Se inician 2 sesiones de iexplore y la barra searchweb2

  • Autor rbilbaoa
  • Fecha de inicio
Estado
Cerrado para nuevas respuestas
R

rbilbaoa

Guest
Bueno. es mi primera vez...que me comunico con uds. Espero puedan ayudarme con el siguiente problema: Cada vez que inicio el equipo (tengo win 2000) se inician 2 sesiones de iexplore.exe y que cuando las elimino (con task manag) estas vuelven a aparecer, ademas cuando inicio cualquier sesión de internet se levanta la famosa barra searchweb2. Para ir ganando time adjunto log del hijackthis:

Logfile of HijackThis v1.99.0

Scan saved at 22:13:33, on 04-02-2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\KYE\Genius WebScroll Mouse\Emouse.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\Program Files\ahead\InCD\InCD.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\KYE\Genius WebScroll Mouse\gnetmous.exe

C:\WINNT\Mixer.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINNT\System32\svchost.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINNT\webshots.scr

C:\Hijackthis\HijackThiswww.trucoswindows.net]trucoswindows.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.idjoypbccrdut.info/_i8wEBYD8FT_...rNcF1LinJRO.cgi

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\svcinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Emouse] C:\Program Files\KYE\Genius WebScroll Mouse\Emouse.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"

O4 - HKLM\..\Run: [Gnetmous] C:\Program Files\KYE\Genius WebScroll Mouse\gnetmous.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Flaw About] C:\DOCUME~1\RICARD~1.BIL\APPLIC~1\BOOKIN~1\dartbagslove.exe

O4 - HKCU\..\Run: [BrowserSentinel2] "C:\Program Files\Browser Sentinel 2\BrowserSentinel.exe" -autorun

O4 - Startup: MP3 Dancer.lnk.disabled

O4 - Startup: SnS DeskMate.LNK = C:\Program Files\DeskMates\SnS\SnS.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk.disabled

O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled

O4 - Global Startup: Picture Package Menu.lnk.disabled

O4 - Global Startup: Picture Package VCD Maker.lnk.disabled

O4 - Global Startup: Service Manager.lnk.disabled

O4 - Global Startup: WinZip Quick Pick.lnk.disabled

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe

O12 - Plugin for .bmp: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: McAfee Framework Service - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Desde ya gracias...en el futuro espero ser un aporte.
 

Alhanna

Ex-Mod
Miembro
Prueba a hacer una pequeña limpieza con Ad-aware o Spybot.

Pincha aquí a lo mejor te interesa :D

Suerte :oops:
 

alnitak

Ex-Admin
Miembro
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola, estás infectado por un troyano, por favor revisa la información contenida en esta pagina:

http://securityresponse.symantec.com/avcen...door.sinit.html

Y sigue estos pasos descritos en ella para removerlo:

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respáldalo salvándolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegurate que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

En el panel derecho, doble clic sobre:

Userinit

Elimina en el campo del valor todo lo que está a la derecha de la coma, pero no elimines la coma, osea te encontrarás con este valor:

C:\WINNT\system32\userinit.exe,%System%\svcinit.exe

dejalo así

C:\WINNT\system32\userinit.exe,

NAvega ahora hasta encontrar y elimina esta clave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectPlugin

Cierra el editor de registro

Reinicia el sistema operativo y cambia inmediatamente todos tus passwords, después sigue estas instrucciones para remover el websearch2:

por favor, bájate e instala el Disk Cleaner

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:Como mostrar archivos ocultos

Reinicia el sistema en modo seguro:Como reiniciar a prueba de fallos

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Ejecuta el HijackThis 1.99.0, dale a Do a System Scan Only , revisa las casillas de las siguientes entradas y dale a fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.idjoypbccrdut.info/_i8wEBYD8FT_...rNcF1LinJRO.cgi

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html

O4 - HKCU\..\Run: [Flaw About] C:\DOCUME~1\RICARD~1.BIL\APPLIC~1\BOOKIN~1\dartbagslove.exe

Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files, Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Elimina estas carpetas y todo su contenido si todavía existen:
C:\Documents and Settings\RICARD~1.BIL\Application Data\BOOKIN~1\ ve tu el nombre exacto

Limpia la papelera.

Reinicia normalmente el sistema.

NOTAS:No estoy seguro de la legalidad de esta entrada:

O4 - Startup: SnS DeskMate.LNK = C:\Program Files\DeskMates\SnS\SnS.exe

Tienes también impuestas restricciones en el IExplorer,

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Si no las has impuesto tu entonces remueve también esas entradas

Actualiza tu sistema a través del Windows Update y bájate todas las actualizaciones críticas disponibles para tu sistema operativo.

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie