Eliminar Search2Web

Estado
Cerrado para nuevas respuestas

lbaroncelli

Nuevo Miembro
Miembro
#1
Hola.. Perdon por haber posteado en una discusion anterior. Por eso cree esta nueva.

Necesitaria que alguien me diga como solucionar el mismo problema de todos.. Como eliminar el search2web de la pagina inicial que se me ejecuta cada vez que se abre una ventana de iexplorer. A su vez, eliminar la barra de tareas del search2web, así como todo lo que tenga que ver con esto.

Mando los 2 archivos Log con los softwares StartupList y Hijackthis. Los genere con todos los browsers cerrados.

1)StartupList:

***********

StartupList report, 29/07/2004, 01:58:16 p.m.

StartupList version: 1.52

Started from : C:\Bajados\StartupList.EXE

Detected: Windows 2000 SP4 (WinNT 5.00.2195)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe

C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

C:\Program Files\Panda Software\AVTC\pavsrv50.exe

C:\WINNT\system32\regsvc.exe

C:\Program Files\Panda Software\AVTC\AVENGINE.EXE

C:\WINNT\system32\r_server.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\inetsrv\inetinfo.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\sistray.EXE

C:\WINNT\System32\khooker.exe

C:\WINNT\system32\pctspk.exe

C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe

C:\Program Files\Panda Software\AVTC\ClShield.exe

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

C:\WINNT\system32\internat.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Panda Software\AVTC\SRVLOAD.EXE

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Panda Software\AVTC\WebProxy.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Bajados\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:

[C:\Documents and Settings\All Users.WINNT\Start Menu\Programs\Startup]

Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon

SiS Tray = C:\WINNT\System32\sistray.EXE

SiS KHooker = C:\WINNT\System32\khooker.exe

PCTVOICE = pctspk.exe

SCDeluxeMenu = D:\Setup.exe

MMTray = C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe

APVXDWIN = "C:\Program Files\Panda Software\AVTC\ClShield.exe"

MessengerPlus3 = "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

Locks Name = C:\PROGRA~1\MEMOLI~1\cake idol.exe

Mess Hold Beep Cool = C:\Documents and Settings\All Users.WINNT\Application Data\Idle Phone Mess Hold\forkhope.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=(NONE)

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - (no file) - {000006B1-19B5-414A-849F-2A3C64AE6939}

(no name) - C:\PROGRA~1\MULTIF~1\sign info.exe - {C67C5695-9B16-0C9B-6013-2AACB18D7A50}

--------------------------------------------------

Enumerating Task Scheduler jobs:

A7B3289D9184A1CD.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave ActiveX Control]

InProcServer32 = C:\WINNT\system32\Macromed\Director\SwDir.dll

CODEBASE = http://fpdownload.macromedia.com/get/shock...director/sw.cab

[ActiveScan Installer Class]

InProcServer32 = C:\WINNT\Downloaded Program Files\asinst.dll

CODEBASE = http://www.pandasoftware.com/activescan/as5/asinst.cab

[Update Class]

InProcServer32 = C:\WINNT\System32\iuctl.dll

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/...7949.3833796296

[Shockwave Flash Object]

InProcServer32 = C:\WINNT\system32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll

WebCheck: C:\WINNT\System32\webcheck.dll

SysTray: stobject.dll

--------------------------------------------------

End of report, 5.643 bytes

Report generated in 0,080 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only

**********

2)Hijackthis:

**********

Logfile of HijackThis v1.97.7

Scan saved at 01:58:08 p.m., on 29/07/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe

C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

C:\Program Files\Panda Software\AVTC\pavsrv50.exe

C:\WINNT\system32\regsvc.exe

C:\Program Files\Panda Software\AVTC\AVENGINE.EXE

C:\WINNT\system32\r_server.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\inetsrv\inetinfo.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\sistray.EXE

C:\WINNT\System32\khooker.exe

C:\WINNT\system32\pctspk.exe

C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe

C:\Program Files\Panda Software\AVTC\ClShield.exe

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

C:\WINNT\system32\internat.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Panda Software\AVTC\SRVLOAD.EXE

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Panda Software\AVTC\WebProxy.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Bajados\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?http://www.yahoo.com.ar/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.miplpefcpwwa.net/gOqocm1KUp/e9r...VFib2BCCh/0.htm

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)

O2 - BHO: (no name) - {C67C5695-9B16-0C9B-6013-2AACB18D7A50} - C:\PROGRA~1\MULTIF~1\sign info.exe

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [SCDeluxeMenu] D:\Setup.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\AVTC\ClShield.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Locks Name] C:\PROGRA~1\MEMOLI~1\cake idol.exe

O4 - HKLM\..\Run: [Mess Hold Beep Cool] C:\Documents and Settings\All Users.WINNT\Application Data\Idle Phone Mess Hold\forkhope.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O12 - Plugin for .bcf: C:\Program Files\Internet Explorer\Plugins\NPBelv32.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shock...director/sw.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...7949.3833796296

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Alius.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{DC6514D2-0212-4177-9FF9-C527C26BE991}: NameServer = 200.42.0.108,200.42.0.109

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Alius.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Alius.local

**********

Gracias!!!..
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Abre el administrador de tareas y si existen termina estos procesos:

Setup.exe

cake idol.exe

forkhope.exe

Desactiva la opción de restaurar el sistema, para hacerlo:

Tecla Ctrl + tecla de pausa>>pestaña restaurar el sistema>>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

o

Inicio>>Control Panel>>Sistema>>pestaña restaurar el sistema>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.grrgmgbowsudntig.net/gOqocm1KUp...1Fib2BCCh/0.php

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)

O2 - BHO: (no name) - {C67C5695-9B16-0C9B-6013-2AACB18D7A50} - C:\PROGRA~1\MULTIF~1\sign info.exe

O4 - HKLM\..\Run: [SCDeluxeMenu] D:\Setup.exe

O4 - HKLM\..\Run: [Locks Name] C:\PROGRA~1\MEMOLI~1\cake idol.exe

O4 - HKLM\..\Run: [Mess Hold Beep Cool] C:\Documents and Settings\All Users.WINNT\Application Data\Idle Phone Mess Hold\forkhope.exe

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Alius.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Alius.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Alius.local

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde lla pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Reinicia en modo seguro

Elimina completamente estas carpetas:

C:\PROGRA~1\MEMOLI~1\ (el nombre exacto velo tu ya que el hijackthis lo corta a 8 caracteres)

C:\PROGRA~1\MULTIF~1\ (el nombre exacto velo tu ya que el hijackthis lo corta a 8 caracteres)

C:\Documents and Settings\All Users.WINNT\Application Data\Idle Phone Mess Hold\

Y elimina este archivo:

D:\Setup.exe

Reinicia normalmente, vuelve a activar la opción de restaurar el sistema.

IMPORTANTE: el r_server.exe es el server del RAdmin, imagino que lo habrás instalado tu, de no ser así, deberás removerlo ya que la seguridad de tu sistema ha sido violada.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

lbaroncelli

Nuevo Miembro
Miembro
#3
Gracias por responder tan rapido..

Un par de aclaraciones:

1) Cambie los logs que postee antes porque no me salia esta entrada en el Hijackthis que ahora si me sale: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...w.yahoo.com.ar/

Los logs a analizar están en el post del Jul 29 2004, 05:34 PM.

Fijate que lo que analizaste vos no coincide con los logs posteados en esta discusion (por ahi, hay diferencias muy sutiles y si esto no importa, confirmame así sigo). Por ejemplo, la entrada que te puse aca arriba, no me la mencionaste en tu respuesta.

Disculpa por estas desprolijidades y espero que me puedas seguir ayudando.

2) No tengo eso de la pestaña para Restaurar Sistema segun me indicas..

Mi SO es W2000 Professional por si acaso.

Si este paso no importa para seguir con todo lo demas que me dijiste, avisame. Sino, espero respuestas.

3) El RAdmin lo instale yo. Gracias por preocuparte igual.

Muchas Gracias de nuevo.
 

alnitak

Ex-Admin
Miembro
#4
Hola lbaroncelli, ya vas entendiendo porque no me gusta que me posteen los logs juntos, después me lio y confundo un log con el otro cuando voy revisandolo o copiando las entradas para pegarlas en la respuesta :eek:

Cambia la entrada por la otra y olvida eso de restaurar el sistema, un saludo y suerte.
 

lbaroncelli

Nuevo Miembro
Miembro
#5
Mil gracias alnitak!!

Ya esta resuelto el problema. Aunque no encontré ningún D:\Setup.exe para eliminar. No se a que archivo te referiste cuando me dijiste que lo eliminara.

De todas formas, por ahora parece que se soluciono.

Muy buen trabajo!!!.. Gracias y hasta pronto!..
 

alnitak

Ex-Admin
Miembro
#6
Weno , creo que me he liado un poco con los nombres porque he revisado tu log mientras estaba con los otros 2 en el otro tema :eek: pero todo es bien lo que termina bien :D

Un saludo y a cuidarse :D
 
Estado
Cerrado para nuevas respuestas
Arriba Pie