Problemas con SEARCH FOR...

Estado
Cerrado para nuevas respuestas

sweettooth

Nuevo Miembro
Miembro
#1
Muy buenas forer@s.

Soy nuevo por este sitio, y creo que me podréis ayudar con el problema que tengo.

Es el famoso SEARCH FOR. Un día tocando en el registro conseguí que se quitara pero al reiniciar ya estaba como siempre. He probado con varios antivirus y nada.

Aquí tenéis lo que me ha dicho el HijackThis, supongo que habrá algo que sobra...
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.97.7

Scan saved at 14:29:32, on 23/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe

C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe

C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe

C:\Archivos de programa\FSI\F-Prot\F-Sched.exe

C:\Archivos de programa\FSI\F-Prot\F-StopW.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe

C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe

C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe

C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)

O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll (file missing)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {37AE3E78-B133-08C2-D607-60557BA12110} - C:\WINDOWS\System32\ikjap.dll

O2 - BHO: (no name) - {81AE33C6-5BF1-432D-B668-375B0F8CB37A} - C:\WINDOWS\System32\gmac.dll

O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll

O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Archivos de programa\SideFind\sfbho.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll

O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll

O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"

O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"

O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run

O4 - HKLM\..\Run: [SpyHunter] C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunter.exe

O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Archivos de programa\FSI\F-Prot\F-Sched.exe STARTUP

O4 - HKLM\..\Run: [F-StopW] C:\Archivos de programa\FSI\F-Prot\F-StopW.EXE

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: SideFind (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{041CAEFD-7E57-4718-BD22-C9C108D6197D}: NameServer = 172.26.23.66,80.58.192.4

O17 - HKLM\System\CS1\Services\Tcpip\..\{041CAEFD-7E57-4718-BD22-C9C108D6197D}: NameServer = 172.26.23.66,80.58.192.4

O17 - HKLM\System\CS2\Services\Tcpip\..\{041CAEFD-7E57-4718-BD22-C9C108D6197D}: NameServer = 172.26.23.66,80.58.192.4
Uff, a ver si me ayudais a kitarme de encima el Searchfor... Muchas gracias
 

alnitak

Ex-Admin
Miembro
#2
A parte el search for estás infectado por unos cuantos adwares mas:
Insertar CODE, HTML o PHP:
MoneyTree http://www.doxdesk.com/parasite/MoneyTree.html

Troj/IstBar-M http://www.sophos.com/virusinfo/analyses/trojistbarm.html

Bargain Buddy http://www.doxdesk.com/parasite/BargainBuddy.html
Entra al panel control > agregar/remover programas y si está presente desinstala:

Bargain Buddy o un nombre parecido

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema: Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro: Como reiniciar a prueba de fallos

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:
Insertar CODE, HTML o PHP:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)

O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll (file missing)

O2 - BHO: (no name) - {37AE3E78-B133-08C2-D607-60557BA12110} - C:\WINDOWS\System32\ikjap.dll

O2 - BHO: (no name) - {81AE33C6-5BF1-432D-B668-375B0F8CB37A} - C:\WINDOWS\System32\gmac.dll

O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll

O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Archivos de programa\SideFind\sfbho.dll

O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll

O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll

O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

O9 - Extra button: SideFind (HKLM)

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:Disk Cleaner

O si prefieres te lo bajas desde la pagina del autor para asegurarte que sea la ultima versión (es freeware)
Insertar CODE, HTML o PHP:
http://www.xs4all.nl/~mp2004
Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\System32\ikjap.dll

C:\WINDOWS\System32\gmac.dll

C:\WINDOWS\wsem301.dll

C:\WINDOWS\System32\nvms.dll

C:\WINDOWS\System32\mscb.dll

C:\WINDOWS\System32\msbe.dll

Elimina estas carpetas y todo su contenido

C:\Archivos de programa\SideFind\
Busca el archivo Wininit.ini y si existe abrelo.

Si encuentras en el entradas maliciosas respaldalo, después elimina todas las entradas y salvalo.

Reinicia normalmente y reactiva la opción de restaurar el sistema.

Instala la ultima versión de Ad Aware, actualízalo y escanéate para que termine de limpiar.

Actualiza tu sistema a través del Windows Update

Posiblemente instala otro navegador y no uses el Internet Explorer a no ser indispensable.

Postea otro log después de seguir todas las instrucciones
 

sweettooth

Nuevo Miembro
Miembro
#3
Ha funcionado. Ya no estoy infectado por el searchfor...

Lo que me jode es que este tipo de virus solo están hechos para darle publicidad a ciertas empresas que pagan por ese tipo de publicidad. Es increíble que el departamento de marketing de una empresa decida que una gran manera de publicitarse es metiendose en los ordenadores de la gente de forma no permitida. A ver si empiezan a legislar contra esta serie de sinvergüenzas...

Por cierto, muchísimas gracias Alnitak
 
Estado
Cerrado para nuevas respuestas
Arriba Pie