Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos...

Estoy luchando por eliminar el Troyano atiupdpl.exe y pensaba enviarles mi log de acuerdo a vuestras instrucciones, pero apenas intento correr el HijackThis 1.99.1 me sale el error "No se encuentra el archivo MSVBM60.DLL"...
Gracias, espero instrucciones. Mi sistema operativo es W.98

Hola, te doy la bienvenida al Foro de InfoSpyware, en algunos sistema de Win98 falta la librería de Microsoft llamada MSVBVM60.DLL por lo que descargala directamente este link de Ms, actívala, reinicia el sistema eh intenta nuevamente ejecuta HijackThis para ponernos el log en este mismo mensaje.

Salu2

Perfecto... este consejo funcionó.

AHORA VA EL MOTIVO PRINCIPAL:

El problema es que en forma aleatoria, en el menu de inicio se cuela el TROYANO atiupdpl.exe y redirecciona la busqueda del IE.

Lo he elimindado una y otra vez, pero vuelve siempre.

Le he pasado Panda on line; Ad-aware SE Personal; Adaware Away; Spy Sweeper; Norton; etc.
Muchos lo detectan, dicen que lo han eliminado, pero siempre vuelve a aparecer.

Les transcribo Log PARA QUE PUEDAN SALVARME LA VIDA

Logfile of HijackThis v1.99.1
Scan saved at 08:27:32 p.m., on 12/07/05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SM56HLPR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\HIJACKTHIS 1.99.1\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.yahoo.com/config/mail?.intl=ar
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.yahoo.com/config/mail?.intl=ar
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=http://127.0.0.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Archivos de programa\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Archivos de programa\ICQ\ICQ.exe
O9 - Extra button: ru-mx - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\ru-ar\0.html (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O16 - DPF: Dialpad Java Applet - http://www.dialpad.com/applet/src/vscp.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/diale...Recomendada.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://jcs.chat.dcn.yahoo.com/v45/yacscom.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sh...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {C2FCEF4E-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI File information Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab
O16 - DPF: ConferenceRoom Java Client - http://conectados.ciudad.com.ar/java/cr.cab
O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialerc...ternacional.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/m...pdownloader.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...er.cab31267.cab
O16 - DPF: {45231111-1111-1111-1111-111177773458} - file://C:\WINDOWS\Tempor~1\Content.IE5\YPOD8PQ7\epl99[1].cab

Bien aparte de lo que comentas tenes el NEW.Net por lo que empeza descargado (de la firma) el programa LSPFix.exe y siguiendo sus instrucciones saca el New.net

Luego ejecuta Hiajckthis y dale FIX a estas entradas:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm

O9 - Extra button: ru-mx - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\ru-ar\0.html (file missing)

O10 - Hijacked Internet access by New.Net

O16 - DPF: Dialpad Java Applet - http://www.dialpad.com/applet/src/vscp.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/diale...Recomendada.cab

O16 - DPF: {45231111-1111-1111-1111-111177773458} - file://C:\WINDOWS\Tempor~1\Content.IE5\YPOD8PQ7\epl99[1].cab

Usa el Disk Cleaner para limpiar cookies y temporales

Reinicia y nos contas los resultados.

Salu2

Estimado El Piedra...

Intentando seguir el primer paso de tu consejo he descargado el LSPFix.exe pero al usarlo me arroja el siguiente error:

LSPFIX provocó un error de página no válida en el
módulo KERNEL32.DLL de 015f:bff989c2.

De cualquier manera deja ver por debajo de la pantalla de error lo siguiente en la ventana Keep del programa.
rnr20.dll
newdotnet6...
mswsosp.dll
msafd.dll
rsvpsp.dll

Cuando el programa funcione...debere eliminar todas estas entradas ?????

Gracias

No solamente la que aparece como newdotnet6 de todas maneras continua con el resto de los pasos y en todo caso proba ejecuta el LSPFix.exe en modo a prueba de fallos.

Salu2

Estimado El Piedra...



No he tenido éxito con tu consejo de intentar usar el programa LSPFix.exe en modo A prueba de fallos. Me sigue saliendo el error del Kernel32...

Pero tengo que proponerte que analices nuevamente el Log.

La razón es que el maldito Atiupdpl.exe y su socio A349801.exe no estaban presentes la vez anterior cuando te mandé el Log.
Como te habia explicado anteriormente, luego de eliminados vuelven a aparecer pero en forma aleatoria...no puedo descubrir que programa los activa.

Ahora aparecieron y usé el HJT 1.99.1 antes de eliminarlo para que puedas analizarlo con todos los elementos.

Muchas gracias y saludos

Hunter

Logfile of HijackThis v1.99.1
Scan saved at 08:06:34 p.m., on 14/07/05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SM56HLPR.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\ATIUPDPL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\HIJACKTHIS 1.99.1\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.yahoo.com/config/mail?.intl=ar
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.yahoo.com/config/mail?.intl=ar
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=http://127.0.0.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe
O4 - HKCU\..\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe
O4 - HKCU\..\RunServices: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Archivos de programa\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Archivos de programa\ICQ\ICQ.exe
O9 - Extra button: ru-mx - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\ru-ar\0.html (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O16 - DPF: Dialpad Java Applet - http://www.dialpad.com/applet/src/vscp.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab2/WebRecomendada.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://jcs.chat.dcn.yahoo.com/v45/yacscom.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C2FCEF4E-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI File information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: ConferenceRoom Java Client - http://conectados.ciudad.com.ar/java/cr.cab
O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialercab/PPremiumInternacional.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {45231111-1111-1111-1111-111177773458} - file://C:\WINDOWS\Tempor~1\Content.IE5\YPOD8PQ7\epl99[1].cab

Bien esos archivos pertenecen al TROJ_SMALL.AOS por lo que segui estos pasos.

Paso 1- Inicia en modo normal

Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm

O4 - HKLM\..\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O4 - HKLM\..\RunServices: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O4 - HKCU\..\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O4 - HKCU\..\RunServices: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

O9 - Extra button: ru-mx - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\ru-ar\0.html (file missing)

O10 - Hijacked Internet access by New.Net

O16 - DPF: Dialpad Java Applet - http://www.dialpad.com/applet/src/vscp.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab2/WebRecomendada.cab

O16 - DPF: ConferenceRoom Java Client - http://conectados.ciudad.com.ar/java/cr.cab

O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialercab/PPremiumInternacional.cab

O16 - DPF: {45231111-1111-1111-1111-111177773458} - file://C:\WINDOWS\Tempor~1\Content.IE5\YPOD8PQ7\epl99[1].cab


Paso 3- Sin reiniciar, descarga el programa "KillBox" y elimina este archivo.

C:\WINDOWS\SYSTEM\atiupdpl.exe

Paso 4- Usa el Disk Cleaner para limpiar cookies y temporales

Paso 5- Pásale Ad-Aware SE actualizado y pasale el Panda Online Antivirus.

Paso 6- Reinicia y nos contas los resultados.

Salu2

Estimado El Piedra...

Te cuento que superé el error del LSPFix.exe usando en su lugar el LSP Explorer Plug-ins del Ad-Aware SE Personal y pude borrar facilmente el NewDotNet6.exe

Además borré todas las entradas que me indicaste. Espero tener la grata sorpresa de que todos los "Bichos" hayan ido a parar al incinerador.

Gracias a ti, el registro de mi pc ha quedado "inmaculado".

Espero no equivocarme al ponerte en la categoría de ÍDOLO...

Saludos

Hunter

Muy bien nos alegramos y damos por solucionado el tema :dedosarri

Salu2