Cómo elimino Searchweb2

Estado
Cerrado para nuevas respuestas

MenSlash

Nuevo Miembro
Miembro
#1
que tal podrian ayudarme a corregir este problema, ya me tiene fastidiado he utilizado infinidad de programas que lo quitan pero se vuelve a reactivar cuando reinicia, corri el hijacksthis y este resultado me dio:

Logfile of HijackThis v1.98.1

Scan saved at 05:29:07 p.m., on 10/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\pctspk.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

c:\archiv~1\intern~1\iexplore.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Messenger\MSMSGS.EXE

C:\Archivos de programa\CoffeeCup Software\Spam Blocker\spamblocker.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\ORL\VNC\WinVNC.exe

C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.kcpthlyzhmsnzmpxxkxvmdb.com/G8q...y1dYrugLhjM.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://searchweb2.com/passthrough/index.html?http://www.altavista.com/

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {BAAE0DB4-D2C2-240C-E10D-882F4D28282B} - C:\ARCHIV~1\SHIMDU~1\blaheggs.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [PlayPhone] C:\ARCHIV~1\ACECAK~1\Eachtest.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [OwnsFaceCoolSeek] C:\Documents and Settings\All Users\Datos de programa\Rect for owns face\bendjunk.exe

O4 - HKLM\..\Run: [tib] C:\WINDOWS\tib.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [CoffeeCup Spam Blocker] "C:\Archivos de programa\CoffeeCup Software\Spam Blocker\spamblocker.exe" -min

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Run WinVNC (App Mode).lnk = C:\Archivos de programa\ORL\VNC\WinVNC.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Inicio - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\cover-libremp31-mx\entrar.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{41C3DF75-5786-49B2-9BDD-CA1E83DB72B2}: NameServer = 148.240.241.41 148.240.241.9

De antemano gracias a todos por su ayuda ....!!!

Saludos..
 
A

Arwing

Guest
#2
Nota: Para poder ver archivos y carpetas ocultas en XP tenemos que abrir: MI PC>>menú herramientas>>opciones de carpeta>>pestaña Ver>>marcar las casillas de Mostrar todos los archivos y carpetas ocultas y Mostrar el contenido de las carpetas de sistema.

Hola. Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

Termina estos procesos:

WinVNC.exe <-- Si conoces este programa no lo termines, pero a mi no me da buena espina

Skype.exe <-- Este no lo conozco, si tu sabes que es déjalo, si no termínalo.

blaheggs.exe

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

[PlayPhone] C:\ARCHIV~1\ACECAK~1\Eachtest.exe

[OwnsFaceCoolSeek] C:\Documents and Settings\All Users\Datos de programa\Rect for owns face\bendjunk.exe

[tib] C:\WINDOWS\tib.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

[Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized <-- si conoces este programa no la borres

Desactiva la opción de restaurar el sistema, para hacerlo:

Tecla Ctrl + tecla de pausa>>pestaña restaurar el sistema>>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

o

Inicio>>Control Panel>>Sistema>>pestaña restaurar el sistema>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

Si todavia no lo has hecho crea una nueva carpeta y salva en ella el hijackThis para que te guarde ahí los respaldos.

NOTA: Si algo sale mal y quieres meter el backup deberás después correr el hijackThis>>boton Config>>pestaña backups, marca la entrada a restaurar y clic sobre restore

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix. (las que todavía estén presentes)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.kcpthlyzhmsnzmpxxkxvmdb.com/G8q...y1dYrugLhjM.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://searchweb2.com/passthrough/index.ht....altavista.com/

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {BAAE0DB4-D2C2-240C-E10D-882F4D28282B} - C:\ARCHIV~1\SHIMDU~1\blaheggs.exe

O4 - HKLM\..\Run: [PlayPhone] C:\ARCHIV~1\ACECAK~1\Eachtest.exe

O4 - HKLM\..\Run: [OwnsFaceCoolSeek] C:\Documents and Settings\All Users\Datos de programa\Rect for owns face\bendjunk.exe

O4 - HKLM\..\Run: [tib] C:\WINDOWS\tib.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized <-- Si conoces este programa no la marques

O4 - Startup: Run WinVNC (App Mode).lnk = C:\Archivos de programa\ORL\VNC\WinVNC.exe <-- Si conoces este programa no lo marques

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Inicio - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\cover-libremp31-mx\entrar.html <-- yo creo que esto no instalaste tu

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{41C3DF75-5786-49B2-9BDD-CA1E83DB72B2}: NameServer = 148.240.241.41 148.240.241.9 <-- marca esta sólo si no conoces esas IP

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde lla pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Reinicia en modo seguro

Elimina completamente estas carpetas:

C:\ARCHIV~1\SHIMDU~1\

C:\Documents and Settings\All Users\Datos de programa\Rect for owns face\

C:\Archivos de programa\Skype\ <-- si conoces este prorama no la borres

C:\Archivos de programa\ORL\ <-- si conoces este programa no la borres

Elimina también estos archivos:

C:\ARCHIV~1\SHIMDU~1\blaheggs.exe

C:\Documents and Settings\All Users\Datos de programa\Rect for owns face\bendjunk.exe

C:\WINDOWS\tib.exe

C:\Archivos de programa\Skype\Phone\Skype.exe <-- si lo conoces no lo borres

C:\Archivos de programa\ORL\VNC\WinVNC.exe <-- lo mismo

Vuelve a eliminar los archivos temporales

Reinicia normalmente, vuelve a activar la opción de restaurar el sistema y dinos si se ha arreglado, si no se ha arreglado colóca el nuevo log

Arwing
 

alnitak

Ex-Admin
Miembro
#3
WinVNC.exe es el server del VNC

Te había respondido por el privado MenSlash no se si has alcanzado a leerlo porque veo que no has echo caso de lo que te decía

El VNC es un programa de control remoto legal pero bastante inseguro y que en mi opinion no es mas que un troyano legal, si usas ese programa para acceder remotamente a tu sistema y tal como te lo comentaba por el privado deberias pensartelo mejor porque es relativamente fácil para un atacante experto lograr el acceso y el control total de tu sistema crackeandote la contraseña, así mismo se puede programar algún sniffer dedicado para recuperar todo e ltrafico puesto que por defecto no es encriptado y de esta manera recuperar cualquier contraseña envies usando el VNC B)
 

MenSlash

Nuevo Miembro
Miembro
#4
Quiero decirles que es la primera vez que utilizo un foro como este para resolver mi problema y que estoy realmente sorprendido, y ademas recomiendo ampliamente que lo utilizen, ya que si le dan solucion a los problemas.

Gracias Alnitak y Arwin fue de gran ayuda sus consejos por fin desaparecio esa molesta barra ...!!! :D
 
Estado
Cerrado para nuevas respuestas
Arriba Pie