Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Antes que nada disculpen si este post aparece dos veces, pero al momento de enviarlo me dice que no encuentra el sitio.

Bueno pues les platico que también me llego el smitfraud.c, que tiene el sp.dll y reenvia el explorer al about:blank. Siguiendo el manual de ElPiedra (en el subforo de virus y spywares comunes), consegui eliminarlo, aunque tenía problemas con el fondo de escritorio que al final también ya pude arreglar. Sin embargo sigo teniendo algunos problemillas como los siguientes:
- No puedo descargarme ningun antivirus, o el adaware de ninguna página!! (¿coincidencia?)
- No puedo usar ningun antivirus en linea
- Cuando descargue el kapersky en otra computadora que tengo en red y lo envie a la mía, lo instale pero al reiniciar me salen muchos errores en el kernel32 y se traba la maquina, y al ejecutarlo en modo a prueba de fallos, dice que no lo puede ejecutar porque puede que tenga virus (lo tuve que desinstalar en ese modo para poder iniciar normal)
- el AVG no pude ni instalarlo
- el Ad-aware (igual lo baje en otra compu y lo transferi) no me detecta nada
- No puedo actualizar windows por el windows update
- A veces, cuando busco en el google y al seleccionar algo me cambia el tamaño de letra
- A veces, cuando no encuentra una pagina, el explorer me envia a una pagina de busqueda que no conozco y habla de puros antispywares
- Mi velocidad de internet es lenta (y eso que tengo adsl 512), jejeje aunque mi compu ya es bastante añeja,


Les pongo mi log para que lo chequen por favor:

Logfile of HijackThis v1.99.1
Scan saved at 04:39:14 a.m., on 11/05/05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IBMMON.EXE
C:\WINDOWS\SYSTEM\EUSEXE.EXE
C:\CFGSAFE\AUTOCHK.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CG16EH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.miembrosprodigy.com.mx/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Prodigy Infinitum
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {85E6D317-6211-0805-258F-82CA7FE980E9} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {B4816478-4C7C-EE97-0FCA-7A89DD8CD6A0} - (no file)
O3 - Toolbar: (no name) - {BA15AE0E-E12D-7309-839E-DB2727AB05F8} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE"
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Ibmmon.exe] Ibmmon.exe
O4 - HKLM\..\Run: [ICH Synth] eusexe.exe
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE
O4 - HKLM\..\Run: [NInit] C:\Norton SystemWorks\Norton Uninstall\NINIT.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.miembrosprodigy.com.mx/
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab


Algo que no me aparecia antes es lo del counter.cab (el cual está instalado en c: ) tampoco la entrada F1, ni las 03 Toolbar, pero no quisé moverle hasta escuchar consejos de los expertos. Espero que me puedan ayudar.

Por cierto, les pido su aprobación para explicar lo que hice para recuperar mi fondo de pantalla y las pestañitas que se desaparecen, aunque debo aclarar que lo leí en otro lado, ahorita no recuerdo cual porque busque en muchos lados, pero si me dan permiso los vuelvo a buscar y les aviso.

Gracias!!!

Hola!!!

Sigue estos pasos:

1) Reinicia a prueba de fallos

2) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

O2 - BHO: (no name) - {85E6D317-6211-0805-258F-82CA7FE980E9} - (no file)

O2 - BHO: (no name) - {B4816478-4C7C-EE97-0FCA-7A89DD8CD6A0} - (no file)

O3 - Toolbar: (no name) - {BA15AE0E-E12D-7309-839E-DB2727AB05F8} - (no file)

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield Setup Player) - http://www.installengine.com/engine/isetup.cab

O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab

3) Pasa Spybot actualizado.

4) Limpia el registro con RegSeeker . Usa la opción "limpiar el registro" y pasalo varias veces hasta que no te detecte nada.

5) Elimina cookies y temporales con Disk Cleaner

6) Reinicia normal y nos cuentas los resultados.

Saludos

no puede ser!! el maldito sp.dll regresó!!!

Pues les platico:
Hice exactamente lo que me indicaste, actualice el spyboot, baje el regseeker y lo intale, y el disk cleaner ya lo tenia.

Inicie modo prueba de fallos, corri el HijackThis y elimine las entradas que me mencionaste. Corrí el Spyboot y no encontro nada, corrí el adaware y me encontro dos cosas: c://windows/cookies/pepito@cgi-bin[1].txt y cookie:pepito@www2.3dstats.com/cgi-bin así que lo elimine

Corri el regseeker y me salio un mensaje de error que decia que el programa habia tenido problemas en el kernel32.dll y que se iba a cerrar, pero como de todos modos funcionaba el regseeker, hice a un lado la ventanita de erros y así lo ejecute.y me encontro cerca de 1000 registros que elimine (algunos de programas que quite hace muuuuucho tiempo, como el napster) lo pasé 3 veces.

use el dick cleaner y también me salio el mensaje de error de que provocaba un error en kernel32.dll y que lo iba a cerrar, también lo hice a un lado y elimine todas las cookies y los temporales.

Algo que hice de más fue eliminar el archivo counter.cab que encontré en c: y cuando lo elimine se congelo la compu y tuve que reiniciar manualmente. tal vez no debí hacerlo.

Reinicie normal y tuve los mismos problemas que antes: trate de bajar el adaware de la pagina de softonic y cuando voy a la pagina de descargar me sale un mensaje de error del explorer y que se cerrará. Fui al windows update y nada, al panda online y nada, entre a google y se me segui cambiando el tamaño de letra, traté de instalar el kapersky y cuando se reinicia la maquina, se queda congelado. Me fui a modo a prueba de fallos y me decia que habia probabilidad de infeccion virica, fui a las opciones de kapersky y deshabilite "iniciar con el sistema", reinicie en modo normal y ya se pudo, nada más que ya no pude seguir porque me fui a la escuela.

Ahorita regresé y NOOOOOOOOO ya estaba otravez el sp.dll y la pagina about:blank Estoy comenzando a desesperarme, aunque mi fondo de escritorio seguia sin cambios (al menos!!)

Ahorita voy a seguir el tutorial de Elpiedra para eliminarlo de nuevo, pero de una vez les mando mi log de hijack para que lo chequen, y al rato les pongo el log de como quedo despues del tutorial.

Logfile of HijackThis v1.99.1
Scan saved at 10:41:27 p.m., on 11/05/05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IBMMON.EXE
C:\WINDOWS\SYSTEM\EUSEXE.EXE
C:\CFGSAFE\AUTOCHK.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CG16EH.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.miembrosprodigy.com.mx/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Prodigy Infinitum
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {034F7083-C26A-11D9-84EE-000D8622A564} - C:\WINDOWS\SYSTEM\JFA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE"
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Ibmmon.exe] Ibmmon.exe
O4 - HKLM\..\Run: [ICH Synth] eusexe.exe
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE
O4 - HKLM\..\Run: [NInit] C:\Norton SystemWorks\Norton Uninstall\NINIT.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [NPROTECT] C:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.miembrosprodigy.com.mx/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Filter: text/html - {034F7082-C26A-11D9-84EE-000DE96E00FF} - C:\WINDOWS\SYSTEM\JFA.DLL
O18 - Filter: text/plain - {034F7082-C26A-11D9-84EE-000DE96E00FF} - C:\WINDOWS\SYSTEM\JFA.DLL



Muchos de mis amigos, cuando tienen problemas con la compu prefieren formatear. Yo siempre les digo que formatear es admitir que no pudimos resolver el problema y eso hace que los malditos que hacen estos programas molestos ganen la batalla. Gracias por su ayuda y apoyo para no dejarme vencer!!! :dedosarri

Bueno, he aqui lo que hice de nuevo

1. segui el tutorial de elpiedra para eliminar el se.dll y lo logre sin problemas. Por cierto, aqui cuando elimine manualmente el archivo JFA.dll (así se llamo ahora) También elimine uno llamado ndlop.dll que se habia creado en estos ultimos días que estoy con el problema y me dio mala espina

2. Inicie modo normal y corri el kapersky. Pude bajar el ultimo update pero al final de esto se congelo la compu y tuve que reiniciar manualmente en modo a prueba de fallos

3. Corri el kapersky, (con muchas dificultades!!) y al final me encontro 3 cosas: (2) Trojan.Win32.StartPage.vr y (1) Trojan.Win32.StartPage.uz que se encontraban en un archivo llamado Recycled con el nombre de DC5 y DC6. El Kapersky los elimino

4. Corri el adawarey me encontro las mismas cosas que antes segun yo ya habia borrado. c://windows/cookies/pepito@cgi-bin[1].txt y cookie:pepito@www2.3dstats.com/cgi-bin. Los elimine

5. Corri el regseeker y me encontro 2 cosas: regsvr32/s/u C:/Windows/System/JFA.dll y HKLM/Software/intemute (??). Los borré. Cabe mencionar que al iniciar este programa me salia de nuevo el mensaje de error que dice "Regseeker a provocado un error en el modulo Kernel32.dll" pero como aún funcionaba, no le dí aceptar y corri el programa

6. Corri el Disk cleaner (tambien me salio el mensaje de error del Kernel32.dll) y limpie cookies, temporales

7. Corri de nuevo el adaware y ya no encontro nada

8. Reinicie en modo normal

9. Me fui a la pagina de softonic y al querer descargar el adaware me sale este mensaje "Iexplore provocó un error de pagina no valida en el modulo kernel32.dll" (ese kernell lo voy a soñar!!!! )

10. fui a windows update y nada

11. fui a panda activescan y naaada

Bueno hasta el momento es lo que me sigue pasando, o sea que sigo casi igual

Espero instrucciones (y mucho animo para seguir!!)

Les dejo mi log actual:

Logfile of HijackThis v1.99.1
Scan saved at 06:00:47 a.m., on 12/05/05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IBMMON.EXE
C:\WINDOWS\SYSTEM\EUSEXE.EXE
C:\CFGSAFE\AUTOCHK.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CG16EH.EXE
C:\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.miembrosprodigy.com.mx/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Prodigy Infinitum
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE"
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Ibmmon.exe] Ibmmon.exe
O4 - HKLM\..\Run: [ICH Synth] eusexe.exe
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE
O4 - HKLM\..\Run: [NInit] C:\Norton SystemWorks\Norton Uninstall\NINIT.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.miembrosprodigy.com.mx/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab



La entrada 03 me sigue dando mala espina, no creen?

Saludos!!

Bueno, pues ahora mismo tu log parece limpio.

En cuanto a la entrada 03, es totalmente legítima, pertenece al explorer, asi que no debes preocuparte.

Sólo hay un archivo que me resulta sospechoso, ya que no se lo que es:

Ibmmon.exe

Localizado en C:\WINDOWS\SYSTEM\IBMMON.EXE

Sería bueno que lo buscaras y le pidieras las propiedades, a ver si asi aclaramos lo que es.

Tambien deberías visitar Windows Update y descargar las actualizaciones críticas y de seguridad.

Bueno, ya nos contarás.

Saludos

Hola Jereque!

Pues estoy a punto de tirar la toalla. Resulta que hoy prendi mi compu y ... sí!!! aunque no lo crea .... ahi estaba el se.dll!!!
Realmente no entiendo que puedo estar haciendo mal, ya lo he eliminado 2 veces siguiendo todas las instrucciones que aqui nos dan, y al parecer queda bien, pero cuando dejo apagada la compu un buen rato (cuando duermo, o cuando voy a la escuela) al volverla a prender ¡ahi está!. Esto me trae muy confundido porque por más que he leido en la red, creo que no ha muchos les pasa, solo lo eliminan una vez y ya.

Tendrás una idea de lo que puede ser??
Por cierto el archivo que me preguntas ibmmon.exe es parte de mi compu desde el inicio, al darle propiedades dice IBM Monitor, así que no creo que sea malo.

Bueno, les dejo mi log de nuevo para que vean que no miento con eso de que me vuelve a aparecer, ahorita, pues a eliminarlo de nuevo!!!

Saludos!!


Logfile of HijackThis v1.99.1
Scan saved at 02:39:39 p.m., on 12/05/05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IBMMON.EXE
C:\WINDOWS\SYSTEM\EUSEXE.EXE
C:\CFGSAFE\AUTOCHK.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CG16EH.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.miembrosprodigy.com.mx/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Prodigy Infinitum
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {137BE0A3-C2F2-11D9-84EE-000D5DC73E94} - C:\WINDOWS\SYSTEM\HFAMNAA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\NORTON SYSTEMWORKS\NORTON CRASHGUARD\CGMENU.EXE"
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Ibmmon.exe] Ibmmon.exe
O4 - HKLM\..\Run: [ICH Synth] eusexe.exe
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE
O4 - HKLM\..\Run: [NInit] C:\Norton SystemWorks\Norton Uninstall\NINIT.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [NPROTECT] C:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.miembrosprodigy.com.mx/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O18 - Filter: text/html - {137BE0A2-C2F2-11D9-84EE-000D328B9B0F} - C:\WINDOWS\SYSTEM\HFAMNAA.DLL
O18 - Filter: text/plain - {137BE0A2-C2F2-11D9-84EE-000D328B9B0F} - C:\WINDOWS\SYSTEM\HFAMNAA.DLL

Bien, pues aclarado lo del archivo Ibmmon.exe. Veamos si ahora hay suerte con ese log.

Sigue estos pasos:

1) Visita Windows Update y descarga las actualizaciones críticas y de seguridad.

2) Ver archivos ocultos

3) Reinicia a prueba de fallos

4) Ejecuta CWShredder 2.13 y dale al botón Fix.

5) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.miembrosprodigy.com.mx/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {137BE0A3-C2F2-11D9-84EE-000D5DC73E94} - C:\WINDOWS\SYSTEM\HFAMNAA.DLL

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O18 - Filter: text/html - {137BE0A2-C2F2-11D9-84EE-000D328B9B0F} - C:\WINDOWS\SYSTEM\HFAMNAA.DLL

O18 - Filter: text/plain - {137BE0A2-C2F2-11D9-84EE-000D328B9B0F} - C:\WINDOWS\SYSTEM\HFAMNAA.DLL

6) Busca y elimina estos archivos:

c:\windows\TEMP\se.dll
C:\WINDOWS\SYSTEM\HFAMNAA.DLL

Para archivos que no se dejen eliminar usa KillBox

7) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

8) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

9) Reinicia normal y nos cuentas los resultados.

Saludos

Hola! pues aqui otra vez informando de lo sucedido. Bueno pues resuta que ya casi no escribia porque me habia desilusionado y ya pensaba en formatear, resulta que el sp.dll lo he quitado ya cerca de 10 veces ¡en serio!!!. Seguia absolutamente todas sus indicaciones, (menos lo de entrar al windows update ni al antivirus en linea ya que por alguna extraña razón no puedo hacerlo) y conseguia borrarlo sin dejar rastro (según yo) y despues de algunas horas ¡regresaba)!!. Hasta ahora el antivirus que habia bajado era el kapersky pero no me detectaba nada despues de hacerle una limpia a la compu, tampoco el adaware ni el sybot. asi que como ultimo recurso baje el NOD32 en la versión de prueba y a parte de que no me alenta la compu como el kapersky, este si me encontro un virus en la carpeta RECYCLED, nada más que no me acuerdo bien como se llama (lo borre luego luego)
Hasta el momento ya va mas o menos bien la compu, pero sigo con mis reservas, esperando que pase uno o dos día para ver si no regresa ese maldito spyware.

Saludos!!