 |
| |||||||
 InfoSpyware sortea una T-Shirts |
| Participa en el sorteo por una
"Camiseta Oficial de InfoSpyware" gracias al amigo
Enjuto Mojamuto |
| Foro Oficial de HijackThis en español Analizamos tu log de HijackThis para eliminar Hijackers, Spyware, Adware, ToolBars, Virus, Troyanos y Malwares en gral. Antes lea las Políticas del Foro de HijackThis. |
 |
| | Herramientas |
 | 
01/03/05, 17:32:22
|  |
| |||
| Captura de la página de inicio “about blank” y dificultades con el módulo se.dll Estimados amigos del foro, Reciba un cordial saludo. Creo que ustedes me pueden orientar con este contratiempo, pues han solucionado situaciones parecidas a la que me sucede; desde hace unos días he tenido una serie de problemas que me permito enumerar así: 1.Cuando me conecto a la Internet, es capturada mi página de inicio hacia “about blank”, además no me permite entrar a las páginas de correo como hotmail y yahoo, re-direccionadome a la página “about blank” y despliega varias ventanas que bloquean la computadora. 2.El antivirus detecto un virus troyano denominado “Trojan.Startpage” en C: \windows\temp\se.dll, y un enunciado dice que Norton ya reparo el problema, pero inmediatamente genera un error en RUNDLL, con el comentario que no lo puede cargar. Adicionalmente se ha analizado con programas anti-espias como Ad-aware y Spybot, además al presionar ctrl+alt+supr, el módulo Ccapp siempre esta como “no responde”, tiene que ver algo con el problema. Anexo le envío el logfile de mi computadora. No siendo más por el momento, agradeciendo su atención y a la espera prontas de noticias. Muy cordialmente, Nicolas Van Orthon Logfile of HijackThis v1.99.1 Scan saved at 04:46:23 p.m., on 01/03/2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\PTSNOOP.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos F1 - win.ini: load=ptsnoop.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {B32D1054-747F-4649-99A8-6EAB84022773} - C:\WINDOWS\SYSTEM\PHCK.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [Symantec Core LC] C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe start O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [NPFMonitor] C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = epfl.ch O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 83.191.232.68,83.191.232.69 O18 - Filter: text/html - {C25E9570-7748-4B60-91D7-BFDA13F0EBD7} - C:\WINDOWS\SYSTEM\PHCK.DLL O18 - Filter: text/plain - {C25E9570-7748-4B60-91D7-BFDA13F0EBD7} - C:\WINDOWS\SYSTEM\PHCK.DLL     |
|
01/03/05, 17:59:23
| |
| ||||
| Re: Captura de la página de inicio “about blank” y dificultades con el módulo se.dll Hola!!! Bien explicado tu problema  , vamos a tratar de solucionarlo :dedosarri .Sigue estos pasos: 1) Apaga Restaurar Sistema 2) Opción ver archivos ocultos y del sistema 3) Tienes un troyano (C:\WINDOWS\PTSNOOP.EXE) asi que pasa dos de los antivirus online que llevo en la firma y elimina lo que te encuentre. 4) Reinicia a prueba de fallos 5) Con el administrador de tareas (Ctrl+Alt+Supr) para si está este proceso (es posible que te lo haya solucionado el antivirus): PTSNOOP.EXE 6) Ejecuta HijackThis con todos los programas cerrados (antes asegurate de haberle creado una carpeta para él) y dale fix a: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html F1 - win.ini: load=ptsnoop.exe O2 - BHO: (no name) - {B32D1054-747F-4649-99A8-6EAB84022773} - C:\WINDOWS\SYSTEM\PHCK.DLL O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O18 - Filter: text/html - {C25E9570-7748-4B60-91D7-BFDA13F0EBD7} - C:\WINDOWS\SYSTEM\PHCK.DLL O18 - Filter: text/plain - {C25E9570-7748-4B60-91D7-BFDA13F0EBD7} - C:\WINDOWS\SYSTEM\PHCK.DLL 7) Busca y elimina los siguientes archivos y/o carpetas: C:\WINDOWS\PTSNOOP.EXE C:\WINDOWS\TEMP\se.dll C:\WINDOWS\SYSTEM\PHCK.DLL 8) Usa RegSeeker para limpiar el registro. 9) Usa Disk Cleaner para eliminar cookies y temporales. Vacia la papelera. 10) Reinicia normal y nos cuentas los resultados. Saludos. Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
09/03/05, 00:02:43
| |
| |||
| Re: Captura de la página de inicio “about blank” y dificultades con el módulo se.dll Estimado amigo Jereque, Reciba un cordial. Agradezco el interés mostrado por mi caso. Desafortunadamente no me he podido librar de estas molestas rutinas. Primero que todo al descargar los programas RegSeeker y Diskcleaner y ejecutarlos los dos generan un error en el modulo Kernell32.dll, más sin embargo, se pueden emplear sin que el anuncio del error desaparezca. Las carpetas o archivos que contenían ptsnoop.exe, se.dll y phck.dll, las ubique pero no se pueden borrar, con el argumento que están en uso. He seguido los pasos que usted me ha sugerido, sin embargo, el problema persigue generado incluso nuevos registros inexistentes en el pasado log , como por ejemplo la línea: O4-HKLM\..\Run:[sp]rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall y modificado registros 018 de phck.dll a fpk.dll. Hay unos registros R1 con la extensión homeoldsp, según ad-aware este es un malware, ¿se puede eliminar? Por lo anterior, me permito enviarle de nuevo el Log-file. No siendo más agradeciendo su atención y a la espera de su respuesta. NVH Logfile of HijackThis v1.99.1 Scan saved at 10:59:09 p.m., on 08/03/2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\RUNDLL32.EXE C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SNDSRVC.EXE C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 6\AD-WATCH.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\MIS DOCUMENTOS\PROGRAMAS DESCARGADOS\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: (no name) - {A826CA4C-241D-4616-964F-44F932D0B510} - C:\WINDOWS\SYSTEM\FPK.DLL O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [Symantec Core LC] C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe start O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [NPFMonitor] C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = epfl.ch O18 - Filter: text/html - {B6A5D98B-FED5-4427-B1A8-50A4D94487D3} - C:\WINDOWS\SYSTEM\FPK.DLL O18 - Filter: text/plain - {B6A5D98B-FED5-4427-B1A8-50A4D94487D3} - C:\WINDOWS\SYSTEM\FPK.DLL |
|
09/03/05, 10:45:25
| |
| ||||
| Re: Captura de la página de inicio “about blank” y dificultades con el módulo se.dll Bien, sigamos: 1) Apaga Restaurar Sistema 2) Reinicia a prueba de fallos 3) Ejecuta HijackThis con todos los programas cerrados y dale fix a: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html O2 - BHO: (no name) - {A826CA4C-241D-4616-964F-44F932D0B510} - C:\WINDOWS\SYSTEM\FPK.DLL O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O18 - Filter: text/html - {B6A5D98B-FED5-4427-B1A8-50A4D94487D3} - C:\WINDOWS\SYSTEM\FPK.DLL O18 - Filter: text/plain - {B6A5D98B-FED5-4427-B1A8-50A4D94487D3} - C:\WINDOWS\SYSTEM\FPK.DLL 4) Busca y elimina: C:\WINDOWS\TEMP\SE.DLL C:\WINDOWS\SYSTEM\FPK.DLL Nota.- Para archivos que no se dejan borrar usa KillBox . 5) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera. 6) Reinicia normal y nos cuentas los resultados. Saludos. PD// Deberías actualizar tu explorer, en cuanto a ptsnoop.exe, ya no lo veo en tu log. Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
|
|
Todas las horas son GMT -4. La hora es 01:15:24.
