALiSndMg.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"

O4 - HKLM\..\Run: [Ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [Bits Okay] C:\PROGRA~1\ONCEAI~1\Dash about.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [THotkey] C:\WINDOWS\SYSTEM\THotkey.exe

O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe

O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
 

alnitak

Ex-Admin
Miembro
#4
Hola. Tus logs parecen estar incompletos, hay varias cosas que deberian estar y no las veo.

Estás seguro que los estás colocando tal cual como te salen?

Has instalado algún programa de seguridad que impide tomar el log completo ?

Has desactivado la opción de restaurar el sistema antes de darle a Fix ?

Has encontrado y removido los archivos sp.exe ?

Aclarame a que le correspone esto:

C:\PROGRAM FILES\ONCE AIM\DASH ABOUT.EXE

Por favor, bajate el sturtuplist y colocame también ese log a ver si por allí logro ver lo que falta en estos y si has instalado algún programa de seguridad que pueda impedir que se muestre el log completo desactivalo cuando tomes los logs
 

alnitak

Ex-Admin
Miembro
#5
Ehy, estas infectado por el littlewitch creo

RunDLL.exe

este es el nombre del ejecutable del troyano littlewitch, no tiene nada a que ver con el otro problema que tienes por eso no me había fijado pero es mucho mas peligroso, le da acceso total a tu computadora al que te lo haya enviado, remuevelo inmediatamente.
 

pares

Nuevo Miembro
Miembro
#6
Disculpa tienes razón en el correo anterior po error no envié el log completo. Tengo deshabilitado el System Restore. Debo eliminar todo lo relacionado con runndll.exe y rundll32.exe en el registry?. Te anexo el LOG completo. Muchas Gracias

Logfile of HijackThis v1.97.7

Scan saved at 02:00:27 p.m., on 27/07/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\THOTKEY.EXE

C:\PROGRAM FILES\COMMON FILES\EPSON\EBAPI\SAGENT2.EXE

C:\PROGRAM FILES\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\IRMON.EXE

C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\SYSTEM\TPWRTRAY.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\TFNCKY.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\CONFSVR.EXE

C:\WINDOWS\SYSTEM\ALISNDMG.EXE

C:\WINDOWS\SYSTEM\E_S10IC1.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\PROGRAM FILES\ONCE AIM\DASH ABOUT.EXE

C:\WINDOWS\SYSTEM\HPZTSB08.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE

C:\WINDOWS\RunDLL.exe

C:\PROGRAM FILES\UNH SOLUTIONS\BROWSER SENTINEL\BROWSERSENTINEL.EXE

C:\PROGRAM FILES\TOSHIBA\NETDEVSW\NETDEVSW.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\GBCONMON.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\GBTASK.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?http://www.google.co.ve

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [IrMon] irmon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Gearbox] "C:\Program Files\Gearbox Connection Kit\bin\confsvr.exe"

O4 - HKLM\..\Run: [ALiSndMgr] ALiSndMg.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"

O4 - HKLM\..\Run: [Ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [Bits Okay] C:\PROGRA~1\ONCEAI~1\Dash about.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [THotkey] C:\WINDOWS\SYSTEM\THotkey.exe

O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe

O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [Browser Sentinel] "C:\PROGRAM FILES\UNH SOLUTIONS\BROWSER SENTINEL\BROWSERSENTINEL.EXE" -autorun

O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\RunServices: [Browser Sentinel] "C:\PROGRAM FILES\UNH SOLUTIONS\BROWSER SENTINEL\BROWSERSENTINEL.EXE" -autorun

O4 - Startup: Network Device Switch.lnk = C:\Program Files\TOSHIBA\NetDevSw\NetDevSW.exe

O9 - Extra button: Real.com (HKLM)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38158.9408564815

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4375/mcfscan.cab
 

alnitak

Ex-Admin
Miembro
#7
Hola. No has removido del server del littlewitch:

C:\WINDOWS\RunDLL.exe

Es vital que lo hagas de una vez y después de hacerlo cambia todas tus contraseñas de correos, tarjetas de credito que hayas usado desde esa computadora, etc.

Ese troyano permite acceso total a tu sistema y es posible que alguien ya sepa todas tus contraseñas.

Tampoco me has aclarado a que le corresponde esto:

C:\PROGRAM FILES\ONCE AIM\DASH ABOUT.EXE

Por favor hazlo porque no se que es y podría estar relaconado con tu problema.

Tambien colocame el log del startuplist como te lo he pedido:

StartupList
 

pares

Nuevo Miembro
Miembro
#8
Hola. Eliminé el rundll.exe

Te anexo el resultado del startuplist.

Gracias

StartupList report, 27/07/2004, 05:32:16 p.m.

StartupList version: 1.52

Started from : C:\WINDOWS\TEMP\STARTUPLIST.EXE

Detected: Windows ME (Win9x 4.90.3000)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\THOTKEY.EXE

C:\PROGRAM FILES\COMMON FILES\EPSON\EBAPI\SAGENT2.EXE

C:\PROGRAM FILES\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\IRMON.EXE

C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\SYSTEM\TPWRTRAY.EXE

C:\WINDOWS\SYSTEM\TFNCKY.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\CONFSVR.EXE

C:\WINDOWS\SYSTEM\ALISNDMG.EXE

C:\WINDOWS\SYSTEM\E_S10IC1.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\PROGRAM FILES\ONCE AIM\DASH ABOUT.EXE

C:\WINDOWS\SYSTEM\HPZTSB08.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE

C:\PROGRAM FILES\UNH SOLUTIONS\BROWSER SENTINEL\BROWSERSENTINEL.EXE

C:\PROGRAM FILES\TOSHIBA\NETDEVSW\NETDEVSW.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\GBCONMON.EXE

C:\PROGRAM FILES\GEARBOX CONNECTION KIT\BIN\GBTASK.EXE

C:\PROGRAM FILES\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\STARTUPLIST.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\WINDOWS\Start Menu\Programs\StartUp]

Network Device Switch.lnk = C:\Program Files\TOSHIBA\NetDevSw\NetDevSW.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun

TaskMonitor = C:\WINDOWS\taskmon.exe

PCHealth = C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

SystemTray = SysTray.Exe

IrMon = irmon.exe

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

EM_EXEC = C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

Tpwrtray = TPWRTRAY.EXE

TFncKy = TFncKy.exe

LoadQM = loadqm.exe

Gearbox = "C:\Program Files\Gearbox Connection Kit\bin\confsvr.exe"

ALiSndMgr = ALiSndMg.exe

EPSON Stylus C42 Series = C:\WINDOWS\SYSTEM\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"

Ink Monitor = C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe

Bits Okay = C:\PROGRA~1\ONCEAI~1\Dash about.exe

HPDJ Taskbar Utility = C:\WINDOWS\SYSTEM\hpztsb08.exe

HP Software Update = C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

DeviceDiscovery = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

vptray = C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

SchedulingAgent = mstask.exe

SSDPSRV = C:\WINDOWS\SYSTEM\ssdpsrv.exe

*StateMgr = C:\WINDOWS\System\Restore\StateMgr.exe

THotkey = C:\WINDOWS\SYSTEM\THotkey.exe

SAgent2ExePath = C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

MessengerPlus3 = "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

rtvscn95 = C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe

defwatch = C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Taskbar Display Controls = RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

MessengerPlus3 = "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

Browser Sentinel = "C:\PROGRAM FILES\UNH SOLUTIONS\BROWSER SENTINEL\BROWSERSENTINEL.EXE" -autorun

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:

(Created 26/7/2004, 15:23:42)

[rename]

NUL=C:\WINDOWS\TEMP\_iu14D2N.tmp

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

SET windir=C:\WINDOWS

SET winbootdir=C:\WINDOWS

SET COMSPEC=C:\WINDOWS\COMMAND.COM

SET PROMPT=$p$g

SET TEMP=C:\WINDOWS\TEMP

SET TMP=C:\WINDOWS\TEMP

SET PATH=C:\WINDOWS;C:\WINDOWS\COMMAND;C:\PROGRA~1\COMMON~1\AUTODE~1

--------------------------------------------------

Enumerating Task Scheduler jobs:

Symantec NetDetect.job

PCHealth Scheduler for Data Collection.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[MessengerStatsClient Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\MESSENGERSTATSCLIENT.DLL

CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

[Checkers Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\MSGRCHKR.DLL

CODEBASE = http://messenger.zone.msn.com/binary/msgrchkr.cab

[Minesweeper Flags Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\MINESWEEPER.DLL

CODEBASE = http://messenger.zone.msn.com/binary/MineSweeper.cab

[Update Class]

InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38158.9408564815

[McFreeScan Class]

InProcServer32 = C:\WINDOWS\MCAFEE.COM\FREESCAN\MCFSCAN.DLL

CODEBASE = http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4375/mcfscan.cab

--------------------------------------------------

Enumerating Winsock LSP files:

Protocol #2: C:\WINDOWS\system32\wspirda.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

UPnPMonitor: C:\WINDOWS\SYSTEM\UPNPUI.DLL

AUHook: C:\WINDOWS\SYSTEM\AUHOOK.DLL

--------------------------------------------------

End of report, 7.039 bytes

Report generated in 0,470 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only
 

alnitak

Ex-Admin
Miembro
#9
Hola. Lo unico que desconozco es esto:

O4 - HKLM\..\Run: [Bits Okay] C:\PROGRA~1\ONCEAI~1\Dash about.exe

y no me terminas de aclarar si es de algún programa legal que tu has instalado o no, por lo demas no veo absolutamente nada extraño en tus logs.

Si esa entrada no le corresponde a algún programa que has instalado tu, chekala y repite los pasos que has dado por el sp.exe que ya ha sido removido(asegurate de borrar los archivos temporales), si aun así no se arregla tu navegador no se como ayudarte porque ya removidos el sp.exe y el troyano no veo que quede absolutamente nada extraño y tampoco veo ningún proseso extraño arrancando con tu sistema, lo siento mucho.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie