Como hago par quitar mejorbusqueda.com (Solucionado)

[Kayser F. Candanedo]

Buenas amigos,
Sucede que estoy desesperado, se ha instalado en mi computadora un programa que hace que cada vez que acceso el internet, se abra una página mejorbusqueda.com, que me tiene muy molesto. Es pornográfica. También se ha añadido un ícono en mi escritorio que dice "juega" y no hay manera de quitarlo, pues lo borro, pero cuando reinicio el computador, se instala nuevamente. Por favor ayudenme.
Si alquien sabe como eliminar esto de mi máquina, le agradecería mucho su cooperación.

saludos.

[maura63]

Pasa estas utilidades pero hazo en modo seguro o a prueba de fallos.

Eliminación de paginas de inicio en el internet explorer y no restaurables,
dialers, etc:
Pasos a seguir una ver descargados es instalarlos, actualizados (update)
y escanear el sistema

· Cwshredder
Descargar Cwshredder desde zonavirus.com
http://www.zonavirus.com/descargas/tren ... redder.asp

Y puedes probar la nueva version del ELISTARA.EXE, a ver si ya logra eliminar esta variante del StarPage:

viewtopic.php?f=5&t=860

Para la limpieza de parasitos en el ordenador es mejor realizarla en modo a prueba de fallos en windows 95 ó 98 y 98(SE) o en modo seguro en windows 2000 WXP y ME. A parte si utilizamos windows XP ó ME tendremos que desactivar restaurar sistema, de lo contrario no surtiran efecto los cambios o eliminaciones que se produzcan durante el scaneo del sistema.
Para ello en el escritorio boton secundario del mousse, se abrira una ventana pinchamos en la que pone Restaurar, al abrirse marcaremos la casilla desactivar restaurar sistema, aplicamos y aceptamos.



Saludos
maura63

[maura63]

Pasa tambien esto y elimina todo lo que te detecten, hazlo del mismo modo, antes actualizalos y pasalos frecuentemente.

Eliminacion de adwares y spywares
Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

· Spybot - Search & Destroy 1.3
SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.
Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com
http://www.zonavirus.com/descargas/spybot-sd.asp

· Ad-aware Personal 6.0 Build 181
Ad-aware es de lo mejorcito. Una genial utilidad que analiza tu PC en busca de ficheros "espía" y te ayuda a eliminarlos de forma segura. Puedes elegir los módulos a eliminar, guardar ficheros de registro y personalizar el menú del programa. Ad-aware encuentra y elimina decenas de programas tipo spyware como: Aureate/Radiate, CometCursor, Cydoor, Conducent/Timesink, Flysway, Gator y Web3000 entre muchos otros.

Descargar Ad-aware Personal 6.0 Build 181 desde zonavirus.com
http://www.zonavirus.com/descargas/ad-a ... curity.asp



Saludos
maura63

[Kayser F. Candanedo]

Muchas gracias por tu amable y rápida respuesta. Perdona mi ignorancia, pero soy nuevo en esto de informática. Entonces, para confirmar

1. Desactivo restaurar el sistema

2. Reinicio el sistema en modo de prueba,

3. Descargo y ejecuto Cwshredder

4. Descargo y ejecuto Spybot

5. Descargo y ejecuto spyware blaster



voy a intentar y te aviso.



:wink:

[Kayser F. Candanedo]

Maura63,



No puede desactivar "restaurar el sistema" no encontré la opción. Estoy trabajando con WXP Pro.



Seguí los pasos uno por uno a ver si lograba algo (sin desactivar "restaurar el sistema), pero cuando reinicié la máquina todo estaba igual que antes.



Me puedes dar los pasos para desactivar la opción de restaurar el sistema?



gracias.

[Kayser F. Candanedo]

Logré desactivar la opción de restaurar el sistema, y seguí todos los pasos indicados, en modo seguro, y normal. Lo hice varias veces, pero cuando reinicio el equipo, la página de inicio sigue ahí, al igual que el ícono.



Esto me tiene loco y desesperado. Comparto mi PC con otras personas y me daría pena que vieran esto así.



En un sitio, leí que tal vez desinstalar el Internet explorer y reinstalárlo de nuevo puede que ayude. ¿Qué opinan?, o si tienen alguna otra solución, será muy bien recibida.



atentos saludos a todos.

[cañera]

mira de pasarle el hijackthis y hacernos llegar el resultado,cuando tengas el programa abierto le das a scan y una vez escaneado le das a save y haces copiar/pegar del resultado;



en ese link lo encntraras.

[Kayser F. Candanedo]

Antes que nada, muchas gracias por la ayuda, de verdad me siento agradecido por sus esfuerzos. Tengo varias aplicaciones como Incredimail, Yahoo companion y msn toolbar, que no dudaría en eliminar si ustedes así lo indican.

:D



Adjunto resultados del análisis.



Logfile of HijackThis v1.97.7

Scan saved at 08:34:26 a.m., on 07/27/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\OfficeScan NT\ntrtscan.exe

C:\WINDOWS\System32\svchost.exe

C:\OfficeScan NT\tmlisten.exe

C:\WINDOWS\System32\ZipToA.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\System32\TPWRTRAY.EXE

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\Archivos de programa\Iomega\DriveIcons\ImgIcon.exe

C:\OfficeScan NT\pccntmon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\msnshell\MSNShell.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\ARCHIV~1\INCRED~1\bin\IMApp.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\toshiba\ivp\netint\netint.exe

C:\toshiba\ivp\ISM\ivpsvmgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\kcandanedo\Configuración local\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

C:\Documents and Settings\kcandanedo\Configuración local\Temp\Directorio temporal 2 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mejorbusqueda.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1629.0\es-la\msntb.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [Pinger] C:\toshiba\ivp\ISM\pinger.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 10

O4 - HKLM\..\Run: [Iomega Startup Options] C:\Archivos de programa\Iomega\Common\ImgStart.exe

O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Archivos de programa\Iomega\DriveIcons\ImgIcon.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MSNShell] C:\Archivos de programa\msnshell\MSNShell.exe autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [!!!AAAA-aaaagiochimkt] C:\DOCUME~1\KCANDA~1\DATOSD~1\GIOCHI~1.EXE /ns

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [IncrediMail] C:\ARCHIV~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Create Mobile Favorite (HKLM)

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/221457b606ff2cef1905/netzip/RdxIE601_es.cab

O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Yahoo! Fotos – Carga fácil de fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3e1.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFD35C3-6E14-4967-B3C5-23AC845E62B6}: NameServer = 200.46.127.6,200.46.127.7

[maura63]

Con el HijackThis lanzado en modo seguro selecciona estas dos entradas



O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/221457b606ff2cef1905/netzip/RdxIE601_es.cab



O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab



Una vez señaladas las entradas pulsa FIX y confirma la eliminacion, hazlo en modo seguro.



Saludos

maura63

[Kayser F. Candanedo]

Hola que tal Maura63,



Hice lo indicado, activé nuevamente el hijackthis y aquí están los resultados. Favor indicarme si debo correr algún otro proceso luego de haber hecho esto. No he tocado nada por temor a dañar algo.



Agradezco sus atenciones.



saludos.



Logfile of HijackThis v1.97.7

Scan saved at 06:27:22 a.m., on 07/28/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\OfficeScan NT\ntrtscan.exe

C:\WINDOWS\System32\svchost.exe

C:\OfficeScan NT\tmlisten.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\System32\TPWRTRAY.EXE

C:\toshiba\ivp\ISM\pinger.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\Archivos de programa\Iomega\DriveIcons\ImgIcon.exe

C:\OfficeScan NT\pccntmon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\msnshell\MSNShell.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\ZipToA.exe

C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\ARCHIV~1\INCRED~1\bin\IMApp.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\Documents and Settings\kcandanedo\Configuración local\Temp\Directorio temporal 4 para hijackthis.zip\HijackThis.exe

C:\Documents and Settings\kcandanedo\Configuración local\Temp\Directorio temporal 5 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mejorbusqueda.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1629.0\es-la\msntb.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [Pinger] C:\toshiba\ivp\ISM\pinger.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 10

O4 - HKLM\..\Run: [Iomega Startup Options] C:\Archivos de programa\Iomega\Common\ImgStart.exe

O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Archivos de programa\Iomega\DriveIcons\ImgIcon.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MSNShell] C:\Archivos de programa\msnshell\MSNShell.exe autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [!!!AAAA-aaaagiochimkt] C:\DOCUME~1\KCANDA~1\DATOSD~1\GIOCHI~1.EXE /ns

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [IncrediMail] C:\ARCHIV~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Create Mobile Favorite (HKLM)

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Yahoo! Fotos – Carga fácil de fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3e1.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFD35C3-6E14-4967-B3C5-23AC845E62B6}: NameServer = 200.46.127.6,200.46.127.7

[maura63]

Perdon, se quedo esta en el tintero



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mejorbusqueda.com





Aunque hay algo mas, que no es tan facil

Tan pronto lo vea te lo comento.



Saludos

maura63

[maura63]

Baja esta otra herramienta

Tareas en uso y ruta desde donde son lanzadas PRCVIEW, lo ejecutas pulsa save file y copias el resultado como respuesta a este tema.

Saludos
maura63

[Kayser F. Candanedo]

Hola, ya hice la eliminación que quedaba pendiente en el hijackthis. La hice en modo seguro. Para referencia (y por si acaso te es de utilidad), adjunto el resultado del nuevo scan en mi equipo. También ejecuté el PrcView en modo normal. Igual, adjunto los resultados.



Espero que la información sea de utilidad. Me siento muy positivo que lograremos resolver este problema.



muchos saludos.



Logfile of HijackThis v1.97.7

Scan saved at 07:33:41 a.m., on 07/28/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\kcandanedo\Configuración local\Temp\Directorio temporal 4 para hijackthis.zip\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1629.0\es-la\msntb.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [Pinger] C:\toshiba\ivp\ISM\pinger.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 10

O4 - HKLM\..\Run: [Iomega Startup Options] C:\Archivos de programa\Iomega\Common\ImgStart.exe

O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Archivos de programa\Iomega\DriveIcons\ImgIcon.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MSNShell] C:\Archivos de programa\msnshell\MSNShell.exe autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [!!!AAAA-aaaagiochimkt] C:\DOCUME~1\KCANDA~1\DATOSD~1\GIOCHI~1.EXE /ns

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [IncrediMail] C:\ARCHIV~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Create Mobile Favorite (HKLM)

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Yahoo! Fotos – Carga fácil de fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3e1.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFD35C3-6E14-4967-B3C5-23AC845E62B6}: NameServer = 200.46.127.6,200.46.127.7









Resultados del PrcView



00THotkey.exe 312 C:\WINDOWS\System32\00THotkey.exe THotkey 1, 0, 0, 0. Copyright (C) 1999

Apntex.exe 1096 C:\Archivos de programa\Apoint2K\Apntex.exe Alps Pointing-device Driver for Windows NT/2000 5.0.1.13. Copyright (C) 1998-2001 Alps Electric Co., Ltd.

Apoint.exe 236 C:\Archivos de programa\Apoint2K\Apoint.exe Alps Pointing-device Driver 5.3.1.104. Copyright (C) 1999-2001 Alps Electric Co., Ltd.

BackWeb-8876480.exe 1232 C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe Logitech Desktop Messenger 1.46.40. Copyright (C) Logitech 2000-2004. All rights reserved

csrss.exe 724 C:\WINDOWS\system32\csrss.exe Client Server Runtime Process 5.1.2600.0. © Microsoft Corporation. All rights reserved.

ctfmon.exe 1116 C:\WINDOWS\System32\ctfmon.exe CTF Loader 5.1.2600.1106. © Microsoft Corporation. All rights reserved.

DirectCD.exe 452 C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe DirectCD Application 5.10 (99). Copyright © 2001, Roxio, Inc.

em_exec.exe 1384 C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe Logitech Events Handler Application 9.78.034. (C) 1987-2003 Logitech. All rights reserved.

Explorer.EXE 1840 C:\WINDOWS\Explorer.EXE Explorador de Windows 6.00.2800.1106. © Microsoft Corporation. Reservados todos los derechos.

fxssvc.exe 1212 C:\WINDOWS\system32\fxssvc.exe Servicio de fax 5.2.1776.1023. © Microsoft Corporation. All rights reserved.

iexplore.exe 2868 C:\Archivos de programa\Internet Explorer\iexplore.exe Internet Explorer 6.00.2800.1106. © Microsoft Corporation. Reservados todos los derechos.

ImgIcon.exe 504 C:\Archivos de programa\Iomega\DriveIcons\ImgIcon.exe IMGICON 6, 3, 0, 6. 6.3, Copyright © 2000 Iomega Corporation

jusched.exe 692 C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe jusched.exe

lsass.exe 804 C:\WINDOWS\system32\lsass.exe LSA Shell (Export Version) 5.1.2600.1106. © Microsoft Corporation. All rights reserved.

mdm.exe 224 C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe Machine Debug Manager 7.00.9064.9150. Copyright (C) Microsoft Corp. 1997-2000

MSNShell.exe 600 C:\Archivos de programa\msnshell\MSNShell.exe 1.0.0.0.

ntrtscan.exe 256 C:\OfficeScan NT\ntrtscan.exe Trend Trend OfficeScan 5.0 5.0. Copyright (C) 1998-2002 Trend Micro Inc. All rights reserved.

pccntmon.exe 524 C:\OfficeScan NT\pccntmon.exe I/O Monitor 5.0. Copyright (C) 1998-2002 Trend Micro Inc. All rights reserved.

pinger.exe 356 C:\toshiba\ivp\ISM\pinger.exe Toshiba Pinger 3.2. © 1997-2001 Toshiba Corporation

PrcView.exe 4040 C:\Documents and Settings\kcandanedo\Configuración local\Temp\Directorio temporal 2 para PrcView[1].zip\PrcView.exe Process Viewer Application 3.7.3.1. Developed by Igor Nys, 1995-2003

qttask.exe 544 C:\Archivos de programa\QuickTime\qttask.exe QuickTime QuickTime 6.5. © Apple Computer, Inc. 2001-2004

realsched.exe 576 C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe RealNetworks Scheduler 0.1.0.1622. Copyright © RealNetworks, Inc. 1995-2002

services.exe 792 C:\WINDOWS\system32\services.exe Aplicación de servicios y controlador 5.1.2600.0. Copyright (C) Microsoft Corporation. Reservados todos los derechos.

smss.exe 676 C:\WINDOWS\System32\smss.exe Windows NT Session Manager 5.1.2600.1106. © Microsoft Corporation. All rights reserved.

spoolsv.exe 1560 C:\WINDOWS\system32\spoolsv.exe Spooler SubSystem App 5.1.2600.0. © Microsoft Corporation. All rights reserved.

svchost.exe 324 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.0. © Microsoft Corporation. All rights reserved.

svchost.exe 1032 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.0. © Microsoft Corporation. All rights reserved.

svchost.exe 1144 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.0. © Microsoft Corporation. All rights reserved.

svchost.exe 1308 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.0. © Microsoft Corporation. All rights reserved.

svchost.exe 1352 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.0. © Microsoft Corporation. All rights reserved.

TFncKy.exe 480 C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe TFncKy 2.15. Copyright 1997-2001 Toshiba Corporation. Todos los derechos reservados.

tmlisten.exe 672 C:\OfficeScan NT\tmlisten.exe tmlisten.exe

TPWRTRAY.EXE 332 C:\WINDOWS\System32\TPWRTRAY.EXE TOSHIBA Power Saver 4. 0. 0. 0. Copyright 1999-2001 TOSHIBA Corporation.

WCESCOMM.EXE 1324 C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE Connection Manager 3.1.9558. Copyright © 1995-2000 Microsoft Corp. All rights reserved.

winlogon.exe 748 C:\WINDOWS\system32\winlogon.exe Aplicación de inicio de sesión de Windows NT 5.1.2600.1106. © Microsoft Corporation. Reservados todos los derechos.

ymsgr_tray.exe 2220 C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe ymsgr_tray.exe

ZipToA.exe 1048 C:\WINDOWS\System32\ZipToA.exe ZipToA 6, 0, 0, 6. Copyright (C) 1999 Iomega Corporation

[maura63]

Con el HJT borra esta entrada en modo seguro



O4 - HKLM\..\Run: [MSNShell] C:\Archivos de programa\msnshell\MSNShell.exe autorun





Te carga MSNShell.exe 600



Prueba y nos cuentas.



Saludos

maura63

[Kayser F. Candanedo]

Que tal,



Ya hice lo indicado. La verdad es que no sé si cargó el MSNShell.exe 600, pero si te ayuda de algo, el ícono si aparece en el escritorio e inicié el MSNMessenger y aparentemente todo está normal con el MSNShell.



Si hay un método más científico de dar respuesta a la consulta, con todo gusto atenderé tus instrucciones. Por otro lado, adjunto el resultado del análisis con el HJT luego de haber hecho esta última eliminación (favor avisarme si es conveniente que siga enviando los resultados, puesto que no sé si estoy recargando muchos textos en el foro).



No quiiero incomodar a otros miembros.



saludos.



Logfile of HijackThis v1.97.7

Scan saved at 12:24:50 p.m., on 07/28/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\kcandanedo\Configuración local\Temp\Directorio temporal 5 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mejorbusqueda.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1629.0\es-la\msntb.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [Pinger] C:\toshiba\ivp\ISM\pinger.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 10

O4 - HKLM\..\Run: [Iomega Startup Options] C:\Archivos de programa\Iomega\Common\ImgStart.exe

O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Archivos de programa\Iomega\DriveIcons\ImgIcon.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [!!!AAAA-aaaagiochimkt] C:\DOCUME~1\KCANDA~1\DATOSD~1\GIOCHI~1.EXE /ns

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [IncrediMail] C:\ARCHIV~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Create Mobile Favorite (HKLM)

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Yahoo! Fotos – Carga fácil de fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3e1.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFD35C3-6E14-4967-B3C5-23AC845E62B6}: NameServer = 200.46.127.6,200.46.127.7

[maura63]

Vuelves a tener la misma entrada, eliminala



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mejorbusqueda.com

lo haces en modo seguro desactivando restaurar sistema?



En el momento en que la elimines en modo seguro y vuelvas a encender, antes de hacer nada vuelve a marcar activar restaurar sistema.



Luego con el HJT lanza otro scan y mira si vuelves a tenerla, no hace falta que la envies.



Saludos

maura63

[Kayser F. Candanedo]

Hola Maura63

Lamentablemente, el registro sigue apareciendo.

Te explico los pasos que seguí, para confirmar si los hice bien.
1. Desactivé restaurar el sistema.
2. Reinicié el sistema en modo seguro.
3. Activé el HJT y eliminé la entrada.
4. Reinicié el equipo
5. Activé restaurar el sistema.
6. Activé el HJT y aparece la entrada.

Ahora, de la nada, cuando reinicié el sistema en modo normal, aparecieron unos mensajes que dicen:
El título dice así:
SEX PLAYER: GIOCHI~1.EXE ERROR DE APLICACION
El texto dice así:
La instrucción en "0x01003cca" hace referencia a la memoria en "0x01202100". La memoria no se puede "read". Haga clic en aceptar para finalizar el programa.

--cuando le doy clic en ACEPTAR, sale otro mensaje

El título dice así:
SEX PLAYER: GIOCHI~1.EXE ERROR DE APLICACION
El texto dice así:
La instrucción en "0x77fb7bc" hace referencia a la memoria en "0x00000008". La memoria no se puede "read". Haga clic en aceptar para finalizar el programa.

---cuando le doy clic en ACEPTAR, sale otro mensaje

Run Time Error 216 at 770FB7BC

--le doy clic en aceptar, y el computador trabaja normalmente (incluyendo la página de inicio mejorbusqueda.com y el ícono "juegos" en el escritorio)

Ahora, cuando estuve viendo el log file del HJT, ví un registro así:

O4 - HKLM\..\Run: [!!!AAAA-aaaagiochimkt] C:\DOCUME~1\KCANDA~1\DATOSD~1\GIOCHI~1.EXE /ns

Tendrá esto alguna relación con lo que estamos tratando de hacer? (Por el título de los mensajes "Sex Player"). y con la generación automática de este registro que estamos tratando de eliminar?

Espero no haber complicado mas es asunto.

bueno, estaré al tanto de tu respuesta. saludos.

[maura63]

Prueba a eliminar esa entrada, HJT hace una copia por si hay que recuperar.



Saludos al foro y buenas noches, sigo aqui porque he estado descargando actualizaciones, ahora a papear y dormir.



Buenas noches al foro



saludos

maura63

[Kayser F. Candanedo]

Maura63,

Se que a esta hora probablemente ya estés en casa acá son las 5:00pm, allá podrá ser media noche. Pero no podía dejar de darte la buena noticia para que la veas mañana temprano.

Eliminé nuevamente el registro
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mejorbusqueda.com
y al mismo tiempo el registro:
O4 - HKLM\..\Run: [!!!AAAA-aaaagiochimkt] C:\DOCUME~1\KCANDA~1\DATOSD~1\GIOCHI~1.EXE /ns

en modo seguro. Reinicié el ocmputador y activé restaurar el sistema. Luego, para probar, borré el ícono de "juegos" (el dialer" que aparecía en mi escritorio), vacié la papelera de reciclaje y reinicié nuevamente el computador.

Para mi sorpresa, el ícono no se reinstaló y cuando accesé el internet, apareció la página de inicio "blank". Grabé mi nueva página de inicio (por supuesto http://www.zonavirus.com), reinicié el computador y no se cambió. Ya he apagado la máquina 3 veces y no hay nada irregular. Estoy super contento, mañana voy a verificar nuevamente para ver si durante la noche no pasa nada extraño, pero si no, deseo agradecerte de todo corazón a tí y a cañera y al resto del foro la ayuda, interés mostrado por solucionar el problema, y sobre todo la paciencia que han tenido conmigo.

Tienen un amgio acá en Panamá, en el futuro espero poder ser de ayuda a muchos otros usuarios que confronten un problema similar. Mi correo está en mi perfil, escriban cuando quieran....

Es mas, el computador de mi hija ha estado dando problemas y gracias al foro, ya tengo una idea de como proceder, y si no puedo, sé que puedo contar con amigos dispuestos a ayudar.

gracias.

[maura63]

Pues me alegro enormemente que solucionaramos el problema.



Como el tema es bastante largo voy a proceder a cerrarlo al solucionarlo, si tienes mas problemas vuelves a postear tema nuevo.



Saludos

maura63