Cómo elimino Searchweb2

Estado
Cerrado para nuevas respuestas

MenSlash

Nuevo Miembro
Miembro
que tal podrian ayudarme a corregir este problema, ya me tiene fastidiado he utilizado infinidad de programas que lo quitan pero se vuelve a reactivar cuando reinicia, corri el hijacksthis y este resultado me dio:

Logfile of HijackThis v1.98.1

Scan saved at 05:29:07 p.m., on 10/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\pctspk.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

c:\archiv~1\intern~1\iexplore.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Messenger\MSMSGS.EXE

C:\Archivos de programa\CoffeeCup Software\Spam Blocker\spamblocker.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\ORL\VNC\WinVNC.exe

C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.kcpthlyzhmsnzmpxxkxvmdb.com/G8q...y1dYrugLhjM.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://searchweb2.com/passthrough/index.html?http://www.altavista.com/

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {BAAE0DB4-D2C2-240C-E10D-882F4D28282B} - C:\ARCHIV~1\SHIMDU~1\blaheggs.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [PlayPhone] C:\ARCHIV~1\ACECAK~1\Eachtest.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [OwnsFaceCoolSeek] C:\Documents and Settings\All Users\Datos de programa\Rect for owns face\bendjunk.exe

O4 - HKLM\..\Run: [tib] C:\WINDOWS\tib.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [CoffeeCup Spam Blocker] "C:\Archivos de programa\CoffeeCup Software\Spam Blocker\spamblocker.exe" -min

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Run WinVNC (App Mode).lnk = C:\Archivos de programa\ORL\VNC\WinVNC.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Inicio - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\cover-libremp31-mx\entrar.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{41C3DF75-5786-49B2-9BDD-CA1E83DB72B2}: NameServer = 148.240.241.41 148.240.241.9

De antemano gracias a todos por su ayuda ....!!!

Saludos..
 
A

Arwing

Guest
Nota: Para poder ver archivos y carpetas ocultas en XP tenemos que abrir: MI PC>>menú herramientas>>opciones de carpeta>>pestaña Ver>>marcar las casillas de Mostrar todos los archivos y carpetas ocultas y Mostrar el contenido de las carpetas de sistema.

Hola. Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

Termina estos procesos:

WinVNC.exe <-- Si conoces este programa no lo termines, pero a mi no me da buena espina

Skype.exe <-- Este no lo conozco, si tu sabes que es déjalo, si no termínalo.

blaheggs.exe

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

[PlayPhone] C:\ARCHIV~1\ACECAK~1\Eachtest.exe

[OwnsFaceCoolSeek] C:\Documents and Settings\All Users\Datos de programa\Rect for owns face\bendjunk.exe

[tib] C:\WINDOWS\tib.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

[Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized <-- si conoces este programa no la borres

Desactiva la opción de restaurar el sistema, para hacerlo:

Tecla Ctrl + tecla de pausa>>pestaña restaurar el sistema>>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

o

Inicio>>Control Panel>>Sistema>>pestaña restaurar el sistema>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

Si todavia no lo has hecho crea una nueva carpeta y salva en ella el hijackThis para que te guarde ahí los respaldos.

NOTA: Si algo sale mal y quieres meter el backup deberás después correr el hijackThis>>boton Config>>pestaña backups, marca la entrada a restaurar y clic sobre restore

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix. (las que todavía estén presentes)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.kcpthlyzhmsnzmpxxkxvmdb.com/G8q...y1dYrugLhjM.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://searchweb2.com/passthrough/index.ht....altavista.com/

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {BAAE0DB4-D2C2-240C-E10D-882F4D28282B} - C:\ARCHIV~1\SHIMDU~1\blaheggs.exe

O4 - HKLM\..\Run: [PlayPhone] C:\ARCHIV~1\ACECAK~1\Eachtest.exe

O4 - HKLM\..\Run: [OwnsFaceCoolSeek] C:\Documents and Settings\All Users\Datos de programa\Rect for owns face\bendjunk.exe

O4 - HKLM\..\Run: [tib] C:\WINDOWS\tib.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized <-- Si conoces este programa no la marques

O4 - Startup: Run WinVNC (App Mode).lnk = C:\Archivos de programa\ORL\VNC\WinVNC.exe <-- Si conoces este programa no lo marques

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Inicio - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\cover-libremp31-mx\entrar.html <-- yo creo que esto no instalaste tu

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{41C3DF75-5786-49B2-9BDD-CA1E83DB72B2}: NameServer = 148.240.241.41 148.240.241.9 <-- marca esta sólo si no conoces esas IP

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde lla pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Reinicia en modo seguro

Elimina completamente estas carpetas:

C:\ARCHIV~1\SHIMDU~1\

C:\Documents and Settings\All Users\Datos de programa\Rect for owns face\

C:\Archivos de programa\Skype\ <-- si conoces este prorama no la borres

C:\Archivos de programa\ORL\ <-- si conoces este programa no la borres

Elimina también estos archivos:

C:\ARCHIV~1\SHIMDU~1\blaheggs.exe

C:\Documents and Settings\All Users\Datos de programa\Rect for owns face\bendjunk.exe

C:\WINDOWS\tib.exe

C:\Archivos de programa\Skype\Phone\Skype.exe <-- si lo conoces no lo borres

C:\Archivos de programa\ORL\VNC\WinVNC.exe <-- lo mismo

Vuelve a eliminar los archivos temporales

Reinicia normalmente, vuelve a activar la opción de restaurar el sistema y dinos si se ha arreglado, si no se ha arreglado colóca el nuevo log

Arwing
 

alnitak

Ex-Admin
Miembro
WinVNC.exe es el server del VNC

Te había respondido por el privado MenSlash no se si has alcanzado a leerlo porque veo que no has echo caso de lo que te decía

El VNC es un programa de control remoto legal pero bastante inseguro y que en mi opinion no es mas que un troyano legal, si usas ese programa para acceder remotamente a tu sistema y tal como te lo comentaba por el privado deberias pensartelo mejor porque es relativamente fácil para un atacante experto lograr el acceso y el control total de tu sistema crackeandote la contraseña, así mismo se puede programar algún sniffer dedicado para recuperar todo e ltrafico puesto que por defecto no es encriptado y de esta manera recuperar cualquier contraseña envies usando el VNC B)
 

MenSlash

Nuevo Miembro
Miembro
Quiero decirles que es la primera vez que utilizo un foro como este para resolver mi problema y que estoy realmente sorprendido, y ademas recomiendo ampliamente que lo utilizen, ya que si le dan solucion a los problemas.

Gracias Alnitak y Arwin fue de gran ayuda sus consejos por fin desaparecio esa molesta barra ...!!! :D
 
Estado
Cerrado para nuevas respuestas
Arriba Pie