Saludos

Estado
Cerrado para nuevas respuestas

Skylab

Nuevo Miembro
Miembro
#1
Saludos a todos, navegando por el internet tratando de buscar solucion a un problema que tengo, me encontré su pagina y es por eso que me animo a escribirles...

El problema que tengo, es que cada ves que abro una pagina de internet, me aparece una ventanita molesta diciendome que me gane una laptop, que me vaya de viaje, que me gane la loteria, en fin.. un sin numero de publicidad un poco molesta (por que se que no es cierto, si lo fuera no trataria de quitarla. jejeje)

He corrido varios progamas tales como el Spy&Boot, Xclenaer, Noadware, e incluso el que mas me ha ayudado ha sido el Pestpatrol.. pero aun me sigue detectando 2 archivos que dice que son Adware (bridge - Browse Helper Objet) y son dos archivos "JAO.DLL", ya segui las instrucciones para removerlo manualmente pero me encuentro que ni los registros ni los archivos existen.. no se si eso cause que me aparezcan los popup.

Me tomo el atrevimiento de enviarle un copia de un log tomado con el Hijackthis.

Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.97.7

Scan saved at 6:03:08 PM, on 9/5/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\NavNT\defwatch.exe

C:\WINNT\System32\hxpapics.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\NavNT\rtvscan.exe

C:\WINNT\System32\ume.exe

C:\WINNT\Explorer.EXE

C:\WINNT\ltmsg.exe

C:\Program Files\NavNT\vptray.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE

C:\Documents and Settings\hbap474\Application Data\scso.exe

C:\Program Files\WinZip Computing\WinZip\Wzqkpick.exe

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\WINNT\System32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\hbap474\Desktop\Archivos Varios Excel\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.yahoo.com[/url]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://www.yahoo.com[/url]

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Reader 5.0\reader\activex\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9

O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [swifhicsqbza] C:\WINNT\System32\tlyuxm.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip Computing\WinZip\Wzqkpick.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.yahoo.com

O15 - Trusted Zone: *.corp.halliburton.com

O15 - Trusted Zone: *.halnet.com

O15 - Trusted Zone: *.lgc.com

O16 - DPF: ppctlcab - [url]http://www.pestscan.com/scanner/ppctlcab.cab[/url]

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - [url]http://www.pestscan.com/scanner/axscanner.cab[/url]

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =

O17 - HKLM\Software\..\Telephony: DomainName =
Agradezco de antemano el tiempo prestado a resolver mi problema...
 

alnitak

Ex-Admin
Miembro
#2
Por favor aclarame si te son conocidos estos procesos y si corresponden a algún programa que has instalado tu:

C:\WINNT\System32\hxpapics.exe (me es completamente desconocido)

C:\WINNT\System32\ume.exe (usado por algúnos malwares)

C:\Documents and Settings\hbap474\Application Data\scso.exe (me es completamente desconocido)

C:\WINNT\System32\tlyuxm.exe (me es completamente desconocido)

Si te son desconocidos haz lo siguiente:

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

O4 - HKLM\..\Run: [swifhicsqbza] C:\WINNT\System32\tlyuxm.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present <<--solo si nos has colocado tu las restricciones

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present <<--solo si nos has colocado tu las restricciones

Elimina los archivos que he nombrado arriba (a no ser que te sean conocidos)

Tienes algúnos dominios en tu Trusted Zone pero parecen ser legales:

O15 - Trusted Zone: *.corp.halliburton.com

O15 - Trusted Zone: *.halnet.com

O15 - Trusted Zone: *.lgc.com

Si no los conoces revisa esas casillas también y dale a fix

Reinicia y vuelve a activar la opción de restaurar el sistema.

A no ser que necesites usar el comando Net Send metete por Inicio>>Panel Control>>Herramientas administrativas>>Servicios>>ubica el servicio de mensajero y deshabilitalo o si necesitas usar este comando instala un firewall para bloquear la publicidad no deseada que nos llega a través de ese servicio ofreciendonos premios, viajes a Orlando y cosas por el estilo
 

Skylab

Nuevo Miembro
Miembro
#3
Saludos Alnitak, antes que nada quiero agradecerte por el gran apoyo que has representado para los usuarios de este foro, he hecho todo como me has comentado, y aun que ya no aparecen los popups, he notado que la Pc se ha puesto un poco lenta. te envio nuevamente un log del Hijackthis para saber si hay algo erroneo.

Gracias nuevamente

Logfile of HijackThis v1.97.7

Scan saved at 12:31:23 PM, on 9/8/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\hxpapics.exe

C:\WINNT\Explorer.EXE

C:\HijackThis\HijackThis.exe

C:\WINNT\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com.mx/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.mx/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://halworld.corp.halliburton.com/

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Reader 5.0\reader\activex\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9

O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe

O4 - HKLM\..\Run: [HalHelp] c:\program files\halliburton\halhelp\halhelp.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [ProxyUpdate] C:\WINNT\HXP\ProxyUpdate.vbs

O4 - HKLM\..\Run: [SAPRUNHXP] C:\WINNT\saplogoncheck.exe /s

O4 - HKLM\..\Run: [DIRECT!2] C:\PROGRA~1\COURIO~1\IDENTI~1\direct.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip Computing\WinZip\Wzqkpick.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://halworld.halnet.com/

O15 - Trusted Zone: *.corp.halliburton.com

O15 - Trusted Zone: *.myhalliburton.com

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = corp.halliburton.com

O17 - HKLM\Software\..\Telephony: DomainName = corp.halliburton.com
 

alnitak

Ex-Admin
Miembro
#4
Hay entradas del Run que no estaban en el log anterior y que no se a que le corresponden.

Son estas:

O4 - HKLM\..\Run: [ProxyUpdate] C:\WINNT\HXP\ProxyUpdate.vbs

O4 - HKLM\..\Run: [SAPRUNHXP] C:\WINNT\saplogoncheck.exe /s

O4 - HKLM\..\Run: [DIRECT!2] C:\PROGRA~1\COURIO~1\IDENTI~1\direct.exe

Si tu sistemaanda maslento es muy probable que se deba a estos nuevos procesos puesto que los demas son los mismos.

Averigua la procedencia y la legalidad de esos procesos y de resultar ilegales abre el editor de registro

Inicio>>ejecutar>>regedit

Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina esas entradas:

Este proceso:

C:\WINNT\System32\hxpapics.exe

sigue activo en tu sistema y sigo sin saber que es.

Para asegurarte que esas entradas sean las responsable de la lentidud puedes desactivarla momentaneamente a travpes del msconfig
 

Skylab

Nuevo Miembro
Miembro
#5
Bueno, los tres primeros valores que me meonas son completamente legales y reconocidos para mi sistema (vienen siendo la actualizacion de mi Firewall, y de otros sistemas que empleo) anteriormente los había quitado para no entrar en detalle . . del proceso que sigue activo en mi sistema, fijate que ese ni siquiera entrando en modo a prueba de fallos lo pude borrar, voy a checar con otras maquínas que tienen la misma configuración haber si lo tienen.

Saludos y Gracias
 
Estado
Cerrado para nuevas respuestas
Arriba Pie