best.globosearch

Estado
Cerrado para nuevas respuestas

trakai

Nuevo Miembro
Miembro
#1
hola soy un novato y llevo un mes con el problema siguiente.Estoy trabajando con mi pc y de repente sale una pantalla minimizada conectandome a internet a una pagina que se llama best.gllobosearch,le he pasado varias veces distintos antivirus y no me detecta nada.Tambien he probado con el ad-aware y me detecta un IE.HIJACKERS HOTOFFERS,no se si sera el responsable pero no hay forma de eliminarlo,ni reiniciando en modo seguro ni borrar manualmente.os mando mi scan de hijackthis.
Insertar CODE, HTML o PHP:
                                                           Logfile of HijackThis v1.99.0

Scan saved at 23:16:57, on 19/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Spyware Doctor\spydoctor.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\Archivos de programa\eMule\eMule.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe
O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspiasSf\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSO] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

alnitak

Ex-Admin
Miembro
#2
Por favor abre el archivo: C:\WINDOWS\system32\drivers\etc\hosts con el bloc de notas y agrega estas 2 lineas al final:
Insertar CODE, HTML o PHP:
127.0.0.1 new.globosearch.com
127.0.0.1 best.globosearch.com
salvalo, asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:Mostrar archivos ocultos

Ahora busca en tu sistema y dime si existen los archivos:
Insertar CODE, HTML o PHP:
systr.dll
system32.exe
popup_bl.dll
y si la fecha de creacion coincide con la fecha en que has empezado a tener problemas.
ejecuta el hijackthis >> Open the Misc Tools section >> Open ADS Spy >> Scan >> si sale algún resultado sálvalo y cópialo aquí
PD: Desde luego si dispones de un punto de restauración valido deberías restaurar el sistema a un punto anterior.
 

trakai

Nuevo Miembro
Miembro
#3
ya hice lo que me recomendaste,encontre systr.dll y popup_bl.dll.Hice también el scan en open ads spy y no me detecto nada.¿que hago ahora?¿borro los dos archivos encontrados?espero tu respuesta y gracias. :rolleyes:
 

alnitak

Ex-Admin
Miembro
#4
Copia esos 2 archivos y pegalos en una nueva carpeta y cambiale la extension a .bak(a las copias), justo para tenerlos como respaldo si algo sale mal.

Ahora ejecuta el HijackThis >> Open the Misc Tools section >>delete a file on reboot >> selecciona los 2 archivos originales uno a la vez y después de seleccionar el segundo acepta y reinicia.

Espera que pasen las 2 horas que tarda el bicho en pedir conexión y si a las 2 horas y 1 minuto no ha reaparecido entonces serà que tu sistema ha quedado liberado del bicho, entonces ejecuta una limpieza automatica de registro con algún programa tipo regcleaner o busca manualmente y remueve cada entrada de registro que contenga systr.dll :)
 

trakai

Nuevo Miembro
Miembro
#5
Pues si que funciono,hice lo ultimo que me comentaste y me funciono. Dios mío así da gusto trabajar. Muchísimas gracias y perdón por no poder contestar antes.
 

jefsanz

Nuevo Miembro
Miembro
#6
por favor soy un novatillo de todo esto de la informática, tengo un problema con el globosearch y todo lo que he estado leyendo pues me suena a raro y no tengo ni idea de como tengo que hacer todo lo que decís, alguien puede ayudarme a quitar el globosearch este que me roba mi velocidad... por favor ayudadme..

muchas gracias
 

alnitak

Ex-Admin
Miembro
#7
Por favor, bájate el HijackThis 1.99.0 descomprímelo en c:\ ejecútalo, dale a Do a system scan and save a log, salva el log, abre un nuevo tema en este mismo foro de seguridad y copia tu log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie