10-top.com, wordsea.com, casinocaesar.com.. ya no se q hacer

Maipucina · Mensaje por **Maipucina** » 15 Jul 2007, 00:13

Hola...

Tengo un problema, cada vez q uso Google al momento de escoger un tema, inmediatamente se redirecciona hacia las páginas:

10-top.com

casinocaesar.com

wordsea.com

rpicamps.com

goodbookmark.com

entre otras

Pasé el Hijackthis y la verdad... no entendí nada del tutorial... así que aquí les envío mi log... espero que me puedan ayudar... quiero navegar sin tener q pegar las direcciones... extraño buscar y navegar con un solo click para que no me salgan esas tan molestas páginas :cry: allí va el log de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 05:29:33 p.m., on 14/07/07

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET BROADBAND CONNECTION\WINPPPOVERETHERNET.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [z-wrdialer] "C:\Archivos de programa\WinPoET Broadband Connection\wrdialer.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET Broadband Connection\winpppoverethernet.exe"

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [dmgyk.exe] C:\WINDOWS\SYSTEM\dmgyk.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\WINDOWS\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\C7QRKTC1\ELISTARA.23072007[1].EXE

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://maipucinaxd.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5069/mcfscan.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.116.133,85.255.112.195

--

End of file - 3156 bytes

Gracias por su ayuda

Mensaje por **msc hotline sat** » 15 Jul 2007, 09:03

Lo que tienes es un FLUSH o DNSCHANGE, que no puede verse en el log del HJT, y mientras lo analizo, ya puedes ir probando el ELISTARA /ELINOTIF:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 15-07-2007

Mensaje por **msc hotline sat** » 15 Jul 2007, 09:11

Ademas, si tras ello persisten estos ficheros y claves, envianos estas muestras para analizar:

C:\WINDOWS\SYSTEM\dmgyk.exe

C:\Archivos de programa\WinPoET Broadband Connection\wrdialer.exe

y elimina estas claves:

O4 - HKLM\..\Run: [z-wrdialer] "C:\Archivos de programa\WinPoET Broadband Connection\wrdialer.exe"

O4 - HKLM\..\Run: [dmgyk.exe] C:\WINDOWS\SYSTEM\dmgyk.exe

y aparte veo que tienes configurados como servidores DNS los de Inhoster de Ukraina...

85.255.116.133 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.195 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

y retira este W98 que usas, pues está mas obsoleto que un PC-486 !

saludos

ms, 5-07-2007

Mensaje por **msc hotline sat** » 15 Jul 2007, 09:13

Ademas, si tras ello persisten estos ficheros y claves, envianos estas muestras para analizar:

C:\WINDOWS\SYSTEM\dmgyk.exe

C:\Archivos de programa\WinPoET Broadband Connection\wrdialer.exe

y elimina estas claves:

O4 - HKLM\..\Run: [z-wrdialer] "C:\Archivos de programa\WinPoET Broadband Connection\wrdialer.exe"

O4 - HKLM\..\Run: [dmgyk.exe] C:\WINDOWS\SYSTEM\dmgyk.exe

y aparte veo que tienes configurados como servidores DNS los de Inhoster de Ukraina...

85.255.116.133 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.195 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas

y retira este W98 que usas, pues está mas obsoleto que un PC-486 !

saludos

ms, 5-07-2007

Maipucina · Mensaje por **Maipucina** » 15 Jul 2007, 22:40

Al fin puedo navegar tranquilaaaaaaa :D

he hecho lo q me haz dicho... este es el post de ELISTARA /ELINOTIF

Sun Jul 15 15:16:08 2007

EliStartPage v14.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.133,85.255.112.195

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Jul 15 15:16:13 2007

EliStartPage v14.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Jul 15 15:41:54 2007

EliStartPage v14.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Jul 15 15:42:00 2007

EliStartPage v14.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

eliminé las entradas q me dijiste...

configuré mi IP

y este es el log del HjackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 03:40:24 p.m., on 15/07/07

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET BROADBAND CONNECTION\WINPPPOVERETHERNET.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\NOTEPAD.EXE

C:\WINDOWS\NOTEPAD.EXE

C:\PROGRAM FILES\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET Broadband Connection\winpppoverethernet.exe"

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://maipucinaxd.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5069/mcfscan.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 190.22.94.62

--

End of file - 2909 bytes

Y Lo del win98... Olvídalo! Mi pc se quema si le instalo el XP... es demasiado antiguo...

Algún consejo para evitar tener este problema?

Muchas gracias por tu ayuda!!! :P

Pd

Mensaje por **msc hotline sat** » 15 Jul 2007, 23:31

Pues una vez recibamos los ficheros que te hemos pedido para analizar, procederemos en consecuencia

saludos

ms, 15-07-2007