searchweb2

Estado
Cerrado para nuevas respuestas

Palomartin

Nuevo Miembro
Miembro
#1
Por favor ayudenme a mí también, he leido los anteriores posts y aquí pongo el logfile del hijackthis.

Muchas gracias por adelantado

Un saludo P.

Logfile of HijackThis v1.98.0

Scan saved at 05:57:27 p.m., on 06/08/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\EUSEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\PROMON.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\WINDOWS\SYSTEM\SBMX.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\GENIUS WIRELESS TWINTOUCH+\MOUSEELF.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\APVXDWIN.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\PAVPROXY.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\REGEDIT.EXE

C:\WINDOWS\NOTEPAD.EXE

C:\ARCHIVOS DE PROGRAMA\EMULE\INCOMING\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?http://about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.vcppyxweismsgk.com/kNAkAm3rc2AR...vdYpXWU9Hyq.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [Promon.exe] Promon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [DeviceDiscovery] c:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [SBMX] C:\WINDOWS\SYSTEM\sbmx.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE"

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\MOUSEELF.EXE

O4 - HKLM\..\Run: [thunk axis] C:\ARCHIV~1\GREATR~1\Soft Mpeg.exe

O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [ICH Synth] eusexe.exe

O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\ARCHIVOS DE PROGRAMA\LE ROBERT\LE PETIT ROBERT\prhyper.exe

O8 - Extra context menu item: Descargar usando Download &Express - C:\ARCHIVOS DE PROGRAMA\DOWNLOAD EXPRESS\Add_Url.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Musica - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\corp-libremp3\entrar.html

O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\COMP\HPUIPROT.DLL
 
A

Arwing

Guest
#2
Nota: Para poder ver archivos y carpetas ocultas en XP tenemos que abrir: MI PC>>menú herramientas>>opciones de carpeta>>pestaña Ver>>marcar las casillas de Mostrar todos los archivos y carpetas ocultas y Mostrar el contenido de las carpetas de sistema.

Hola. Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

Termina estos procesos:

prhyper.exe <-- Este programa no sé qué es, si tu sabes que lo instalaste no lo termines, y has caso omiso a todo lo que sea borrar este programa

autoclk.exe <-- Si tienes un programa relacionado con clicks para el mouse, lo mismo que la de arriba.

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

HKLM\..\Run: [autoclk] autoclk.exe <-- Si tienes un programa relacionado con clicks para el mouse no lo borres

Desactiva la opción de restaurar el sistema, para hacerlo:

Tecla Ctrl + tecla de pausa>>pestaña restaurar el sistema>>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

o

Inicio>>Control Panel>>Sistema>>pestaña restaurar el sistema>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

Si todavia no lo has hecho crea una nueva carpeta y salva en ella el hijackThis para que te guarde ahí los respaldos.

NOTA: Si algo sale mal y quieres meter el backup deberás después correr el hijackThis>>boton Config>>pestaña backups, marca la entrada a restaurar y clic sobre restore

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix. (las que todavía estén presentes)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...p://about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.vcppyxweismsgk.com/kNAkAm3rc2AR...vdYpXWU9Hyq.htm

[Le Petit Robert Hyperappel] C:\ARCHIVOS DE PROGRAMA\LE ROBERT\LE PETIT ROBERT\prhyper.exe <-- Este programa no sé qué es, si tu sabes que lo instalaste no lo borres

O4 - HKLM\..\Run: [autoclk] autoclk.exe <-- Si tienes un programa relacionado con clicks para el mouse no lo borres, de lo contrario márcala también.

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde lla pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Vuelve a activar la opción de restaurar el sistema y dinos si se ha arreglado, si no se ha arreglado colóca el nuevo log.

Arwing
 

alnitak

Ex-Admin
Miembro
#3
elimina también esta entrada cuando vayas a editar el Run del registro:

[thunk axis] C:\ARCHIV~1\GREATR~1\Soft Mpeg.exe

y elimina la carpeta completa
 

Palomartin

Nuevo Miembro
Miembro
#4
Parece que ya está arreglado. Muchas gracias

Empece a hacerlo sin haber leido tu último post ( el de que borrara [thunk axis] C:\ARCHIV~1\GREATR~1\Soft Mpeg.exe )

La primera vez que arranqué no aparecio la barrita del searchweb2 de los ... pero la segunda si.

Volví a arrancar el hijack y habían desaparecido todas las entradas que había borrado memos las que empezaban por R0 :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...p://about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.vcppyxweismsgk.com/kNAkAm3rc2AR...vdYpXWU9Hyq.htm

Eran iguales solo que la dirección web del final había cambiado por otra con el mismo aspecto de aleatoria.

He repetido el proceso esta vez borrando el que me decias en tu último post y las dos de R0. Le he pasado el cleaner otra vez y parece que funciona

Muchisimas gracias, ya estaba un poco desesperado.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie