Se me resiste(solucionado)

[mekachis]

Hace unos dias me apareció en el escritorio de windows la ventana con el mensaje "página no disponible sin conexión", sin haber intentado hacer una conexión. De hecho si enciendo el ordenador, sin tocar nada, a los dos minutos aparece este mensaje. He seguido los pasos del manual de "el piedra" tenia instalado el spybot, el ad-ware que he actualizado a la versión SE, descargue el spywareblaster y el hijack.

Cuando intentaba crear un "new system snapshot" con el spywareblaster me aparecia un mensaje del "symantec" diciendo que habia detectado el MHTMLRedir.exploit. Después de pasar varias veces los programas (que quitaron un montón de porquería del ordenador) tal y como indicaba el manual, ya no detectan ningún espia, ni me aparece el mensaje con el spywareblaster, pero sigue apareciendo el intento de conexión con internet si tengo el ordenador abierto.

Envio una copia del log del hijack, para que algún alma caritativa se entretenga en repasarlo.



Logfile of HijackThis v1.98.2

Scan saved at 23:59:41, on 07/12/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\sim9sync.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\mmups.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINDOWS\iDialer\Wanadoo - Conexión Gratis\idialer.exe

C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\spybot\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102363315609

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{38F9BECF-DC0F-4B6E-872B-10406ADDC1E0}: NameServer = 62.81.0.33 62.81.16.129

O17 - HKLM\System\CS2\Services\Tcpip\..\{38F9BECF-DC0F-4B6E-872B-10406ADDC1E0}: NameServer = 62.81.0.33 62.81.16.129

O21 - SSODL: System - {B1483433-AA63-4E48-A0A4-042749CD0938} - C:\WINDOWS\system32\system32.dll (file missing)

[caito]

Desactiva restaura rsistema,arranca en modo seguro, termina este proceso (ctr+Alt+Del) :

mmups.exe

Lanza el Hijack y dale a Fix a estas :





R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present>solo si esta restricción no la pusiste vos

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

O21 - SSODL: System - {B1483433-AA63-4E48-A0A4-042749CD0938} - C:\WINDOWS\system32\system32.dll (file missing)

Cierra el Hijack, borra Archivos Temp. De Internet,cookies, contenido carpeta Temp,historial y vacía la papelera.

Busca este y elmínalo si aún está:

C:\WINDOWS\mmups.exe

Pasa el adaware se actualizado , reinicia normal y cuenta cómo te fue.

Salu2

Caito



PD :lo de la conección a Internet debe ser por esto :



C:\WINDOWS\iDialer\Wanadoo - Conexión Gratis\idialer.exe

Lo has puesto vos ?

[mekachis]

Primero agradecerte la respuesta, Caito.

Me he puesto manos a la obra con tus indicaciones y este ha sido el resultado.

- El proceso mmups.exe no estaba activo.

- No he borrado el registro

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

se que es de la Agencia Tributaria y debe estar desde hace tiempo por lo que no debe ser la causa del problema.

-Los demás si los he borrado y me ha aparecido este mensaje del Hijakc

An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O21 - SSODL: System - {B1483433-AA63-4E48-A0A4-042749CD0938} - (no file))

Error #62 - Input past end of file



Please email me at merijn@spywareinfo.com, reporting the following:

* What you were doing when the error occurred

* How you can reproduce the error

* A complete HijackThis scan log, if possible



Windows version: Windows NT 5.01.2600

MSIE version: 6.0.2800.1106

HijackThis version: 1.98.2



This message has been copied to your clipboard.



- He borrado el fichero mmups.exe, así como los archivos temporales, cookies y demas de IE.



El idialer de Wanadoo lo puse yo y es el que uso para conectar por lo que no lo ha quitado.



Por ahora no he detectado nada anormal, si lo veo ya avisaré.



Saludos.

[caito]

Con respecto al mensaje que te arrojó el Hijack parece que es un bug del programa, está en vos el enviar o no lo que te pide el autor para que sea solucionado en una nueva versión, lo importante es que te haya quitado esa entrada.

Dinos que tal van las cosas para poder cerrar el tema.

Salu2

Caito

[mekachis]

No me han vuelto a aparecer mensajes de virus, ni el adware ha detectado nada. tampoco me ha vuelto a aparecer el intento de conexión a internet. Excepto cuando conecto la PDA al ordenador. Alguna sugerencia de solución.

[mekachis]

El que aparezca el idialer, es porque lo activa la PDA, no he vuelto a detectar ni virus ni espías con los programas correspondientes. Así que creo que se puede dar el hilo por cerrado.

Gracias por la ayuda

[caito]

De acuerdo :D

Salu2

Caito