Tambien problemas con searchweb2

Estado
Cerrado para nuevas respuestas

JFQ

Nuevo Miembro
Miembro
#1
Agradeceria información para remover esta verdadera pesadilla y también algúna recomendacion de firewall para no repetir esta experiencia. Desde ya les estoy muy agradecido. JFQ

Esto el lo que arrojo el hijackthis:

StartupList report, 07/29/2004, 09:56:08 p.m.

StartupList version: 1.52

Started from : C:\HIJACKTHIS\STARTUPLIST.EXE

Detected: Windows 98 SE (Win9x 4.10.2222A)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\RTVSCN95.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\DEFWATCH.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\ptsnoop.exe

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\VPEXRT.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\VPTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\DOWNLOADWARE\DW.EXE

C:\ARCHIVOS DE PROGRAMA\COMMON FILES\DPI\DPI.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\E_S4I4C1.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\HIJACKTHIS\STARTUPLIST.EXE

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun

TaskMonitor = C:\WINDOWS\taskmon.exe

SystemTray = SysTray.Exe

CountrySelection = pctptt.exe

LoadQM = loadqm.exe

TkBellExe = "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd

PTSNOOP = ptsnoop.exe

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

vptray = C:\ARCHIV~1\NORTON~1\VPTRAY.EXE

MediaLoads Installer = "C:\Archivos de programa\DownloadWare\dw.exe" /H

Dpi = C:\ARCHIVOS DE PROGRAMA\COMMON FILES\DPI\DPI.EXE

Pcsv = C:\WINDOWS\system32\pcs\pcsvc.exe

StillImageMonitor = C:\WINDOWS\SYSTEM\STIMON.EXE

EPSON Stylus C63 Series = C:\WINDOWS\SYSTEM\E_S4I4C1.EXE /P23 "EPSON Stylus C63 Series" /O5 "LPT1:" /M "Stylus C63"

Ink Monitor = C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

QuickTime Task = "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

New.net Startup = rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

bind mapi = C:\ARCHIV~1\FLAPTO~1\ante blah copy.exe

sendmultimesslicense = C:\WINDOWS\Application Data\ElseOptionSendMulti\skipsoap.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

SchedulingAgent = mstask.exe

rtvscn95 = C:\ARCHIV~1\NORTON~1\RTVSCN95.EXE

defwatch = C:\ARCHIV~1\NORTON~1\DEFWATCH.EXE

MessengerPlus2 = "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MessengerPlus2 = "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe" /WinStart

sp = C:\sp.exe

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=

run=C:\WINDOWS\SYSTEM\cmmpu.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=Explorer.exe

SCRNSAVE.EXE=

drivers=mmsystem.dll power.drv

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:

(Created 28/7/2004, 23:26:30)

[rename]

NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

NUL=C:\WINDOWS\TEMP\P2PNET~1.EXE

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

C:\WINDOWS\NoUSB20.EXE

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)

mode con codepage select=850

keyb sp,,C:\WINDOWS\COMMAND\keyboard.sys

--------------------------------------------------

Enumerating Browser Helper Objects:

MediaLoads Enhanced - C:\ARCHIVOS DE PROGRAMA\MEDIALOADS ENHANCED\ME2.DLL - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E}

(no name) - C:\Archivos de programa\NewDotNet\newdotnet6_30.dll - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E}

(no name) - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\ARCHIVOS DE PROGRAMA\SETUPMEDIA\CHINMEMO.EXE - {A4AF37FC-BD0E-333F-51C8-92027692F31A}

--------------------------------------------------

Enumerating Task Scheduler jobs:

F3953FA36E719BD8.job

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[Shockwave ActiveX Control]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\DIRECTOR\SWDIR.DLL

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

[iPIX ActiveX Control]

InProcServer32 = C:\WINDOWS\DOWNLO~1\IPIXX.OCX

CODEBASE = http://www.ipix.com/viewers/ipixx.cab

[VivoActive Control]

InProcServer32 = C:\WINDOWS\DOWNLO~1\VVWEB.OCX

CODEBASE = http://player.vivo.com/ie/vvweb.cab

[InstallShield Setup Player]

InProcServer32 = c:\WINDOWS\DOWNLO~1\ISETUP.DLL

CODEBASE = http://www.installengine.com/engine/isetup.cab

[SCDataDialer Class]

InProcServer32 = C:\WINDOWS\SYSTEM\SCDATA.DLL

CODEBASE = http://www.mundifondos.com/download/cabdll.cab

[RdxIE Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RDXIE.DLL

CODEBASE = http://207.188.7.150/0354aa20a54bf23fc921/...RdxIE601_es.cab

[MessengerStatsClient Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\MESSENGERSTATSCLIENT.DLL

CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

[Minesweeper Flags Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\MINESWEEPER.DLL

CODEBASE = http://messenger.zone.msn.com/binary/MineSweeper.cab

[Update Class]

InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/...7970.4090162037

[{C4CA6559-2CF1-48B6-96B2-8340A06FD129}]

CODEBASE = http://www.adbars.com/adbars.cab

[Matrix Class]

InProcServer32 = C:\WINDOWS\SYSTEM\MSA64CHK.DLL

CODEBASE = http://acceso.masminutos.com/aplicacion.cab

[Solitaire Showdown Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\SOLITAIRESHOWDOWN.DLL

CODEBASE = http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

[IntDialerData Class]

InProcServer32 = C:\WINDOWS\DOWNLO~1\DIALER~1.DLL

CODEBASE = http://www.solotu.com/perfiles907/DialerData.cab

[SysWebTelecomInt Class]

InProcServer32 = C:\WINDOWS\DOWNLO~1\CONFLICT.1\SYSWEB~1.DLL

CODEBASE = http://www.sponsoradulto.com/es/SysWebTelecom.cab

[DHUtility Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\DEALHELPERUTILITY.DLL

CODEBASE = http://ads.dealhelper.com/updates/DealHelper.cab

[QuickTime Object]

InProcServer32 = C:\WINDOWS\SYSTEM\QTPLUGIN.OCX

CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[Checkers Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\MSGRCHKR.DLL

CODEBASE = http://messenger.zone.msn.com/binary/msgrchkr.cab

[DialerWeb Class]

InProcServer32 = C:\WINDOWS\DOWNLO~1\WEBREC~1.DLL

CODEBASE = http://212.145.159.194/251065/dialercab/WebRecomendada.cab

[{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}]

CODEBASE = http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab

[FileSharingCtrl Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\FSMSNGR-ES.DLL

CODEBASE = http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #2: C:\Archivos de programa\NewDotNet\newdotnet6_30.dll

Protocol #1: C:\Archivos de programa\NewDotNet\newdotnet6_30.dll

Protocol #2: C:\Archivos de programa\NewDotNet\newdotnet6_30.dll

Protocol #9: C:\Archivos de programa\NewDotNet\newdotnet6_30.dll

Protocol #10: C:\Archivos de programa\NewDotNet\newdotnet6_30.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------

End of report, 9.348 bytes

Report generated in 0,384 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only
 

alnitak

Ex-Admin
Miembro
#2
Hola. Me has colocado el log equivocado, este es el del startuplist, herramienta muy util para ver pero que no sirve para limpiar y necesito el del hijackthis.

Así a ojo te puedo decir que tienes mas de un bicho, por ejemplo el PromulGate.

Para removerlo manualmente puedes abrir el regedit, navegar el registro hasta expandir la rama:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

y eliminar esta entrada:

Dpi = C:\ARCHIVOS DE PROGRAMA\COMMON FILES\DPI\DPI.EXE

Despuésreiniciar y eliminar la carpeta:

C:\ARCHIVOS DE PROGRAMA\COMMON FILES\DPI\

Tienes el NewDotNet que es uno spyware del kazaa y otros programas freeware, si has instalado kazaa desinstalalo de inmediato ya que es la peor basura que puedes conseguir en internet y te llena el sistema de bichos malos. Puedes remplazarlo con un clon como el kazaalite que luce igual pero no trae sorpresas desagradables.

Tienes el GLB1A2B.EXE que es un downloader y te va llenando el sistema de bichos.

etc. etc. etc.

En fin, colocame el otro log y ya veremos que se puede hacer pero tengo que avisarte que los bichos de kazaa no son faciles de remover y mientras kazaa esté instalado ni modo, así que si tienes kazaa instalado desinstalalo antes de tomar el log.

Sobre las recomendaciones para un firewall, te aconcejo OutPost Firewall pero de nada te servirá para protegerte de los adwares, los firewalls no son para eso, para estas cosas mejor es que te instales algún programa tipo Ad Aware y mantengas el Ad Watch residente para prevenir cambios indeseados en el registro durante la navegacion.

Tambien te recomiendo no usar el Internet explorer a no ser que sea indispensable (solo para el Windows Update) ya que el Iexplorer es una basura de navegador lleno de fallos, inseguro y lento, desde esta misma Web puedes descargarte otros navegadores mejores como Opera, Mozilla, MYIE, etc.

No instales Kazaa ni Imesh, utiliza clones libres de spywares.

Bueno, esperaré a que me coloques el log del hijackthis, un saludo.
 

JFQ

Nuevo Miembro
Miembro
#3
Alnitak, muchas gracias por tu amabilidad!

Aqui te envio el log:

Logfile of HijackThis v1.98.0

Scan saved at 09:16:37 p.m., on 07/30/2004

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\RTVSCN95.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\DEFWATCH.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 2\MSGPLUS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\ptsnoop.exe

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\VPTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\DOWNLOADWARE\DW.EXE

C:\ARCHIVOS DE PROGRAMA\COMMON FILES\DPI\DPI.EXE

C:\WINDOWS\SYSTEM32\PCS\PCSVC.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\E_S4I4C1.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\VPEXRT.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\EPSON\INK MONITOR\INKMONITOR.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\SP.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?http://about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.imaitpqwbo.org/A/Z_VAO_NKgNX4t5NSIWL1khnZZyYfALSjWtnqZRc/2pLejSQymiLULJRuwm0xdu.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\ARCHIVOS DE PROGRAMA\SE\V11\SE.DLL

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\ARCHIVOS DE PROGRAMA\MEDIALOADS ENHANCED\ME2.DLL

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_30.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {A4AF37FC-BD0E-333F-51C8-92027692F31A} - C:\ARCHIVOS DE PROGRAMA\SETUPMEDIA\CHINMEMO.EXE

O2 - BHO: WebBho Class - {00041A26-7033-432C-94C7-6371DE343822} - C:\ARCHIVOS DE PROGRAMA\SE\V11\SE.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\NORTON~1\VPTRAY.EXE

O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Archivos de programa\DownloadWare\dw.exe" /H

O4 - HKLM\..\Run: [Dpi] C:\ARCHIVOS DE PROGRAMA\COMMON FILES\DPI\DPI.EXE

O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [EPSON Stylus C63 Series] C:\WINDOWS\SYSTEM\E_S4I4C1.EXE /P23 "EPSON Stylus C63 Series" /O5 "LPT1:" /M "Stylus C63"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [bind mapi] C:\ARCHIV~1\FLAPTO~1\ante blah copy.exe

O4 - HKLM\..\Run: [sendmultimesslicense] C:\WINDOWS\Application Data\ElseOptionSendMulti\skipsoap.exe

O4 - HKLM\..\Run: [Search-Exe] "C:\ARCHIVOS DE PROGRAMA\SE\V11\SE.EXE" /H

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [rtvscn95] C:\ARCHIV~1\NORTON~1\RTVSCN95.EXE

O4 - HKLM\..\RunServices: [defwatch] C:\ARCHIV~1\NORTON~1\DEFWATCH.EXE

O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKCU\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [sp] C:\sp.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\europillamusica5\entrar.html

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://player.vivo.com/ie/vvweb.cab

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield Setup Player) - http://www.installengine.com/engine/isetup.cab

O16 - DPF: {6ED16EFF-3B18-11D6-9139-00E02964E8E3} (SCDataDialer Class) - http://www.mundifondos.com/download/cabdll.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0354aa20a54bf23fc921/...RdxIE601_es.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {C4CA6559-2CF1-48B6-96B2-8340A06FD129} - http://www.adbars.com/adbars.cab

O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} (Matrix Class) - http://acceso.masminutos.com/aplicacion.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.solotu.com/perfiles907/DialerData.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O16 - DPF: {B57186EE-4B90-405B-BC76-6F73545DA48D} (DHUtility Class) - http://ads.dealhelper.com/updates/DealHelper.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

Saludos

JFQ
 

alnitak

Ex-Admin
Miembro
#4
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Tu sistema está bastante malogrado, vamos a intentar limpiarlo pero no estoy seguro que lo logremos.

Existe una muy pequeña posibilidad que algo salga mal ya que algúnos de estos bichos pueden dejar daños permanentes en tu sistema al ser removidos mal, sobre todo pueden malograr la conexión a internet, toma las debidas precauciones respaldando previamente tus archivos importantes.

Si tienes kazaa instalado debes desinstalarlo antes de seguir estas instrucciones y reiniciar.

Desde el panel control>>agregar/remover programas ve si te da la posibilidad de remover el newdotnet, en las ultimas versiones de este bicho los han obligados a ofrecer esta posibilidad, si existe la entrada remuévelo desde allí, probablemente te pedirá que no lo hagas y te obligará a descargarte un remover, de ser así hazlo y remuévelo.

Abre el administrador de tareas y si existen termina estos procesos:

C:\ARCHIVOS DE PROGRAMA\COMMON FILES\DPI\DPI.EXE

C:\WINDOWS\SYSTEM32\PCS\PCSVC.EXE

C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\SP.EXE

Si existen y no los puedes terminar reinicia el sistema a prueba de fallos y corre el hijackthis a prueba de fallos

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix.(obviamente si ya has removido el newdotnet esas entradas ya no estarán)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw=

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...p://about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.imaitpqwbo.org/A/Z_VAO_NKgNX4t5...LJRuwm0xdu.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw=

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw=

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\ARCHIVOS DE PROGRAMA\MEDIALOADS ENHANCED\ME2.DLL

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_30.dll

O2 - BHO: (no name) - {A4AF37FC-BD0E-333F-51C8-92027692F31A} - C:\ARCHIVOS DE PROGRAMA\SETUPMEDIA\CHINMEMO.EXE

O2 - BHO: WebBho Class - {00041A26-7033-432C-94C7-6371DE343822} - C:\ARCHIVOS DE PROGRAMA\SE\V11\SE.DLL

O4 - HKLM\..\Run: [Dpi] C:\ARCHIVOS DE PROGRAMA\COMMON FILES\DPI\DPI.EXE

O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [bind mapi] C:\ARCHIV~1\FLAPTO~1\ante blah copy.exe

O4 - HKLM\..\Run: [Search-Exe] "C:\ARCHIVOS DE PROGRAMA\SE\V11\SE.EXE" /H

O4 - HKCU\..\Run: [sp] C:\sp.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\europillamusica5\entrar.html

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://player.vivo.com/ie/vvweb.cab

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield Setup Player) - http://www.installengine.com/engine/isetup.cab

O16 - DPF: {6ED16EFF-3B18-11D6-9139-00E02964E8E3} (SCDataDialer Class) - http://www.mundifondos.com/download/cabdll.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0354aa20a54bf23fc921/...RdxIE601_es.cab

O16 - DPF: {C4CA6559-2CF1-48B6-96B2-8340A06FD129} - http://www.adbars.com/adbars.cab

O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} (Matrix Class) - http://acceso.masminutos.com/aplicacion.cab

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.solotu.com/perfiles907/DialerData.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O16 - DPF: {B57186EE-4B90-405B-BC76-6F73545DA48D} (DHUtility Class) - http://ads.dealhelper.com/updates/DealHelper.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde lla pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina completamente estas carpetas:

C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\

C:\WINDOWS\SYSTEM32\PCS\

C:\ARCHIVOS DE PROGRAMA\COMMON FILES\DPI\

C:\ARCHIVOS DE PROGRAMA\MEDIALOADS ENHANCED\

C:\Archivos de programa\NewDotNet\

C:\ARCHIVOS DE PROGRAMA\SETUPMEDIA\

C:\ARCHIVOS DE PROGRAMA\SE\

C:\Archivos de programa\ FLAPTO?.(el hijackthis solo muestra las primeras letras, averigua tu el nombre completo)

c:\europillamusica5\

Elimina este archivo

C:\sp.exe

Si algúno de estos archivos no o carpetas no se deja borrar reinicia a prueba de fallos y bórralo.

Reinicia y vuelve a colocarme el log para ver como ha quedado.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

JFQ

Nuevo Miembro
Miembro
#5
He tenido exito en remover Searchweb2!!!!

Adjunto el log actual para que veas si todo ha quedado bien:

Logfile of HijackThis v1.98.0

Scan saved at 10:45:56 a.m., on 07/31/2004

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\RTVSCN95.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\DEFWATCH.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 2\MSGPLUS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\ptsnoop.exe

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\VPTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\DOWNLOADWARE\DW.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\E_S4I4C1.EXE

C:\ARCHIVOS DE PROGRAMA\EPSON\INK MONITOR\INKMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\VPEXRT.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.ecqutcpfyazkwuryrqeszvp.com/A/Z...0LJRuwm0xdu.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\ARCHIVOS DE PROGRAMA\SE\V11\SE.DLL (file missing)

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\NORTON~1\VPTRAY.EXE

O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Archivos de programa\DownloadWare\dw.exe" /H

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [EPSON Stylus C63 Series] C:\WINDOWS\SYSTEM\E_S4I4C1.EXE /P23 "EPSON Stylus C63 Series" /O5 "LPT1:" /M "Stylus C63"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [sendmultimesslicense] C:\WINDOWS\Application Data\ElseOptionSendMulti\skipsoap.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [rtvscn95] C:\ARCHIV~1\NORTON~1\RTVSCN95.EXE

O4 - HKLM\..\RunServices: [defwatch] C:\ARCHIV~1\NORTON~1\DEFWATCH.EXE

O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKCU\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

Me preocupan que no encontré la carpeta: C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\ pero en C:\WINDOWS\DOWNLOADED PROGRAM FILES\ exiten las siguientes entradas:

Checkers Class

FileSharingCrtl Class

MessengerStatsClient Class

MinesweeperFlag Class

Quick Time Object

Shockware ActiveX Control

Shockware Flash Object

Solitaire Showdown Class

Update Class

Yahoo! Pool 2

Esto esta correcto?

Saludos

JFQ
 

JFQ

Nuevo Miembro
Miembro
#6
mmm...no todo me ha quedado perfecto, cuando pongo una dirección incorrecta en el navegador me manda a la direccion:

res://C:\WINDOWS\TEMP\Cast.res/error.htm#http://sdfsdr/

y comienza a desplegar todos los popups
 
A

Arwing

Guest
#7
Quizá no puedas ver la carpeta porque tiene atributos de oculto. Ve al menú Ver >> Opciones de Carpeta >> en la pestaña Ver selecciona que se vean todos los archivos ocultos.

Creo que éstas entradas andan fastidiando:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.ecqutcpfyazkwuryrqeszvp.com/A/Z...0LJRuwm0xdu.asp

R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\ARCHIVOS DE PROGRAMA\SE\V11\SE.DLL (file missing)

O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Archivos de programa\DownloadWare\dw.exe" /H

Borra la carpeta:

C:\Archivos de Programa\SE

C:\Archivos de programa\DownloadWare

C:\Archivos de programa\MediaLoads Enhanced

Saludos

Arwing
 

alnitak

Ex-Admin
Miembro
#8
El DownloadWare es un acelerador de descargas, no se si trae o no trae spywares pero no creo tenga a que ver con tu problema

Es por el contrario muy muy sospechosa esta nueva entrada del run

O4 - HKLM\..\Run: [sendmultimesslicense] C:\WINDOWS\Application Data\ElseOptionSendMulti\skipsoap.exe

Debido a que no estaba antes asumo que sigues siendo imprudente en tu navegacion, por favor asegurate que tu sistema esté parcheado y trata de no navegar desde el IExplorer o no hay modo que tu sistema se mantenga limpio.

Esta vez vamos a hacerlo al reves :

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Navega el registro hasta encontrar y seleccionar rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y elimina esta entrada:

O4 - HKLM\..\Run: [sendmultimesslicense] C:\WINDOWS\Application Data\ElseOptionSendMulti\skipsoap.exe

Cierra el editor de registro

Sobre el log, los pasos que ya conoces pero ahora con estas entradas:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.ecqutcpfyazkwuryrqeszvp.com/A/Z...0LJRuwm0xdu.asp

R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\ARCHIVOS DE PROGRAMA\SE\V11\SE.DLL (file missing)

O4 - HKLM\..\Run: [sendmultimesslicense] C:\WINDOWS\Application Data\ElseOptionSendMulti\skipsoap.exe

y eliminas después la carpeta

C:\WINDOWS\Application Data\ElseOptionSendMulti\
 

JFQ

Nuevo Miembro
Miembro
#9
Bueno...efectivamente no veia el el directorio C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\ porque estaba oculto, tal como dijo Arwing.

He bajado el navegador Mozilla Firefox, que mas debo hacer para no ser imprudente en la navegacion?

Este es el nuevo log:

Logfile of HijackThis v1.98.0

Scan saved at 01:21:42 p.m., on 08/01/2004

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\RTVSCN95.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\DEFWATCH.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 2\MSGPLUS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\ptsnoop.exe

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\VPTRAY.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\E_S4I4C1.EXE

C:\ARCHIVOS DE PROGRAMA\EPSON\INK MONITOR\INKMONITOR.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\VPEXRT.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\NORTON~1\VPTRAY.EXE

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [EPSON Stylus C63 Series] C:\WINDOWS\SYSTEM\E_S4I4C1.EXE /P23 "EPSON Stylus C63 Series" /O5 "LPT1:" /M "Stylus C63"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [rtvscn95] C:\ARCHIV~1\NORTON~1\RTVSCN95.EXE

O4 - HKLM\..\RunServices: [defwatch] C:\ARCHIV~1\NORTON~1\DEFWATCH.EXE

O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKCU\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

Me da mala espina el Real Schedule, puede ser?

Saludos

JFQ
 

alnitak

Ex-Admin
Miembro
#10
Explicame algo: ¿te siguen saliendo las ventanas?

Porque tu log luce limpio y no veo nada que pueda causar ese efecto.

Real Schedule es parte de RealOne player y no es un malware.

Para navegar seguro ya has hecho lo mas importante al no navegar desde IExplorer, con esto tus posibilidades de infectarte bajan en un buen 90 %

No aceptes descargar de plug ins dudosos (en paginas de cracks, paginas pornos- warez etc.)

Manten tu sistema actualizado mediante el Windows Update.

Instala un firewall.

Instala un antispyware y manten su modulo residente activado.

No abras e-mails desde el Iexplorer ni desde el Outlook ni abras archivos adjuntos sospechosos.

Un largo etcetera.
 

JFQ

Nuevo Miembro
Miembro
#11
Alnitak, ya no tengo ventanas molestas!, aparentemente se ha solucionado el problema.

Con que programa puedo leer los mails en lugar del outlook?

Que Firewall y que antispyware me recomiendas?

Desde ya te estoy sumamente agradecido por la invaluable ayuda brindada!!!!!!!

Saludos

JFQ
 

alnitak

Ex-Admin
Miembro
#12
Si es para manejar cuentas de correo POP te recomiendo usar The bat!

Para leer correos de hotmail yo prefiero abrirlos directamente desde el navegador y utilizo Opera para navegar

Han existido y seguirán saliendo varios bugs del IExplorer y de Outlook que permiten infectarte con solo previsualizar un email.

Lamentablemente Microsoft ha llegado a tardarse hasta 2 años para arreglar algúnos y nunca los arregla completamente, en este mismo momento existen varios bugs que afectan a Iexplorer, algúnos realmente peligrosos.

El firewall que mas me gusta es Outpost Firewall, tienes un tutorial de uso pegado aquí arriba:

Outpost Firewall

El mejor antispyware a mi gusto es Ad Aware y recomiendo mantener activado su modulo residente Ad Watch que previene cambios indeseados en el registro y en cada caso solicita el permiso del usuario.

Un saludo y suerte
 

JFQ

Nuevo Miembro
Miembro
#13
Baje The Bat pero tiene una extension "rar" y no se que hacer...

Disculpa mi ignorancia!

Saludos

JFQ
 

alnitak

Ex-Admin
Miembro
#14
Los archivos *.rar son archivos comprimidos con WINRAR, un compresor que le da bastante vueltas al WinZip así que aconsejo usarlo en lugar del otro ademas el Winrar descomprime también los archivos *.zip mientras el WinZip no descomprime los archivo *.rar

Puedes bajarte el Winrar desde esta misma web.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie