best.globosearch

Estado
Cerrado para nuevas respuestas

trakai

Nuevo Miembro
Miembro
#1
hola soy un novato y llevo un mes con el problema siguiente.Estoy trabajando con mi pc y de repente sale una pantalla minimizada conectandome a internet a una pagina que se llama best.gllobosearch,le he pasado varias veces distintos antivirus y no me detecta nada.Tambien he probado con el ad-aware y me detecta un IE.HIJACKERS HOTOFFERS,no se si sera el responsable pero no hay forma de eliminarlo,ni reiniciando en modo seguro ni borrar manualmente.os mando mi scan de hijackthis. Logfile of HijackThis v1.99.0

Scan saved at 23:16:57, on 19/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Spyware Doctor\spydoctor.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\program files\InterMute\SpySubtract\SpySub.exe

C:\Archivos de programa\VIA\RAID\raid_tool.exe

C:\Archivos de programa\eMule\eMule.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspiasSf\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MSO] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\spydoctor.exe" /Q

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service - Unknown - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

alnitak

Ex-Admin
Miembro
#2
Por favor abre el archivo: C:\WINDOWS\system32\drivers\etc\hosts con el bloc de notas y agrega estas 2 lineas al final:
127.0.0.1 new.globosearch.com

127.0.0.1 best.globosearch.com

salvalo, asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Ahora busca en tu sistema y dime si existen los archivos:

systr.dll

system32.exe

popup_bl.dll

y si la fecha de creacion coincide con la fecha en que has empezado a tener problemas.

ejecuta el hijackthis >> Open the Misc Tools section >> Open ADS Spy >> Scan >> si sale algún resultado salvalo y copialo aquí

PD: Desde luego si dispones de un punto de restauracion valido deberias restaurar el sistema a un punto anterior.
 

trakai

Nuevo Miembro
Miembro
#3
Por favor abre el archivo: C:\WINDOWS\system32\drivers\etc\hosts con el bloc de notas y agrega estas 2 lineas al final:

127.0.0.1 new.globosearch.com

127.0.0.1 best.globosearch.com

salvalo, asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Ahora busca en tu sistema y dime si existen los archivos:

systr.dll

system32.exe

popup_bl.dll

y si la fecha de creacion coincide con la fecha en que has empezado a tener problemas.

ejecuta el hijackthis >> Open the Misc Tools section >> Open ADS Spy >> Scan >> si sale algún resultado salvalo y copialo aquí

PD: Desde luego si dispones de un punto de restauracion valido deberias restaurar el sistema a un punto anterior.
ya hice lo que me recomendaste,encontre systr.dll y popup_bl.dll.Hice también el scan en open ads spy y no me detecto nada.¿que hago ahora?¿borro los dos archivos encontrados?espero tu respuesta y gracias. :rolleyes:
 

alnitak

Ex-Admin
Miembro
#4
Copia esos 2 archivos y pegalos en una nueva carpeta y cambiale la extension a .bak(a las copias), justo para tenerlos como respaldo si algo sale mal.

Ahora ejecuta el HijackThis >> Open the Misc Tools section >>delete a file on reboot >> selecciona los 2 archivos originales uno a la vez y después de seleccionar el segundo acepta y reinicia.

Espera que pasen las 2 horas que tarda el bicho en pedir conexión y si a las 2 horas y 1 minuto no ha reaparecido entonces serà que tu sistema ha quedado liberado del bicho, entonces ejecuta una limpieza automatica de registro con algún programa tipo regcleaner o busca manualmente y remueve cada entrada de registro que contenga systr.dll :)
 

trakai

Nuevo Miembro
Miembro
#5
Copia esos 2 archivos y pegalos en una nueva carpeta y cambiale la extension a .bak(a las copias), justo para tenerlos como respaldo si algo sale mal.

Ahora ejecuta el HijackThis >> Open the Misc Tools section >>delete a file on reboot >> selecciona los 2 archivos originales uno a la vez y después de seleccionar el segundo acepta y reinicia.

Espera que pasen las 2 horas que tarda el bicho en pedir conexión y si a las 2 horas y 1 minuto no ha reaparecido entonces serà que tu sistema ha quedado liberado del bicho, entonces ejecuta una limpieza automatica de registro con algún programa tipo regcleaner o busca manualmente y remueve cada entrada de registro que contenga systr.dll
:D Pues si que funciono,hice lo ultimo que me comentaste y me funciono.Dios mio así da gusto trabajar.Muchisimas gracias y perdon por no poder contestar antes.
 

jefsanz

Nuevo Miembro
Miembro
#6
Copia esos 2 archivos y pegalos en una nueva carpeta y cambiale la extension a .bak(a las copias), justo para tenerlos como respaldo si algo sale mal.

Ahora ejecuta el HijackThis >> Open the Misc Tools section >>delete a file on reboot >> selecciona los 2 archivos originales uno a la vez y después de seleccionar el segundo acepta y reinicia.

Espera que pasen las 2 horas que tarda el bicho en pedir conexión y si a las 2 horas y 1 minuto no ha reaparecido entonces serà que tu sistema ha quedado liberado del bicho, entonces ejecuta una limpieza automatica de registro con algún programa tipo regcleaner o busca manualmente y remueve cada entrada de registro que contenga systr.dll*
:D Pues si que funciono,hice lo ultimo que me comentaste y me funciono.Dios mio así da gusto trabajar.Muchisimas gracias y perdon por no poder contestar antes.
por favor soy un novatillo de todo esto de la informatica, tengo un problema con el globosearch y todo lo que he estado leyendo pues me suena a raro y no tengo ni idea de como tengo que hacer todo lo que decis, alguien puede ayudarme a quitar el globosearch este que me roba mi velocidad... por favor ayudadme..

muchas gracias
 

alnitak

Ex-Admin
Miembro
#7
Por favor, bájate el HijackThis 1.99.0 descomprímelo en c:\ ejecútalo, dale a Do a system scan and save a log, salva el log, abre un nuevo tema en este mismo foro de seguridad y copia tu log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie