SEARCHWEB2 (mi log)

Estado
Cerrado para nuevas respuestas

manolo_sativo

Nuevo Miembro
Miembro
#1
Esta la hice corriendo mi XP en modo seguro:

Logfile of HijackThis v1.98.2

Scan saved at 22:48:25, on 05-09-2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\animal\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://zizaioyzwpcmceu.us/R91ClEnzhCA90zHY...7qoAEld11Q.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - Default URLSearchHook is missing

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts

O1 - Hosts: 81.211.105.69 lender-search.com

O1 - Hosts: 81.211.105.68 hot-searches.com

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [four proxy] C:\ARCHIV~1\trayonce\Burn Axis.exe

O4 - HKLM\..\Run: [STOPHELPANTEOPTION] C:\Documents and Settings\All Users\Datos de programa\BLUE SEND STOP HELP\lies link.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Suitcase Startup.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: Corel Network monitor worker - {37C4C068-4797-40D9-B0A8-01B63033FB45} - (no file)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {37C4C068-4797-40D9-B0A8-01B63033FB45} - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094270386973

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O18 - Filter: text/html - {47359D43-2418-4DEA-AAF1-478FEB06A4A0} - C:\WINDOWS\System32\mhc.dll

O18 - Filter: text/plain - {47359D43-2418-4DEA-AAF1-478FEB06A4A0} - C:\WINDOWS\System32\mhc.dll

gracias
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Remueve el Websearch2 con esta herramienta:

http://lop.com/new_uninstall.exe

Después sigue estas instrucciones

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://zizaioyzwpcmceu.us/R91ClEnzhCA90zHY...7qoAEld11Q.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - Default URLSearchHook is missing

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts

O1 - Hosts: 81.211.105.69 lender-search.com

O1 - Hosts: 81.211.105.68 hot-searches.com

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [four proxy] C:\ARCHIV~1\trayonce\Burn Axis.exe

O4 - HKLM\..\Run: [STOPHELPANTEOPTION] C:\Documents and Settings\All Users\Datos de programa\BLUE SEND STOP HELP\lies link.exe

O18 - Filter: text/html - {47359D43-2418-4DEA-AAF1-478FEB06A4A0} - C:\WINDOWS\System32\mhc.dll

O18 - Filter: text/plain - {47359D43-2418-4DEA-AAF1-478FEB06A4A0} - C:\WINDOWS\System32\mhc.dll



Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:

Disk Cleaner

O si prefieres te lo bajas desde la pagina del autor para asegurarte que sea la ultima versión (es freeware)

http://www.xs4all.nl/~mp2004

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:

C:\WINDOWS\UpdReg.EXE

C:\WINDOWS\System32\mhc.dll

Elimina estas carpetas y todo su contenido(si no se han eliminado al ejecutar el remover):

C:\Archivos de programa\trayonce\

C:\Documents and Settings\All Users\Datos de programa\BLUE SEND STOP HELP\

Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

manolo_sativo

Nuevo Miembro
Miembro
#3
Gracias por tu respuesta...

hice todo lo que dijiste a esepcion de 2 cosas:

no pude remover searchweb2 con

http://lop.com/new_uninstall.exe

dice que mi sistema de seguridad no lo permite...

y no pude borrar el archivo mhc.dll, porque no estaba...

cuando abri el navegador no me salio la barra (eso ya es un logro)...

aque va mi nuevo log:

Logfile of HijackThis v1.98.2

Scan saved at 18:34:00, on 06-09-2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\AppServ\Apache\Apache.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\HijackThis.exe

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Suitcase Startup.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: Corel Network monitor worker - {37C4C068-4797-40D9-B0A8-01B63033FB45} - (no file)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {37C4C068-4797-40D9-B0A8-01B63033FB45} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O13 - DefaultPrefix:

O13 - WWW Prefix:

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094270386973

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

que es esto? :

O13 - DefaultPrefix:

O13 - WWW Prefix:

Gracias por tu ayuda !
 

alnitak

Ex-Admin
Miembro
#4
Buena pregunta, están vacias pero las entradas 013 siempre son malas:

Cheka las casillas de:

O13 - DefaultPrefix:

O13 - WWW Prefix:

y dale a fix

Por lo demas pareces estar limpio, no se que es esto:

O4 - Global Startup: Suitcase Startup.lnk = ?

pero imagino que será de algún programa que has instalado así que ya no deberías tener problemas.
 

manolo_sativo

Nuevo Miembro
Miembro
#5
pense que esto se había solucionado, pero hoy al abrir mi navegador, mi pag. de inicio es:

mk:mad:MSITStore:C:\spe\start.chm::/start.html#

entre al registro y modifique los archivos refertes a este tema ... pues nada !!..

adjuntro otro lo, haber si podéis ayudarme

Logfile of HijackThis v1.98.2

Scan saved at 21:42:39, on 07-09-2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Extensis\Suitcase\Suitcase.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\AppServ\Apache\Apache.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\HijackThis.exe

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Suitcase Startup.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094270386973

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

muchas gracias denuevo por su ayuda...

Animal...
 

alnitak

Ex-Admin
Miembro
#6
No veo nada, ya lo has removido ?

Tampoco es el mismo de antes, creo que deberías evitar ciertas webs si usas el Internet Explorer porque ciertos bugs de este navegador le permiten a estas webs hacer estas cosa, si necesitas entrar a ellas hazlo desde otro navegador, por ejemplo el Mozilla Firebird o el Opera, instala el Ad Aware y deja activado su modulo residente Ad Watch para prevenir cambios en el registro, asegurate que tu sistema esté actualizado, asegurate de limpiar los archivos temporales y cookies y si existe elimina la carpeta C:\spe\
 
Estado
Cerrado para nuevas respuestas
Arriba Pie