WebRebates0 y djtopr1150.exe

Estado
Cerrado para nuevas respuestas

rogermartin

Nuevo Miembro
Miembro
#1
Hola, es la primera vez que entro en el foro, así que un saludo a todos.

Mi problema es que soy incapaz de eliminar los ficheros WebRebates0 que no existe en "C:\Archivos de programa\Web_Rebates\WebRebates0.exe" y djtopr1150.exe que tampoco existe en "C:\DOCUME-1\Roger\CONFIG-1\Temp\djtorp1150.exe", porque los elimino en el editor del registro [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebRebates0] y[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\djtorp1150.exe] y se vuelven a autoejecutar. He probado con SpyBot-Search & Destroy, Ad-Aware SE Prof, Ad-Wacht SE Prof, RegClean, etc .... y no encuentro la forma de eliminarlos.

Alguien me pude ayudar a eliminarlo del todo?

Gracias de antemano y Un saludo.
 
A

Arwing

Guest
#2
Descarga HijackThis 1.98.2, crea un log y postéalo aquí en este mensaje.

Arwing
 

rogermartin

Nuevo Miembro
Miembro
#3
Logfile of HijackThis v1.98.2

Scan saved at 14:50:25, on 28/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\Tablet.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\ARCHIV~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe

C:\ARCHIV~1\Trust\WIRELE~1\Mouse\Amoumain.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ScanSoft\OmniPagePro14.0\Opware14.exe

C:\Archivos de programa\ScanSoft\OmniPagePro14.0\OpScheduler.exe

C:\Archivos de programa\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe

C:\ARCHIV~1\Lavasoft\AD-AWA~3\Ad-Watch.exe

C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\AVerTV2K\QuickTV.exe

C:\WINDOWS\system32\WTablet\TabUserW.exe

C:\Archivos de programa\P2PHazard\P2PHazard.exe

C:\Archivos de programa\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe

C:\ARCHIV~1\INCRED~1\bin\IMApp.exe

C:\Archivos de programa\DAP\DAP.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Roger\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\ARCHIV~1\Toolbar\toolbar.dll/sa

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\ARCHIV~1\COPERN~1\COPERN~1.DLL

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [iKeyWorks] C:\ARCHIV~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [WheelMouse] C:\ARCHIV~1\Trust\WIRELE~1\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [upwuqmlpx] C:\WINDOWS\System32\yuofdfle.exe

O4 - HKLM\..\Run: [krgvcvqv] C:\WINDOWS\krgvcvqv.exe

O4 - HKLM\..\Run: [PSDrvCheck] "c:\archivos de programa\pinnacle\edition 5\program\PSDrvCheck.exe" -CheckReg

O4 - HKLM\..\Run: [Opware14] "C:\Archivos de programa\ScanSoft\OmniPagePro14.0\Opware14.exe"

O4 - HKLM\..\Run: [OpScheduler] "C:\Archivos de programa\ScanSoft\OmniPagePro14.0\OpScheduler.exe"

O4 - HKLM\..\Run: [WorkFlowTray] "C:\Archivos de programa\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NexusServer] "C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch

O4 - HKLM\..\Run: [Overnet] C:\Archivos de programa\Overnet\eDonkey2000.exe -t

O4 - HKLM\..\Run: [AWMON] "C:\ARCHIV~1\Lavasoft\AD-AWA~3\Ad-Watch.exe"

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Archivos de programa\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe

O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\Roger\CONFIG~1\Temp\djtopr1150.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [InstantTray] C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [IncrediMail] C:\ARCHIV~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Archivos de programa\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc

O4 - Startup: P2PHazard.lnk = C:\Archivos de programa\P2PHazard\P2PHazard.exe

O4 - Startup: PeerGuardian_1.99b_pr14.lnk = C:\Archivos de programa\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV2K\QuickTV.exe

O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Realizar la búsqueda utilizando Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Ejecutar Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9E1B1DBD-600F-4406-9DF3-3E1C6DEB79C6} - http://62.43.233.2/dialerINM/PINMAcceso.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{057B6958-C957-4A97-AFDD-484B1C2EE245}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB3833A-6FA5-42E3-87A8-E6AC8735C475}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{057B6958-C957-4A97-AFDD-484B1C2EE245}: NameServer = 194.179.1.100,194.179.1.101
 
A

Arwing

Guest
#4
Hola,

Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:Manual pasos a seguir para el uso HijackThis

Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):

C:\WINDOWS\System32\yuofdfle.exe

C:\WINDOWS\krgvcvqv.exe

C:\Program Files\Windows SyncroAd\SyncroAd.exe

C:\Archivos de programa\Web_Rebates\WebRebates0.exe

C:\DOCUME~1\Roger\CONFIG~1\Temp\djtopr1150.exe

wuamgrd.exe

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\ARCHIV~1\Toolbar\toolbar.dll/sa

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe

O4 - HKLM\..\Run: [upwuqmlpx] C:\WINDOWS\System32\yuofdfle.exe

O4 - HKLM\..\Run: [krgvcvqv] C:\WINDOWS\krgvcvqv.exe

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Archivos de programa\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe

O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\Roger\CONFIG~1\Temp\djtopr1150.exe"

O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe

O16 - DPF: {9E1B1DBD-600F-4406-9DF3-3E1C6DEB79C6} - http://62.43.233.2/dialerINM/PINMAcceso.cab

Y da click en el botón "Fix Checked"

Descarga el programa Disk Cleaner y úsalo para borrar todos los archivos temporales de tu computadora.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y carpetas y bórralos:

C:\WINDOWS\System32\yuofdfle.exe

C:\WINDOWS\krgvcvqv.exe

C:\Program Files\Windows SyncroAd\

C:\Archivos de programa\Web_Rebates\

C:\DOCUME~1\Roger\CONFIG~1\Temp\djtopr1150.exe

wuamgrd.exe

Reinicia el sistema y prueba que tal te va ahora. Escaneate con algún antivirus actualizado para que quite los restos de basura que puedan haber quedado.

Saludos

Arwing
 

rogermartin

Nuevo Miembro
Miembro
#5
Muchas gracias Arwin, lo he solucionado con tus indicaciones.

En el nuevo log, ya no me aparecen ninguno de los dos.

Lo dicho, gracias.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie