Secuestro de página.

Estado
Cerrado para nuevas respuestas

orion_auriga

Nuevo Miembro
Miembro
#1
¡Help!, !Help!

Cada vez que ingreso a Internet aparce la pagina
Insertar CODE, HTML o PHP:
http://ssearch.biz/?wmid=1010
sin que yo la haya solicitado. Esto también sucede cuando hago clic en el icono "Mi PC", también cuando desde messenger deseo ver un perfil o leer o enviar un e-mail. Tambien sucede cuando hago clic en la trayectoria Inicio-Configuración-Panel de Control, si no hago clic rapidamente en algúno de los archivos de esta carpeta aparece la maldita pagina.

Tambien me eliminó los botones de "atras" y "adelante" de cualquier pagina, lo que sin resolver he remediado apretando el botn derecho del mouse y desde alli voy para adelante o para atras.

El logfile guardado después de sacanear con "hijackthis" es:
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.97.7

Scan saved at 04:08:39 a.m., on 04/08/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\WINDOWS\SYSTEM\OREDTQGE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\SMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\COREL\GRAPHICS9\REGISTER\REMIND32.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\SYSDOC32.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ENCARTA\BIBLIOTECA DE CONSULTA ENCARTA 2004\EDICT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\WINHLP32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\HIJACKHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = C:\WINDOWS\system32\searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\blank.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\system32\blank.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINDOWS\system32\searchbar.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://e-plus.cc/search.php?aff_id=46&keyword=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.1.1.111:3128

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Smapp] Smtray.exe

O4 - HKLM\..\Run: [NPROTECT] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\Run: [Norton Auto-Protect] C:\ARCHIV~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunServices: [NPROTECT] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKLM\..\RunServices: [DNSCache] C:\WINDOWS\SYSTEM\OREDTQGE.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: Corel Registration.lnk = C:\Archivos de programa\Corel\Graphics9\Register\Remind32.exe

O4 - Startup: Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE

O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Investigador (HKLM)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.008i.com//x//f//96676/msits.exe

O16 - DPF: {10000030-1000-0000-1000-000000000000} - its:mhtml:file://c:\\MAIN.MHT!http://zloeboogle.biz/dial.chm?wmid=118::/x.exe

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = infovir.qroo.gob.mx

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 10.1.50.10,10.1.1.10
Gracias de antemano por la ayuda.
 

alnitak

Ex-Admin
Miembro
#2
Hola. Hay cosas que me dejan muy confundido en tu log y no se si te podré ayudar a limpiarlo, tampoco quiero arriesgarme a malograrlo así que nos iremos con mucho cuidado.

Una de las entradas que me confunde es esta:
Insertar CODE, HTML o PHP:
O4 - HKLM\..\Run: [Smapp] Smtray.exe
Parece una entrada legal pero yo siempre la he visto así:
Insertar CODE, HTML o PHP:
O4 - HKLM\..\Run: [Smapp] C:\Archivos de Programa\Analog Devices\SoundMAX\Smtray.exe
Por lo tanto no se como tomarla y es que no es lógico que ese ejecutable se encuentre en la carpeta de sistema, podría ser parte de tu problema, probablemente lo sea, pero por otro lado no me puedo arriesgar a malograr el audio de tu sistema mandándote a borrarlo.

Vamos entonces a hacer lo siguiente para ver que tanto logramos limpiar tu sistema sin tocar esa clave:

Salva el HijackThis en su propia carpeta para que guarde ahí los respaldos.

Termina desde el administrador de tareas este servicio:
Insertar CODE, HTML o PHP:
C:\WINDOWS\SYSTEM\OREDTQGE.EXE
Cierra todos los navegadores, abre el hijackThis y dale a Scan

Chequea estas entradas:
Insertar CODE, HTML o PHP:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = C:\WINDOWS\system32\searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\blank.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\system32\blank.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINDOWS\system32\searchbar.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://e-plus.cc/search.php?aff_id=46&keyword=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html

O4 - HKLM\..\RunServices: [DNSCache] C:\WINDOWS\SYSTEM\OREDTQGE.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Related (HKLM)

O9 - Extra button: Investigador (HKLM)

O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.008i.com//x//f//96676/msits.exe

O16 - DPF: {10000030-1000-0000-1000-000000000000} - its:mhtml:file://c:\\MAIN.MHT!http://zloeboogle.biz/dial.chm?wmid=118::/x.exe
Dale a Fix, después elimina estos archivos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\system32\searchbar.html

C:\WINDOWS\system32\blank.html

C:\WINDOWS\SYSTEM\OREDTQGE.exe
Reinicia y me vuelves a colocar un nuevo log para ver como ha quedado

Bájate también el StartupList y colócame también ese log por favor,
 

orion_auriga

Nuevo Miembro
Miembro
#3
Hola Alnitak:

Acabo de hacer lo que me indicaste le di Fix a las entradas que dijiste y traté de eliminar los siguientes archivos; te anote lo que sucedió:
  • C:\WINDOWS\system32\searchbar.html (lo eliminé )
  • C:\WINDOWS\system32\blank.html (no se eliminó porque no existía)
  • C:\WINDOWS\SYSTEM\OREDTQGE.exe (no se pudo eliminar, me dijo que este archivo esta siendo utilizado por Windows)

En consecuencia no he reiniciado el equipo.

Te envio el logfile y el startuplist como están ahorita:
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.1

Scan saved at 02:04:11 a.m., on 05/08/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\WINDOWS\SYSTEM\OREDTQGE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\SMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\COREL\GRAPHICS9\REGISTER\REMIND32.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\SYSDOC32.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ENCARTA\BIBLIOTECA DE CONSULTA ENCARTA 2004\EDICT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.1.1.111:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Smapp] Smtray.exe

O4 - HKLM\..\Run: [NPROTECT] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\Run: [Norton Auto-Protect] C:\ARCHIV~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunServices: [NPROTECT] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: Corel Registration.lnk = C:\Archivos de programa\Corel\Graphics9\Register\Remind32.exe

O4 - Startup: Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE

O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = infovir.qroo.gob.mx

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 10.1.50.10,10.1.1.10
y el satartuplist:
Insertar CODE, HTML o PHP:
StartupList report, 05/08/04, 02:02:43 a.m.

StartupList version: 1.52

Started from : C:\ARCHIVOS DE PROGRAMA\STARTUPLIST\STARTUPLIST.EXE

Detected: Windows 98 SE (Win9x 4.10.2222A)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\WINDOWS\SYSTEM\OREDTQGE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\SMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\COREL\GRAPHICS9\REGISTER\REMIND32.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\SYSDOC32.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ENCARTA\BIBLIOTECA DE CONSULTA ENCARTA 2004\EDICT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\STARTUPLIST\STARTUPLIST.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\WINDOWS\Menú Inicio\Programas\Inicio]

Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

Corel Registration.lnk = C:\Archivos de programa\Corel\Graphics9\Register\Remind32.exe

Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE

WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun

TaskMonitor = C:\WINDOWS\taskmon.exe

SystemTray = SysTray.Exe

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

Smapp = Smtray.exe

NPROTECT = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

Norton Auto-Protect = C:\ARCHIV~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET

LoadQM = loadqm.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

SchedulingAgent = mstask.exe

Machine Debug Manager = C:\WINDOWS\SYSTEM\MDM.EXE

NPROTECT = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

SymTray - Norton SystemWorks = C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MsnMsgr = "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=Explorer.exe

SCRNSAVE.EXE=

drivers=mmsystem.dll power.drv

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:

(Created 28/7/2004, 7:38:32)

[Rename]

NUL=C:\ARCHIV~1\KERIO\PERSON~1\KPF4GUI.EXE

NUL=C:\ARCHIV~1\KERIO\PERSON~1\KPF4SS.EXE

NUL=C:\ARCHIV~1\KERIO\PERSON~1\GKH.DLL

NUL=C:\ARCHIV~1\KERIO\PERSON~1\KFE.DLL

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)

mode con codepage select=850

keyb la,,C:\WINDOWS\COMMAND\keyboard.sys

--------------------------------------------------

Enumerating Task Scheduler jobs:

Optimización del inicio de aplicaciones.job

Buscar virus.job

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------

End of report, 5,167 bytes

Report generated in 0.047 seconds

Command line options:

   /verbose  - to add additional info on each section

   /complete - to include empty sections and unsuspicious data

   /full     - to include several rarely-important sections

   /force9x  - to include Win9x-only startups even if running on WinNT

   /forcent  - to include WinNT-only startups even if running on Win9x

   /forceall - to include all Win9x and WinNT startups, regardless of platform

   /history  - to list versión history only
Te envío saludos.
 
A

Arwing

Guest
#4
C:\WINDOWS\system32\searchbar.html (lo eliminé )

C:\WINDOWS\system32\blank.html (no se eliminó porque no existía)

C:\WINDOWS\SYSTEM\OREDTQGE.exe (no se pudo eliminar, me dijo que este

archivo esta siendo utilizado por

windows)
En el caso del segundo archivo, ¿has activado a vista de los archivos ocultos?

Si no es así (en Windows 98), en el Explorador de Windows ve al menú Ver >> Opciones de Carpeta >> pestaña Ver >> marca la casilla de Mostrar todos los archivos ocultos.

En el caso del OREDTQGE.exe, inicia en modo a prueba de fallos (antes de que cargue Windows al encender el PC, presiona el botón F8) y trata de borrarlo.

Si no puedes entonces abre el admnistrador de tareas (Ctrl + Alt + Supr) y busca este proceso. Si no lo encuentras es probable que se esconda.

Entonces busca por Internet una herramienta llamada Process Explorer (creo que la página es www.sysinternals.com) y la usas para matar ese proceso, ya que es muy probable que en el Process Explorer lo veas, de hecho ves más cosas que no ves en el Administrador de Tareas.

Total, una vez que mates ese proceso intenta borrarlo.

Saludos

Arwing
 

alnitak

Ex-Admin
Miembro
#5
Ese archivo ya no aparece en el runservices por lo tanto no debería ejecutarse al reiniciar, puedes reiniciar normalmente y volverme a colocar el log para ver como ha quedado y del archivito aquel te encargas después o puedes seguir las indicaciones de Arwing para terminar erl proceso y eliminarlo de una vez, después reiniciar y colocarme e llog.

En fin, necesito ver el log después de reiniciar B)
 

orion_auriga

Nuevo Miembro
Miembro
#6
Hola alnitak, hola Arwuing:

"Arwuing" revisé los archivos escondidos pero no apareció C:\WINDOWS\system32\blank.html por ninguna parte. Respecto al archivo OREDTQGE.exe, después de reiniciar el equipo, de acuerdo a las indicaciones de "alnitak", lo eliminé directamente de la carpeta donde se alojaba.

Conclusiones:

1.-Ya aparecen las flechas de "atras" y "adelante" de las paginas web

2.-Ya no aparece aquella molestosa pagina que me bloqueaba las tareas.

Muchisimas gracias por su apoyo, les estoy muy agradecido, son ustedes bien "chingones" (en México esto es, a nivel popular, que son los mejores).

Les envío el "logfile" y el "startuplist" por si faltó algún detalle.
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.1

Scan saved at 08:49:05 a.m., on 05/08/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\SMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\COREL\GRAPHICS9\REGISTER\REMIND32.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\SYSDOC32.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ENCARTA\BIBLIOTECA DE CONSULTA ENCARTA 2004\EDICT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\NOTEPAD.EXE

C:\ARCHIVOS DE PROGRAMA\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.1.1.111:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Smapp] Smtray.exe

O4 - HKLM\..\Run: [NPROTECT] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\Run: [Norton Auto-Protect] C:\ARCHIV~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunServices: [NPROTECT] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: Corel Registration.lnk = C:\Archivos de programa\Corel\Graphics9\Register\Remind32.exe

O4 - Startup: Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE

O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = infovir.qroo.gob.mx

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 10.1.50.10,10.1.1.10
StartupList report, 05/08/04, 08:46:59 a.m.
Insertar CODE, HTML o PHP:
StartupList version: 1.52

Started from : C:\ARCHIVOS DE PROGRAMA\STARTUPLIST\STARTUPLIST.EXE

Detected: Windows 98 SE (Win9x 4.10.2222A)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\SMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\COREL\GRAPHICS9\REGISTER\REMIND32.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\SYSDOC32.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ENCARTA\BIBLIOTECA DE CONSULTA ENCARTA 2004\EDICT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\STARTUPLIST\STARTUPLIST.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\WINDOWS\Menú Inicio\Programas\Inicio]

Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

Corel Registration.lnk = C:\Archivos de programa\Corel\Graphics9\Register\Remind32.exe

Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE

WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun

TaskMonitor = C:\WINDOWS\taskmon.exe

SystemTray = SysTray.Exe

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

Smapp = Smtray.exe

NPROTECT = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

Norton Auto-Protect = C:\ARCHIV~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET

LoadQM = loadqm.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

SchedulingAgent = mstask.exe

Machine Debug Manager = C:\WINDOWS\SYSTEM\MDM.EXE

NPROTECT = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

SymTray - Norton SystemWorks = C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MsnMsgr = "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=Explorer.exe

SCRNSAVE.EXE=

drivers=mmsystem.dll power.drv

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:

(Created 28/7/2004, 7:38:32)

[Rename]

NUL=C:\ARCHIV~1\KERIO\PERSON~1\KPF4GUI.EXE

NUL=C:\ARCHIV~1\KERIO\PERSON~1\KPF4SS.EXE

NUL=C:\ARCHIV~1\KERIO\PERSON~1\GKH.DLL

NUL=C:\ARCHIV~1\KERIO\PERSON~1\KFE.DLL

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)

mode con codepage select=850

keyb la,,C:\WINDOWS\COMMAND\keyboard.sys

--------------------------------------------------

Enumerating Task Scheduler jobs:

Optimización del inicio de aplicaciones.job

Buscar virus.job

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------

End of report, 5,049 bytes

Report generated in 0.307 seconds

Command line options:

   /verbose  - to add additional info on each section

   /complete - to include empty sections and unsuspicious data

   /full     - to include several rarely-important sections

   /force9x  - to include Win9x-only startups even if running on WinNT

   /forcent  - to include WinNT-only startups even if running on Win9x

   /forceall - to include all Win9x and WinNT startups, regardless of platform

   /history  - to list versión history only
 
A

Arwing

Guest
#7
Hola orion_auriga;

Tu log del HijackThis está bastante bien. Creo que ya no tiene caso darle importancia al blank.html

Hay un archivo que quizá te interese removerlo, el Loadqm.exe:

C:\WINDOWS\LOADQM.EXE

Este programa es instalado por el MSN Messenger y hasta la fecha no sirve para nada. Si lo quitas no afecta ninguna función del MSN ni del sistema. Hay un manual para quitarlo en Consejos antes de pegar su log de HijackThis.

Sólo si te interesa, no es necesario quitarlo pero tampoco pasa absolutamente nada si lo dejas ahí. Pero si te quitas un proceso de encima a la hora de cargar Windows.

Si tienes más dudas ya sabes :D

Saludos

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie