Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

yo tengo el mismo problema de Pindomitass, no pude solucionar el problema, la diferencia es que tengo win 2000, por lo que no encontré el Systr.dll incluso cambiando en la ruta \Windows\ por \WINNT\, pero nada no lo encuentro para borrarlo he ejecutado muchos ADware y nada, ahora tengo instalado el Spy sweeper pero queda pegado.

adjunto mi Log por si me pueden ayudar please!!!


Logfile of HijackThis v1.98.2
Scan saved at 9:38:33, on 14-04-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\lotus\notes\ntmulti.exe
C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\ppinna\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/066/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 1
F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [seticlient] C:\Archivos de programa\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn

Debes tener el hijackthis en una carpeta(por ejemplo: HJT) no debes correrlo desde temporal.

Hola, efectivamente como bien dice "Porronfijo" has de crearle a HijackThis una carpeta para meterlo dentro.

Además añado que estás usando una versión vieja de HijackThis, debes descargar HijackThis 1.99.1 .

Comienza siguiendo los 11 pasos de este tutorial sin saltarte ninguno, y una vez hayas reiniciado ejecuta HijackThis 1.99.1 y nos pegas tu nuevo log en este mismo mensaje.

Por cierto, dividi tu post, ya que lo hiciste en el mensaje de otro usuario.

Saludos

seguí los 11 paso al pie de la letra, pero no se me solucionó, el panda lo detecta pero no lo elimina... aquí pego mi log
a ver si ahora me resulta.
Saludos y gracias...


Logfile of HijackThis v1.99.1
Scan saved at 12:19:45, on 15-04-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\lotus\notes\ntmulti.exe
C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\SETI@home\SETI@home.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\lotus\notes\nminder.exe
C:\Archivos de programa\Microsoft Office\Office\EXCEL.EXE
C:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/066/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 1
F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [seticlient] C:\Archivos de programa\SETI@home\SETI@home.exe -min
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\lotus\notes\ntmulti.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

Bien, sigue estos pasos:

1) Descarga KillBox y elimina:

C:\windows\system32\systr.dll

2) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/066/

3) Limpia el regitro con RegSeeker , pasa Ad-Aware actualizado y un Antivirus Online .

4) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

5) Reinicia y nos cuentas los resultados

Saludos

ya traté de hacer eso, pero no me resultó, el archivo Systr.dll no lo encuentro, como yo tengo W2K, no tengo carpeta Windows, sino WINNT, y la cambio en la ruta para Killbox, pero no encuentra el archivo, y si lo busco manualmente tampoco...

que más puedo hacer???

Saludos y Gracias de todas maneras

Hola

Revisa con la opción de buscar del regseeker a ver si hay llamadas al archivo Systr.dll, si las hay, bórralas y luego borras el archivo en cuestión otra vez.

Con el killbox o manualmente.

Luego nos cuentas como ha ido la cosa.

Felicidad

Gracias,... pero ya detecté cual era el problema, la librería del hotoffers en mi computador, no se llama Systr.dll, se llama o mas bien dicho se llamaba Param32.dll, el panda me dio el nombre, así que seguí los pasos normales para la eliminación del Hotoffers, solo que le hice fix al C:\WINNT\System32\param32.dll y continue con lo demas en el procedimiento, y ahora estoy limpio...


Así que les puede servir a otros miembros del Foro. si no encuantran el Systr.dll, buscar el Param32.dll, ya que a mi así me resulto...


Gracias a todos. :dedosarri

Bien :dedosarri , pues damos el tema por solucionado.

Tendremos en cuenta el nombre del archivo dll

Saludos