ayuda por favor

azangarito · #1 (**permalink**) 05/12/2004, 17:34

me aparece esta pagina de inicio:
http://69.50.164.197/?said=heaven
es raro, porque en modo a prueba de fallos no hay conexion a internet, para al inicia el internet explorer, salio esta pagina, porque?, si no hay conexion.
Otro problema que tengo es con el ms word, estoy trabajando y derepente se activan menus y comandos solos, hago alguna accion y me dice queel programa se va a cerrar, y sale de windows y se reinicia mi maquina, tambien al final de algunos archivos en word aparece basura ( =))=)()(%$(==(&$%$..)

con el hijack me sale esto:

Logfile of HijackThis v1.98.2
Scan saved at 06:31:40 p.m., on 05/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\system32.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 7.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\cisvc.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Nueva carpeta\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O4 - HKLM\..\Run: [system32.exe] C:\WINDOWS\System32\system32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 7.exe
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab
O16 - DPF: {CE736832-F8A9-11D4-80C4-0050DA680987} (HearMe (Firewall, Spanish) Voice Control) - http://www.terra.com/chatvoz/hmvcfs.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF8169C5-7CD0-412D-B60E-55DCFFE9A6C6}: NameServer = 200.48.225.130,200.60.225.146
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll

------------------------------
POR FAVOR DECIRME SI HAY ALGUN VIRUS DE WORD O QUE PASA EN MI MAQUINA, COMO VERAN USO EL ANTIVIRUS NOD 32

elpiedra · #2 (**permalink**) 08/12/2004, 15:35

Bueno primero que nada tenes un gusano llamado WORM_WOOTBOT.M te recomiendo que primero apages el "Restaurar Sistema" y luego le pasos Panda AnctiveScan Antivirus Online

Despues inicia pulsando F8 y entra en modo a prueba de fallos para pasarle el Hijackthis y borrar estas entradas.

O4 - HKLM\..\Run: [system32.exe] C:\WINDOWS\System32\system32.exe

O16 - DPF: {CE736832-F8A9-11D4-80C4-0050DA680987} (HearMe (Firewall, Spanish) Voice Control) - http://www.terra.com/chatvoz/hmvcfs.cab

O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll

Despues busca y elimina este archivo manualmente, aunque si el antivirus te lo saco puede que ya no este

C:\WINDOWS\System32\system32.exe

Salu2
El Piedra