No puedo entrar a internet!!!

[juaniiiiito]

hola amigos, no soy muy experto en esto del spyware, virus y demas. Así que buscando en google encontré su foro, espero me puedan ayudar. Mi problema es el siguiente:

Cierta persona tomo prestado mi pc y navegó un buen rato. Al siguiente día cuando fuí a entrar a internet me di cuenta de que estaba redireccionando la pagina de inicio, por ejemplo: si la pagina de inicio es google, me direccionaba a una tal mywebsearch o algo asi (asi dijera en el navegador que la pagina de inicio es google). Pero eso no es lo peor, resulta que no ingresa a ninguna pagina (es como si no encontrará la conexión a internet), probé con mi gestor de descargas, con otros navegadores y nada. Por último a través de una consola del sistema hice ping a una página en internet y salió perfecto y no me explico entonces porque no puedo hacer nada en internet. Le pregunte a la susodicha persona y me dijo que lo unico raro que había hecho era bajar un codec para video asi que yo creo que lo que tiene i pc es un virus. Pero no se cual ni como arreglarlo, pues ya lo he analizado con varios antivirus y nada. Ojala me puedan colaborar estoy desesperado.

[juaniiiiito]

no habia adjuntado el analisis con hijackthis, aqui les vaLogfile of HijackThis v1.99.1

Scan saved at 12:53:15 p.m., on 26/12/06

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\STARTER.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\ARCHIVOS DE PROGRAMA\VISIONEER ONETOUCH\ONETOUCHMON.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST INTERNET SECURITY SUITE\CAISSDT.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST INTERNET SECURITY SUITE\ETRUST EZ ANTIVIRUS\VETMSG.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST INTERNET SECURITY SUITE\ETRUST EZ ANTIVIRUS\CAVTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST INTERNET SECURITY SUITE\ETRUST EZ ANTIVIRUS\CAVRID.EXE

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\3.BIN\MWSOEMON.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IDMAN.EXE

C:\Archivos de programa\Hewlett-Packard\HP PSC 500 98\scanning\Hpodlb08.exe

C:\WINDOWS\SYSTEM\W98EJECT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YMSGR_TRAY.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\MWJD\HIJACKTHIS\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://e1.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://espanol.search.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\SRCHASTT\3.BIN\MWSSRCAS.DLL

F1 - win.ini: run=hpfsched

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\3.BIN\MWSBAR.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\SRCHASTT\3.BIN\MWSSRCAS.DLL

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IDMIECC.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Seekmo Toolbar - {53E0B6E8-A51D-448B-B692-40B67B285543} - C:\PROGRAM FILES\SEEKMO PROGRAMS\SEEKMO TOOLBAR\SEEKMOTB.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.ExE

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [OneTouch Monitor] C:\Archivos de programa\Visioneer OneTouch\OneTouchMon.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [CaISSDT] "C:\Archivos de programa\CA\eTrust Internet Security Suite\caissdt.exe"

O4 - HKLM\..\Run: [VetAlert] C:\ARCHIV~1\CA\ETRUST~1\ETRUST~1\VETMSG.EXE

O4 - HKLM\..\Run: [CaAvTray] "C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"

O4 - HKLM\..\Run: [CAVRID] "C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\ARCHIV~1\MYWEBS~1\BAR\3.BIN\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\BAR\3.BIN\MWSOEMON.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [CAISafe] C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [µTorrent] "C:\INST\UTORRENT.EXE"

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YAHOOMESSENGER.EXE" -quiet

O4 - HKCU\..\Run: [PPWebCap] C:\ARCHIV~1\SCANSOFT\PAPERP~1\PPWebCap.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\BAR\3.BIN\MWSOEMON.EXE

O4 - HKCU\..\Run: [IDMan] C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IDMAN.EXE /onboot

O4 - HKCU\..\RunServices: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\RunServices: [µTorrent] "C:\INST\UTORRENT.EXE"

O4 - HKCU\..\RunServices: [Yahoo! Pager] "C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YAHOOMESSENGER.EXE" -quiet

O4 - HKCU\..\RunServices: [PPWebCap] C:\ARCHIV~1\SCANSOFT\PAPERP~1\PPWebCap.exe

O4 - HKCU\..\RunServices: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\BAR\3.BIN\MWSOEMON.EXE

O4 - HKCU\..\RunServices: [IDMan] C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IDMAN.EXE /onboot

O4 - Startup: HP ODLB08.lnk = C:\Archivos de programa\Hewlett-Packard\HP PSC 500 98\scanning\Hpodlb08.exe

O4 - Startup: w98Eject.lnk = C:\WINDOWS\SYSTEM\w98eject.exe

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSzim029YYCO

O8 - Extra context menu item: Download All Links with IDM - C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IEExt.htm

O8 - Extra context menu item: &Búsqueda en Google - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESE1.DLL

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESE1.DLL

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INETREPL.DLL

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0\BIN\SSV.DLL

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0\BIN\SSV.DLL

O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\secure surfing engine\sselsp.dll' missing

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: MultiVoice Web Client - http://www.bancolombia.com/atencionenlinea/llamada/mvwc_IEDU.cab

O16 - DPF: {8D83D301-E841-11D1-B155-00600823BCF9} (WebLine Browser Integration Classes) - http://200.31.15.66/webline/applets/msie40x.cab

O16 - DPF: {038318E8-0C2D-4DF5-A7AF-B4FB373F501E} (HBHelper.HBActivex) - http://download.henbang.net/download/updatelist/helper.cab

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by122fd.bay122.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {261EE805-4893-45A3-8E9E-AD90914CB39A} (VacPro.internazionale_98_ver11) - http://www9.muiegaozsicur.com/ocx/internazionale_98_ver11n.CAB

O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_ES.cab

O16 - DPF: {15075194-6A1F-4F5A-8182-0FA84851E571} (GCCenterLauncherControl Control) - http://radioactiva.juegos.etb.net.co/GCCenter/GCCenterLauncher.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.75.51.132,200.75.51.133

O21 - SSODL: xmkWyJJW - {264D18F9-8CE7-B253-A856-6E425CBC8F4E} - C:\WINDOWS\SYSTEM\mippkh.dll (file missing)

[alesegador]

Hola Amis...Lo q tienes se llama [color=red]"CoolWebSearch"[/color] y seguramente te está quitando la conexión a internet....

Puedes usar el EliStarA o el EliTriIP para eliminar tu malware.

Si no prueba el [color=orange]"CWShredder"[/color] q es justo para ese tipo de cosas.... :wink: espero tengas suerte.... :D

salu2

[alesegador]

Amis Fijate en tus procesos!!!estas corriendo "MyWebSearch"!

elimínalo de la forma q te dije o busca en agregar o quitar programas...y....q es el "win98eject"? alguien sabe? :?:

[juaniiiiito]

hice lo que me dijiste pero sigue igualito :cry:

[Nuker]

Pase ELISTARA copie y pegue el log generado aqui como parte de su respuesta, el log se ubica en Unidad C, con el nombre de INFOSAT.TXT



Pruebe SPYBOT en modo seguro.



Fix a estas entradas:



C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\3.BIN\MWSOEMON.EXE



R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\SRCHASTT\3.BIN\MWSSRCAS.DLL



O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\3.BIN\MWSBAR.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\SRCHASTT\3.BIN\MWSSRCAS.DLL



O3 - Toolbar: Seekmo Toolbar - {53E0B6E8-A51D-448B-B692-40B67B285543} - C:\PROGRAM FILES\SEEKMO PROGRAMS\SEEKMO TOOLBAR\SEEKMOTB.DLL



O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\ARCHIV~1\MYWEBS~1\BAR\3.BIN\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\BAR\3.BIN\MWSOEMON.EXE

O4 - HKCU\..\RunServices: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\BAR\3.BIN\MWSOEMON.EXE



ESPERE ORDENES DE ESTAS ENTRADAS: (NO ELIMINAR)



F1 - win.ini: run=hpfsched



O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.75.51.132,200.75.51.133



O21 - SSODL: xmkWyJJW - {264D18F9-8CE7-B253-A856-6E425CBC8F4E} - C:\WINDOWS\SYSTEM\mippkh.dll (file missing)



ELISTARA: http://www.zonavirus.com/descargas/elistara.asp



SPYBOT:http://www.zonavirus.com/descargas/spybot-sd.asp



Saludos.

[juaniiiiito]

despues de todo lo sucedido, he hecho muchas cosas para arreglar mi conexión a internet y ya tengo conexión, pero lo logré instalando el nod32 que encontró algunas cosillas que nadie más había encontrado. El nuevo problema es que el nod32 trae un monitor de internet llamado imon. Mientras dicho monitor esta funcionando mi conexión está perfecta, pero cuando lo desactivo no puedo entrar a internet. Así que no puedo desinstalar el Nod32 porque pierdo mi conexión. QUE HAGO????, teniendo en cuenta que el nod32 es una versión de prueba de 30 días (o si no no habría problema claro!!! ya que es muy buen antivirus)

[ahi]

debes hacer lo que te indica nuker. pasas el elistarA a todo mensaje que te salga despues le das que si y despues de haber pasado el elistarA pegas el contenido de c:/infosat.txt aqui

[msc hotline sat]

[quote="Nuker"]


ESPERE ORDENES DE ESTAS ENTRADAS: (NO ELIMINAR)



F1 - win.ini: run=hpfsched



O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.75.51.132,200.75.51.133



O21 - SSODL: xmkWyJJW - {264D18F9-8CE7-B253-A856-6E425CBC8F4E} - C:\WINDOWS\SYSTEM\mippkh.dll (file missing)


[/quote]



De las claves que Nuker indicaba consultar, cabe decir que las dos primeras no ha lugar eliminarlas, pues



http://www.bleepingcomputer.com/startups/hpfsched.exe-2017.html



y la segunda responde a un servidor de DNS colombiano, natural en este caso:



200.75.51.132 CO Colombia 33 Cundinamarca Bogotá 4.6000 -74.0833 ETB - Colombia ETB COLOMBIA

200.75.51.133 CO Colombia 33 Cundinamarca Bogotá 4.6000 -74.0833 ETB - Colombia ETB COLOMBIA





La tercera si que se puede eliminar, igual que esta:



http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab



saludos



ms, 28-12-2006