• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 11

    Me cambia las DNS (solucionado)

    Resumen del tema: Me cambia las DNS (solucionado) - Hola, estoy limpiando un ordenador al que le pasaba de todo, se le cambiaban las DNS, se le abren ventanas de IE, cuando escribias una dirección de internet, se cambiaba la dirección y solo veías ...

      
    1. #1
      Usuario Avatar de Urangae
      Registrado
      mar 2005
      Ubicación
      España
      Mensajes
      42

      Bien Me cambia las DNS (solucionado)

      Hola, estoy limpiando un ordenador al que le pasaba de todo, se le cambiaban las DNS, se le abren ventanas de IE, cuando escribias una dirección de internet, se cambiaba la dirección y solo veías la página blanca...

      Asi que despues de pasarle el Ad aware y el Microsoft Antispyware en modo seguro, y ahora que si puedo navegar por internet os envio el log del Hijackthis para ver si tengo que quitar algo o hacer algo mas.

      Gracias.

      Logfile of HijackThis v1.99.1
      Scan saved at 11:58:58, on 07/06/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Archivos de programa\Ahead\InCD\InCD.exe
      C:\Archivos de programa\Logitech\iTouch\iTouch.exe
      C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
      C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
      C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
      C:\WINDOWS\system32\ntrx32.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\Messenger\msmsgs.exe
      C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      C:\Archivos de programa\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
      C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
      C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
      \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
      D:\LIMPIEZA\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.gipuzkoa.net:8080
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      R3 - Default URLSearchHook is missing
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Class - {F6C9627E-9AEA-C653-5C38-FBA709684853} - C:\WINDOWS\system32\apixt.dll
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
      O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe
      O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
      O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
      O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
      O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
      O4 - HKLM\..\Run: [ntrx32.exe] C:\WINDOWS\system32\ntrx32.exe
      O4 - HKLM\..\Run: [sysko32.exe] C:\WINDOWS\system32\sysko32.exe
      O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
      O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
      O4 - HKLM\..\RunOnce: [ieoe.exe] C:\WINDOWS\system32\ieoe.exe
      O4 - HKLM\..\RunOnce: [iphi.exe] C:\WINDOWS\system32\iphi.exe
      O4 - HKLM\..\RunOnce: [ieqi.exe] C:\WINDOWS\system32\ieqi.exe
      O4 - HKLM\..\RunOnce: [ntpy32.exe] C:\WINDOWS\system32\ntpy32.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
      O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      O4 - Global Startup: gwum.lnk = C:\Archivos de programa\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
      O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O15 - Trusted Zone: *.coolwebsearch.com
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://D:\contenido\interface\swflash.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{7553A90F-B9D6-4F3D-A59E-FB96E901117B}: NameServer = 69.50.176.198,195.225.176.153
      O17 - HKLM\System\CCS\Services\Tcpip\..\{9787D8C2-C4B5-45E1-BB81-3419F9F58267}: NameServer = 192.168.160.11,192.168.161.12
      O17 - HKLM\System\CS2\Services\Tcpip\..\{2C3C32A7-EB0F-4208-9F43-36B80AFC8962}: NameServer = 69.50.176.198,195.225.176.153
      O20 - Winlogon Notify: style32 - C:\WINDOWS\q1636671_disk.dll (file missing)
      O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ieoe.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
      O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

    2. #2
      Ex-Colaborador Avatar de NeoByte
      Registrado
      ene 2005
      Ubicación
      España
      Mensajes
      9.121

      Re: Me cambia las DNS

      Hola Urangae

      Realiza todos los pasos sin saltarte ninguno,por favor.

      Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

      *Ver archivos ocultos en todos los Windows

      *Apagar Restaurar Sistema (Systema Restore)

      *Reinicia el PC en Modo a prueba de fallos

      Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fhbod.dll/sp.html#37049

      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fhbod.dll/sp.html#37049
      R3 - Default URLSearchHook is missing

      O2 - BHO: Class - {F6C9627E-9AEA-C653-5C38-FBA709684853} - C:\WINDOWS\system32\apixt.dll
      O4 - HKLM\..\Run: [ntrx32.exe] C:\WINDOWS\system32\ntrx32.exe
      O4 - HKLM\..\Run: [sysko32.exe] C:\WINDOWS\system32\sysko32.exe

      O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
      O4 - HKLM\..\RunOnce: [ieoe.exe] C:\WINDOWS\system32\ieoe.exe
      O4 - HKLM\..\RunOnce: [iphi.exe] C:\WINDOWS\system32\iphi.exe

      O4 - HKLM\..\RunOnce: [ieqi.exe] C:\WINDOWS\system32\ieqi.exe
      O4 - HKLM\..\RunOnce: [ntpy32.exe] C:\WINDOWS\system32\ntpy32.exe

      Estas entradas 017,son las q te redireccionan (hackeo de DNS) eliminalas q te hacen pasar(filtrar) por Ucrania.

      O17 - HKLM\System\CCS\Services\Tcpip\..\{7553A90F-B9D6-4F3D-A59E-FB96E901117B}: NameServer = 69.50.176.198,195.225.176.153
      O17 - HKLM\System\CCS\Services\Tcpip\..\{9787D8C2-C4B5-45E1-BB81-3419F9F58267}: NameServer = 192.168.160.11,192.168.161.12
      O17 - HKLM\System\CS2\Services\Tcpip\..\{2C3C32A7-EB0F-4208-9F43-36B80AFC8962}: NameServer = 69.50.176.198,195.225.176.153

      O20 - Winlogon Notify: style32 - C:\WINDOWS\q1636671_disk.dll (file missing)
      O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ieoe.exe

      Para la entrada 015 utiliza esta herramienta. *Tz-Kill.inf(015)

      O15 -Trusted Zone: *.coolwebsearch.com

      Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

      Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

      C:\WINDOWS\system32\ntrx32.exe
      C:\WINDOWS\fhbod.dll/sp.html#37049
      C:\WINDOWS\system32\apixt.dll

      C:\WINDOWS\system32\ntrx32.exe
      C:\WINDOWS\system32\sysko32.exe
      C:\WINDOWS\system32\yaemu.exe

      C:\WINDOWS\system32\ieoe.exe
      C:\WINDOWS\system32\iphi.exe
      C:\WINDOWS\system32\ieqi.exe

      C:\WINDOWS\system32\ntpy32.exe
      C:\WINDOWS\q1636671_disk.dll

      Pasa estas herramientas:

      *EWIDOy el manual

      *Disk Cleaner para limpiar cookis y temporales

      * RegSeeker para limpiar el registro y su manual pasalo varias veces hasta q ya no te salga nada.

      Te instalas el *SpywareBlaster 3.4 manual


      Reinicia y te conectas a la red.Y reactiva la opción de restaurar el sistema.

      Y pasas el *Spybot S.D.(te inmunizas) y otra vez el * RegSeeker para limpiar el registro y su manual pasalo varias veces hasta q ya no te salga nada.

      Pones otro log para ver como esta todo y nos cuentas los resultados.

      *Si tienes alguna duda,puedes imprimir las instrucciones.

      P.D. Tienes actualizados tu antivirus y el cortafuegos?

      saludos

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de Urangae
      Registrado
      mar 2005
      Ubicación
      España
      Mensajes
      42

      Re: Me cambia las DNS

      Ok, por lo que veo esta hasta los cojon.... En fin es un ordenador del trabajo, así que intentare hacerlo hoy mismo porque si no hasta el lunes ya no podría, en cuanto lo haga, os pongo un post con el nuevo log, gracias.

      PD: El Antivirus estaba actualizado hasta que entro toda esta basura y ahora en cuanto he conseguido que funcionase Internet se ha vuelto a actualizar, y el firewall de Windows xp esta activado.


      Un saludo y gracias.

    4. #4
      Usuario Avatar de Urangae
      Registrado
      mar 2005
      Ubicación
      España
      Mensajes
      42

      Re: Me cambia las DNS

      Ya estoy aquí de nuevo, siento la tardanza pero es que tenía mucho curro. Bueno, despues de limpiar y limpiar (porque mira que estaba infectado de narices) he hecho lo que me comentasteis de cabo a rabo, aunque el programa "ewido" me daba un error cuando encontraba algo infectado en el registro y se cerraba el programa, lo solucione pasando el RegSeeker y despues ya no fallaba, de todas formas tiene que haber algo todavía pues en el Internet explorer se me habre una ventana de publicidad.

      En fin ahi va el último reporte del Hijackt

      Un saludo y gracias.

      Logfile of HijackThis v1.99.1
      Scan saved at 13:32:31, on 13/09/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
      C:\Archivos de programa\ewido\security suite\ewidoguard.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Archivos de programa\Ahead\InCD\InCD.exe
      C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
      C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
      C:\WINDOWS\apphp32.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      C:\WINDOWS\wincd32.exe
      C:\Archivos de programa\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
      C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
      C:\Aitor Informático\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.gipuzkoa.net:8080
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      R3 - Default URLSearchHook is missing
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy2\SDHelper.dll
      O2 - BHO: Class - {DA454198-016C-A78B-5EA3-D9B36A97DB06} - C:\WINDOWS\system32\ipta32.dll
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
      O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
      O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
      O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
      O4 - HKLM\..\Run: [apphp32.exe] C:\WINDOWS\apphp32.exe
      O4 - HKLM\..\RunOnce: [wincd32.exe] C:\WINDOWS\wincd32.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      O4 - Global Startup: gwum.lnk = C:\Archivos de programa\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
      O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://D:\contenido\interface\swflash.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{9787D8C2-C4B5-45E1-BB81-3419F9F58267}: NameServer = 80.58.61.250,80.58.61.254
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
      O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
      O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
      O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

    5. #5
      Usuario Avatar de Wisp
      Registrado
      mar 2005
      Ubicación
      ?
      Mensajes
      0

      Re: Me cambia las DNS

      Pasa el CWShredder.

      Marca estas entradas con el Internet Explorer y el resto de aplicaciones cerradas:

      R3 - Default URLSearchHook is missing
      O2 - BHO: Class - {DA454198-016C-A78B-5EA3-D9B36A97DB06} - C:\WINDOWS\system32\ipta32.dll
      O4 - HKLM\..\Run: [apphp32.exe] C:\WINDOWS\apphp32.exe
      O4 - HKLM\..\RunOnce: [wincd32.exe] C:\WINDOWS\wincd32.exe

      Finaliza (control+alt+supr) y elimina (borrar archivo) estos procesos:

      apphp32.exe
      wincd32.exe
      ipta32.dll <- Eliminalo

      Comenta los resultados y pega un log nuevo del HijackThis.

    6. #6
      Usuario Avatar de Urangae
      Registrado
      mar 2005
      Ubicación
      España
      Mensajes
      42

      Triste Re: Me cambia las DNS

      Hola, ya he hecho lo que comentas, pero despues de limpiar todo, el log estaba totalmente limpio y al abrir el IE para poner el log se me ha abierto un pop-up de publicidad que en la barra azul ponía "Only the best" y al ver esto y que la página de inicio volvia a estar en blanco, he vuelto ha ejecutar el Hijact y han vuelto a salir las líneas R1 con el "sp.html#37049", tambien encuentra todo el rato el Spybot lo siguiente:

      - CoolWWWsearch.Searchklick
      - Trak Blue error Nuker

      Bueno ahi va el log

      Gracias.

      Logfile of HijackThis v1.99.1
      Scan saved at 17:18:05, on 13/09/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
      C:\Archivos de programa\ewido\security suite\ewidoguard.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Archivos de programa\Ahead\InCD\InCD.exe
      C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
      C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      C:\Archivos de programa\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
      C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
      C:\WINDOWS\apphp32.exe
      C:\WINDOWS\system32\d3ta.exe
      C:\Aitor Informático\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.gipuzkoa.net:8080
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      R3 - Default URLSearchHook is missing
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Class - {10CB9ED8-DE3E-49E2-5735-9F1B7A0CC365} - C:\WINDOWS\d3zq32.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy2\SDHelper.dll
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
      O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
      O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
      O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
      O4 - HKLM\..\Run: [apphp32.exe] C:\WINDOWS\apphp32.exe
      O4 - HKLM\..\RunOnce: [d3ta.exe] C:\WINDOWS\system32\d3ta.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      O4 - Global Startup: gwum.lnk = C:\Archivos de programa\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
      O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://D:\contenido\interface\swflash.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{9787D8C2-C4B5-45E1-BB81-3419F9F58267}: NameServer = 80.58.61.250,80.58.61.254
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
      O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
      O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
      O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

    7. #7
      Ex-Colaborador Avatar de NeoByte
      Registrado
      ene 2005
      Ubicación
      España
      Mensajes
      9.121

      Re: Me cambia las DNS

      Hola Urangae

      Bueno,parece ser q le han cogido cariño a tu pc.

      Supongo q tendras bien configurado y actualizado el cortafuegos y el antivirus.

      Realiza todos los pasos sin saltarte ninguno,por favor.

      Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

      *Ver archivos ocultos en todos los Windows

      *Apagar Restaurar Sistema (Systema Restore)

      *Reinicia el PC en Modo a prueba de fallos

      Ejecuta el *CWShredder 2.15 y el manual y dale al botón Fix.

      Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fwgpm.dll/sp.html#37049

      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fwgpm.dll/sp.html#37049
      R3 - Default URLSearchHook is missing

      O2 - BHO: Class - {10CB9ED8-DE3E-49E2-5735-9F1B7A0CC365} - C:\WINDOWS\d3zq32.dll
      O4 - HKLM\..\Run: [apphp32.exe] C:\WINDOWS\apphp32.exe
      O4 - HKLM\..\RunOnce: [d3ta.exe] C:\WINDOWS\system32\d3ta.exe

      Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

      Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

      C:\WINDOWS\apphp32.exe
      C:\WINDOWS\system32\d3ta.exe
      C:\WINDOWS\d3zq32.dll
      fwgpm.dll

      Pasa estas herramientas:

      *EWIDOy el manual
      *Disk Cleaner para limpiar cookis y temporales

      * RegSeeker para limpiar el registro y su manual pasalo varias veces hasta q ya no te salga nada.

      Reinicia y te conectas a la red.Y reactiva la opción de restaurar el sistema.

      Y le pasas el *Spybot S.D. y otra vez el * RegSeeker para limpiar el registro.

      Pones otro log para ver como esta todo y nos cuentas los resultados.

      *Si tienes alguna duda,puedes imprimir las instrucciones.

      saludos

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de Urangae
      Registrado
      mar 2005
      Ubicación
      España
      Mensajes
      42

      Wink Re: Me cambia las DNS

      Bueno, ya estoy aqui de nuevo, haber si esta vez lo hemos conseguido, por ahora tiene buena pinta, no me ha salido ningun pop-up, ahi va el log

      Saludos

      Logfile of HijackThis v1.99.1
      Scan saved at 13:14:55, on 16/09/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Archivos de programa\Ahead\InCD\InCD.exe
      C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      C:\Archivos de programa\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
      C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
      C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
      C:\Archivos de programa\ewido\security suite\ewidoguard.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
      C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
      C:\Aitor Informático\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.gipuzkoa.net:8080
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~2\SDHelper.dll
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
      O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      O4 - Global Startup: gwum.lnk = C:\Archivos de programa\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
      O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://D:\contenido\interface\swflash.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{9787D8C2-C4B5-45E1-BB81-3419F9F58267}: NameServer = 80.58.61.250,80.58.61.254
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
      O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
      O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
      O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

      :notworthy

    9. #9
      Ex-Colaborador Avatar de NeoByte
      Registrado
      ene 2005
      Ubicación
      España
      Mensajes
      9.121

      Re: Me cambia las DNS

      Hola Urangae

      Ya no tienes ninguna entrada sospechosa, y tu log esta limpio.

      Si ya no tienes mas problemas, podemos dar el tema por solucionado.

      Lo q si podias hacer es una comprobación de errores,y una desfracmentación

      de todas las unidades.Si haces la desfracmentación hazla 3-5 veces seguidas y

      sin interrucción.

      saludos

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    10. #10
      Usuario Avatar de Urangae
      Registrado
      mar 2005
      Ubicación
      España
      Mensajes
      42

      Bien Re: Me cambia las DNS


      Ok, muchas gracias.

      Para la desframentación que me recomiendas, el de windows u otro?

    Página 1 de 2 12 ÚltimoÚltimo