• Este sitio usa cookies. Para continuar usando este sitio, se debe aceptar nuestro uso de cookies. Más información.

searchweb2 como eliminarlo

Estado
Cerrado para nuevas respuestas

Gonzalo

Nuevo Miembro
Miembro
#1
Hola, quisiera saber si alguien sabe como sacar la pagina de inicio de searchweb2, ya he probado con varios programas pero vuelva al reiniciar la maquína, probe con el cwshredder, con el spybot (search & destroy) y con el HijackThis, el unico que me dio resultado fue el hijackthis pero cuando reinicio la maq. aparece nuevamente, creo que me esta faltando borrar algo pero no lolgro deducir qué es, apreciaria toda informacion, desde ya muchas gracias.

PD:_tambien desde que aparecio este problema cuando me encuentro navegando el internet explorer se cuelga, (aparece una ventana diciendo que el programa a efectuado una operacion no valida y debe cerrarse, también pregunta si quiero o no enviar los errores)
 

alnitak

Ex-Admin
Miembro
#2
Colocame aquí el log del hijackthis para ver si podemos ayudarte y ya que dices que se vuelve a instalar bajate esta otra herramienta:

StartupList

y colocame también ese log para ver como se reinstala en el arranque del sistema.
 

Gonzalo

Nuevo Miembro
Miembro
#3
Disculpa mi ignorancia pero no tengo ni idea de como mandarte el log, apreciaria si pudieras indicarme paso a paso cómo se hace, gracias.
 

alnitak

Ex-Admin
Miembro
#4
Al escanear con el hijackthis este te arrojará unos resultados, dale al boton save log y te los salvará en un archivo de texto con extension log, ese es el log, simplemente copias el contenido y lo posteas aquí para verlo
 

Gonzalo

Nuevo Miembro
Miembro
#5
Acá te mando el resultado del "STARTUPLIST", (el log del hijackthis es el que no se como mandar), otra vez gracias.

StartupList report, 15/07/04, 07:05:11 p.m.

StartupList version: 1.52

Started from : C:\MIS DOCUMENTOS\NUEVA CARPETA\STARTUPLIST.EXE

Detected: Windows 98 SE (Win9x 4.10.2222A)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\WINMODEM.101\wmexe.exe

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG6\AVGSERV9.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG6\AVGCC32.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWJUNKPOKE\BALL LOUD.EXE

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\EFFICIENT NETWORKS\ENTERNET 300\APP\ENTERNET.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\MIS DOCUMENTOS\NUEVA CARPETA\STARTUPLIST.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\WINDOWS\Menú Inicio\Programas\Inicio]

Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun

TaskMonitor = C:\WINDOWS\taskmon.exe

SystemTray = SysTray.Exe

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

LoadQM = loadqm.exe

AVG_CC = C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG6\avgcc32.exe /startup

QuickTime Task = "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

Greylove = C:\ARCHIV~1\WINDOW~3\Ball Loud.exe

Zone Labs Client = "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

winmodem = WINMODEM.101\wmexe.exe

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

Avgserv9.exe = C:\ARCHIV~1\GRISOFT\AVG6\Avgserv9.exe

TrueVector = C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

MessengerPlus3 = "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Yahoo! Pager = C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=

run=C:\WINDOWS\SYSTEM\cmmpu.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=Explorer.exe

SCRNSAVE.EXE=

drivers=mmsystem.dll power.drv

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:

(Created 27/6/2004, 21:59:24)

[rename]

NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

C:\WINDOWS\SYSTEM\VSXML.DLL=C:\WINDOWS\SYSTEM\~GLH0020.TMP

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

C:\ARCHIV~1\GRISOFT\AVG6\bootup.exe

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)

mode con codepage select=850

keyb la,,C:\WINDOWS\COMMAND\keyboard.sys

C:\WINDOWS\SYSTEM\setaudio /S

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YCOMP5_2_3_0.DLL - {02478D38-C3F9-4efb-9B51-7695ECA05670}

(no name) - C:\ARCHIVOS DE PROGRAMA\COOLLOGOSTART\CITYBIAS.DLL - {22B6B2ED-3525-93E9-F3A7-3CDE89C48D38}

(no name) - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX

CODEBASE = http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[ActiveScan Installer Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\ASINST.DLL

CODEBASE = http://www.pandasoftware.com/activescan/as5/asinst.cab

[Update Class]

InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/...7990.4044907407

[iPIX Media Send Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\IPIX-IMAGEWELL-IPIX.DLL

CODEBASE = http://216.249.24.60/code/iPIX-ImageWell-ipix.cab

[YInstStarter Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YINSTHELPER.DLL

CODEBASE = http://download.yahoo.com/dl/installs/yinst0309.cab

[YahooYMailTo Class]

InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YMMAPI.DLL

CODEBASE = http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll

[PremiumHTML Class]

InProcServer32 = C:\WINDOWS\DOWNLO~1\IBEROD~1.DLL

CODEBASE = http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

[{33564D57-0000-0010-8000-00AA00389B71}]

CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

[QuickTime Object]

InProcServer32 = C:\WINDOWS\SYSTEM\QTPLUGIN.OCX

CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------

End of report, 6.428 bytes

Report generated in 4,470 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only
 

alnitak

Ex-Admin
Miembro
#6
Hola. Para ver bien necesito que me coloques el log del hijackthis, en el post anterior te he explicado como tomarlo, creo que no lo has llegado a leer porque hemos posteado casi al mismo tiempo

Al escanear con el hijackthis este te arrojará unos resultados, dale al boton save log y te los salvará en un archivo de texto con extension log, ese es el log, simplemente copias el contenido y lo posteas aquí para verlo
De todo modo y mientras me coloques el otro log para tratar de remover el searchweb2 fijate en esto:

C:\WINDOWS\WININIT.BAK listing:

(Created 27/6/2004, 21:59:24)

[rename]

NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

C:\WINDOWS\SYSTEM\VSXML.DLL=C:\WINDOWS\SYSTEM\~GLH0020.TMP

es un malware instalado por varios programas freeware entre los cuales la versión free de zone alarm y segun dicen la versión free del mismo Ad Aware, deberias remover esas entradas de ese archivo.

Aclarame también si esta carpeta le corresponde a algún programa legal que tu has instalado:

C:\ARCHIVOS DE PROGRAMA\WINDOWJUNKPOKE

Yo no se que es pero no me pinta bien.

Si no lo has instalado tu, respalda tu registro y después abre el regedit, navega hasta la rama:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

elimina esta entrada:

Greylove = C:\ARCHIV~1\WINDOW~3\Ball Loud.exe

Reinicia la PC y elimina esa carpeta.

Aclarame también a que le corresponde esta carpeta:

C:\ARCHIVOS DE PROGRAMA\COOLLOGOSTART

Espero que me coloques el log del hijackthis, un saludo
 

Gonzalo

Nuevo Miembro
Miembro
#7
Estos son los reultados del HijackThis, con respecto a esos archivos que me preguntas no tengo ni idea de que son, pero tratare de averiguarlo y te respondo lo antes posible, saludos.

Logfile of HijackThis v1.98.0

Scan saved at 06:17:34 p.m., on 16/07/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\WINMODEM.101\wmexe.exe

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG6\AVGSERV9.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG6\AVGCC32.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWJUNKPOKE\BALL LOUD.EXE

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\EFFICIENT NETWORKS\ENTERNET 300\APP\ENTERNET.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\MIS DOCUMENTOS\NUEVA CARPETA\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?http://www.montevideo.com.uy/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customize/...://my.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YCOMP5_2_3_0.DLL

O2 - BHO: FIND FILE OPEN - {22B6B2ED-3525-93E9-F3A7-3CDE89C48D38} - C:\ARCHIVOS DE PROGRAMA\COOLLOGOSTART\CITYBIAS.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YCOMP5_2_3_0.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [AVG_CC] C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG6\avgcc32.exe /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Greylove] C:\ARCHIV~1\WINDOW~3\Ball Loud.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\RunServices: [winmodem] WINMODEM.101\wmexe.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\ARCHIV~1\GRISOFT\AVG6\Avgserv9.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O8 - Extra context menu item: Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YHEXBMES0411.DLL

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YHEXBMES0411.DLL

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F7A05BAC-9778-410A-9CDE-BFBD4D5D2B7F} (iPIX Media Send Class) - http://216.249.24.60/code/iPIX-ImageWell-ipix.cab

O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
 

alnitak

Ex-Admin
Miembro
#8
Cierra todos los exploradores, tanto los exploradores web como el de windows

Corre el hijackthis

Marca las casillas correspondientes a estas entradas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...tevideo.com.uy/

O2 - BHO: FIND FILE OPEN - {22B6B2ED-3525-93E9-F3A7-3CDE89C48D38} - C:\ARCHIVOS DE PROGRAMA\COOLLOGOSTART\CITYBIAS.DLL

O4 - HKLM\..\Run: [Greylove] C:\ARCHIV~1\WINDOW~3\Ball Loud.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

Dale a Fix

Elimina los archivos temporales y cookies.

Reinicia a prueba de fallos y elimina estas carpetas:

C:\ARCHIVOS DE PROGRAMA\COOLLOGOSTART

C:\ARCHIVOS DE PROGRAMA\WINDOWJUNKPOKE

Vuelve a eliminar los archivos temporales justo para estar mas seguros.

Reinicia y dime si se ha arreglado.
 
L

luisdaniel80

Guest
#10
Hola que tal, yo también tengo el mismo problema... podrías ayudarme a solucionarlo?

esto es lo que me arrojo...

Logfile of HijackThis v1.97.7

Scan saved at 12:06:04 a.m., on 27/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\a.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\System32\svchost.exe

c:\archiv~1\intern~1\iexplore.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Palm\Hotsync.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\All Users\Documentos\Mi música\Sample Music\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?http://www.google.co.ve/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: Core Library - {F281FFC7-6C63-4bf9-83F2-AB7A6157B109} - C:\WINDOWS\System32\KDP6f45.dll

O2 - BHO: (no name) - {F47CEC6E-9C84-FD3A-0279-9FB7630DAD8E} - C:\ARCHIV~1\AXISBI~1\Win meta.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load

O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe

O4 - HKLM\..\Run: [systray] C:\WINDOWS\System32\a.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [cast army] C:\ARCHIV~1\LIVEGL~1\PING BAGS TEAM.exe

O4 - HKLM\..\Run: [tuheh] C:\WINDOWS\tuheh.exe

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater (required)] regsvr32 /s C:\WINDOWS\System32\KDP6f45.dll

O4 - HKLM\..\Run: [free bits one 32] C:\Documents and Settings\All Users\Datos de programa\THUNKANTIFREEBITS\readmetons.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: HotSync Manager.lnk = C:\Archivos de programa\Palm\Hotsync.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab

O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab

O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Yahoo! Fotos – Carga fácil de fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/...ropper1_3e1.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8013.7936226852

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Gracias...
 

alnitak

Ex-Admin
Miembro
#11
Hola. En realidad no tienes el mismo problema, tu sistema está bastante peor.

te aconsejo que empieces por remover el Belt siguiendo estas instrucciones:

http://www.vsantivirus.com/troj-adware-binet.htm

Despuéscrea una nueva carpeta en C:\ con el nombre que quieras y pega allí el hijackthis, por cierto estás usando una versión vieja, ya está disponible la versión 1.98.

El objeto de meter el hijackthis en su propria carpeta es que este guarda respaldos para restaurar los cambios si algo sale mal y si lo dejas entre tus archivos de música facilmente te confundirás.

Desactiva la opción de restaurar el sistema, cierra todos los navegadores y ejecuta el hijackthis(si no quieres desactivar la opción de restaurar el sistema entonces reinicia el sistema en modo seguro y ejecuta el hijacthis)

Cheka estas entradas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...w.google.co.ve/

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)

O2 - BHO: Core Library - {F281FFC7-6C63-4bf9-83F2-AB7A6157B109} - C:\WINDOWS\System32\KDP6f45.dll

O2 - BHO: (no name) - {F47CEC6E-9C84-FD3A-0279-9FB7630DAD8E} - C:\ARCHIV~1\AXISBI~1\Win meta.exe

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load

O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe

O4 - HKLM\..\Run: [systray] C:\WINDOWS\System32\a.exe

O4 - HKLM\..\Run: [cast army] C:\ARCHIV~1\LIVEGL~1\PING BAGS TEAM.exe

O4 - HKLM\..\Run: [tuheh] C:\WINDOWS\tuheh.exe

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater (required)] regsvr32 /s C:\WINDOWS\System32\KDP6f45.dll

O4 - HKLM\..\Run: [free bits one 32] C:\Documents and Settings\All Users\Datos de programa\THUNKANTIFREEBITS\readmetons.exe

NOTA IMPORTANTE: estoy asumiendo que el contenido de las carpetas C:\ARCHIV~1\LIVEGL~1\ y C:\ARCHIV~1\AXISBI~1\ es ilegal ya que me son totalmente desconocidas y no hay razones para que existan esas claves que son bastante bastante sospechosas y ademas serían inecesarias aunque los programas sean legales, si esas carpetas le corresponden a programas legales que has instalado no chequees esas 2 entradas.

Dale a Fix

Elimina los archivos temporales y cookies

Reinicia a prueba de fallos

Elimina fisicamente las 2 carpetas de arriba (si son ilegales), la carpeta: C:\Documents and Settings\All Users\Datos de programa\THUNKANTIFREEBITS\ y los archivos:

C:\WINDOWS\System32\KDP6f45.dll

C:\WINDOWS\System32\bridge.dll

C:\WINDOWS\Belt.exe (este si no lo has eliminado ya siguiendo las instrucciones anteriores de la pagina que te he indicado)

C:\WINDOWS\System32\a.exe

C:\WINDOWS\tuheh.exe

Vuelve a borrar los archivos temporales, reinicia normalmente, vuelve a activar la opción de restaurar el sistema y dime si el problema se ha arreglado.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusion, abran un nuevo tema para plantear su problema y posteen su log allí.</span>
 
C

crisbass

Guest
#12
yo también tengo eL MISMO PROBlema pero no dispongo de esos programas de LOS logs

aLGUIEN PUEDE AYUDARME?

CONTESTAD :(
 

alnitak

Ex-Admin
Miembro
#13
Te los puedes bajar aquí:

https://www.trucoswindows.net/descargas/hijackthis/

Cierro este tema porque imagino que luisdaniel80 habrá solucionado su problema ya que no ha vuelto a postear y estoy cansado de repetirlo y de pasarme el día separando los temas:

Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusion, abran un nuevo tema para plantear su problema y posteen su log allí.</span>
 

alnitak

Ex-Admin
Miembro
#14
Voy a agregar este último post porque veo que el tema del websearch2 está muy movido y esta peste está haciendo estragos en estos días.

Tomen en cuenta que muy pronto podrían actualizar la versión del Websearch2 y esto que voy a decir podría cambiar.

El Websearch2 crea básicamente 3 carpetas.

2 carpetas con nombres aleatorios en: C:\archivos de Programa\

En Windows Xp también crea:

1 carpeta con nombre aleatorio en: C:\Documents and Settings\All Users\Datos de programa\

Removerlo hasta ahora es sencillo, simplemente tomamos el log del hijackthis

Nos fijamos en cuales son las carpetas:

Normalmente habrán una entrada muy parecidas a estas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...w.google.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.vcppyxweismsgk.com/kNAkAm3rc2AR...vdYpXWU9Hyq.htm

O2 - BHO: (no name) - {D1B9627A-75E1-6EF2-F681-B38DDBE43B67} - C:\ARCHIV~1\ATOMIS~1\date log.exe

Y otro par de entradas parecidas a estas:

O4 - HKLM\..\Run: [FIVECLOCK] C:\ARCHIV~1\IDOLHO~1\chin shim.exe

O4 - HKLM\..\Run: [bowsmp3citystupid] C:\Documents and Settings\All Users\Datos de programa\Exit bat bows mp3\1delete.exe

Fíjense en los nombres de las carpetas y de los ejecutables que al ser aleatorios son siempre nombres muy raros y fácilmente identificables.

Tendremos entonces que cerrar todos los navegadores, después checar estas entradas con el hijackthis y darle a fix, después reiniciamos el sistema en modo seguro y eliminamos físicamente esas 3 carpetas y todo su contenido

Esto debería ser suficiente para remover el websearch2.

Si se fijan en los logs que se han posteado los demás y notan que he mandado a remover muchas mas entradas de esas 5, sepan que esas otras entradas no les corresponden al websearch2 sino a otros spywares, adwares, dialers, troyanos y demás bichos presentes en esos sistemas, esas 5 son las únicas que coloca el websearch2 en la actual versión y a veces no están las 5 presentes, eso si, fíjense en la fecha de este post porque puede salir otra versión en cualquier momento y el método de infección puede cambiar

Si tienen dudas y prefieren postear el log para que sea revisado simplemente regístrense en esta web, es gratis y garantizamos el anonimato de sus datos de registro, abran otro tema en este mismo foro de seguridad y posteen allí su log, pero por favor no posteen sus logs donde ya los haya hecho otra persona para no confundir las cosas.
 
Estado
Cerrado para nuevas respuestas