Ayuda: Common hijacker (aclarado)

[edu100]

Estimados Sres:



Por favor si alguien puede ayudarme con este tema,

antes de mandar este mensaje traté por todos los

medios de solucionarlo, pero realmente ya no sé

que hacer.



Tengo un virus (uso Win98), robot, o no sé que es, y realmente

me está trayendo muchos problemas, la maquina

se reinicia sola, el antivirus AVG no lo detecta,

(salvo cuando estoy navegando porque en ese

momento me baja al C: un archivo llamado : MISB.EXE,

el cual está infectado, y si lo borro se vuelve a generar

permanentemente cuando me conecto nuevamente.



Aún cambiando la pagina de inicio, el explorador entra siempre en:



http://www.nowfind.net/004/index.html



---------------------------------------------------------------------------------------------------



El spybot (actualizado) resuelve todos los problemas menos los dos que

dicen : "Common hijacker" , en realidad si los selecciono les hace un tilde

como si los hubiese arreglado diciendo que borró las entradas

seleccionadas, pero luego todo queda igual:



Common hijacker: Extensión de IE (Cambio en el registro, nothing done)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http://



Common hijacker: Extensión de IE (Cambio en el registro, nothing done)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\!=http://



DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3



Haxdoor-H: Configuración (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\TestService



Haxdoor-H: Configuración (Valor del registro, nothing done)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Impersonate



--- Spybot - Search && Destroy version: 1.3 ---

2004-11-29 Includes\Cookies.sbi

2004-12-15 Includes\Dialer.sbi

2004-12-16 Includes\Hijackers.sbi

2004-12-15 Includes\Keyloggers.sbi

2004-12-15 Includes\Malware.sbi

2004-11-29 Includes\Revision.sbi

2004-11-29 Includes\Security.sbi

2004-12-16 Includes\Spybots.sbi

2004-12-15 Includes\Trojans.sbi

2004-05-12 Includes\LSP.sbi

2004-11-29 Includes\Tracks.uti



---------------------------------------------------------------------------------------------------



El programa : "hijackthis" me detecta lo siguiente pero no

sé en donde puede estar el problema ni como resolverlo :





Logfile of HijackThis v1.99.0

Scan saved at 04:19:18 a.m., on 01/01/2005

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG6\AVGSERV9.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG6\AVGCC32.EXE

C:\ARCHIVOS DE PROGRAMA\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE

C:\WINDOWS\TASKMON.EXE

C:\MYSQL\BIN\WINMYSQLADMIN.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\MYSQL\BIN\MYSQLD-OPT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERN~1\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\TMPF02.EXE

C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/004/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nowfind.net/004/index.html

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/004/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nowfind.net/004/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/004/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nowfind.net/004/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/004/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/004/index.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/004/index.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://sdxwhs.t.muxa.cc/s.php?aid=586 (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/004/index.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/004/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/004/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/004/index.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/004/index.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/004/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.es.netscape.com/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://omega-search.com/go/panel_search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://sdxwhs.t.muxa.cc/h.php?aid=586 (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://sdxwhs.t.muxa.cc/h.php?aid=586 (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Ciudad Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [AVG_CC] C:\ARCHIV~1\GRISOFT\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [InstantAccess] C:\ARCHIV~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h

O4 - HKLM\..\Run: [RegisterDropHandler] C:\ARCHIV~1\TEXTBR~1.0\BIN\REGIST~1.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPagePro11.0\opware32.exe

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Vshwin32EXE] C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE

O4 - HKLM\..\Run: [Teleport Pro Scheduler] C:\ARCHIVOS DE PROGRAMA\TELEPORT PRO\PROSCHED.EXE /a

O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\ARCHIV~1\GRISOFT\AVG6\Avgserv9.exe

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\ARCHIV~1\TEXTBR~1.0\BIN\REGIST~1.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Startup: KYESCAN.lnk = C:\Archivos de programa\ScannerP\KYEScan.EXE

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O12 - Plugin for .swf: C:\ARCHIVOS DE PROGRAMA\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll

O12 - Plugin for .pif: C:\ARCHIVOS DE PROGRAMA\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll

O12 - Plugin for .bat: C:\ARCHIVOS DE PROGRAMA\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll

O12 - Plugin for .exe: C:\ARCHIVOS DE PROGRAMA\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll

O13 - DefaultPrefix: http://nowfind.net/rand/gallery.php?url=

O13 - WWW Prefix: http://nowfind.net/rand/gallery.php?url=

O13 - Home Prefix: http://nowfind.net/rand/gallery.php?url=

O13 - Mosaic Prefix: http://nowfind.net/rand/gallery.php?url=

O15 - Trusted Zone: http://www.mt-download.com

O15 - Trusted Zone: http://www.mt-download.com (HKLM)

O15 - Trusted Zone: install.xxxtoolbar.com (HKLM)

O16 - DPF: {2C1651EF-8827-11D6-91A2-00E02964E8E3} - http://www.chicasmarcianas.com/ruboskizo.cab

O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab

O16 - DPF: {DB3991AA-5E36-428F-AB9E-7A9C613CF578} (OnlineAccess Class) - http://www.accesoonline.com/dist/2//OnlineAccess.cab

O21 - SSODL: DDE Module - {DABB03E9-AC0D-3740-E3E5-4B37C80837E5} - C:\WINDOWS\SYSTEM\mtwirl.dll

O21 - SSODL: eplrr - {E4A92AC0-5BAA-11D9-A577-444553540000} - C:\WINDOWS\SYSTEM\eplrr3.dll





---------------------------------------------------------

Si alguien tiene idea de cómo puedo sacar esta basura

le pido por favor que me lo indique, como pueden ver

tengo varios programas que utilizo para mi trabajo.



Desde ya muchas gracias.

[msc hotline sat]

Has utilizado una de las utilidades adecuadas, ya que no se trata de un virus sino de un Dialer.



Si arrancando en modo seguro y deshabilitando la restauracion de sistema, no lo elimina el SPYBOT, prueba el AD_AWARE y el, CWSHREDDER



Mas informacion:



https://foros.zonavirus.com/viewtopic.php?t=4795



saludos



ms, 2-01-2005

[edu100]

Gracias por tu respuesta.

[msc hotline sat]

Pues aclarado el Tema, lo cerramos.



SI deseas postear el HJT para su estudio, puedes hacerlo en el espacio que ADMIN ha havilitado a tal fin:



https://foros.zonavirus.com/viewforum.php?f=13



saludos



ms, 3-01-2005