searchweb2

Estado
Cerrado para nuevas respuestas

CHAMAN_CL

Nuevo Miembro
Miembro
#1
nuevecito por estos lados y ya inchando, beno estuve leyendo los post pero no encontré las carpetas :confused: así que si me pueden ayudar a eliminarlo gracias B) aquí va la informacion.

Logfile of HijackThis v1.98.1

Scan saved at 16:55:19, on 06-08-2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\ARCHIV~1\MICROS~3\GAMECO~1\STRATE~1\daemon14.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\System32\MSIupdate.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\MSIupdate.exe

C:\Archivos de programa\MSI\PC Alert 4\PCAlert4.exe

c:\archiv~1\intern~1\iexplore.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\MSI\PC Alert 4\CoolerXP.exe

C:\WINDOWS\system32\spoolsv.exe

C:\programas\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...ww.hotmail.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gjytsycfnkvlw.net/vL0PpotqBdelf...NeIOBTVy_s.html

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {79500A3B-6AF7-6BB8-DD9F-3E903A3B0704} - C:\ARCHIV~1\CDROMS~1\hope 4.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [Daemon14] C:\ARCHIV~1\MICROS~3\GAMECO~1\STRATE~1\daemon14.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [Video Process] MSIupdate.exe

O4 - HKLM\..\Run: [namebarb] C:\ARCHIV~1\AXISAM~1\sendsurfpoll.exe

O4 - HKLM\..\RunServices: [Video Process] MSIupdate.exe

O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti16.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Video Process] MSIupdate.exe

O4 - HKCU\..\Run: [Microsoft Update] syscfg.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: PC Alert 4.lnk = C:\Archivos de programa\MSI\PC Alert 4\PCAlert4.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Herramienta de carga de Yahoo! Fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/...ropper1_3es.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D8A0F5B8-AA9D-47E7-9566-A09BC54EE500}: NameServer = 200.28.4.129 200.28.4.130
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
NOTA: Para poder ver archivos y carpetas ocultas en XP tenemos que abrir: MI PC>>menú herramientas>>opciones de carpeta>>pestaña Ver>>marcar las casillas de Mostrar todos los archivos y carpetas ocultas y Mostrar el contenido de las carpetas de sistema.
Hola, estas infectado por varios gusanos, por favor intenta primero pasar un antivirus actualizado para ver si los remueve:

Después crea una nueva carpeta y Salva el HijackThis en ella para que guarde ahí los respaldos, lo típico es C:\HijackThis\

Reinicia el sistema en modo seguro, para eso presiona F8 antes que el sistema se empiece a cargar y en el menú elige entrar en modo seguro.



Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

Termina estos procesos si existen(no deberian estar pero mejor asegurarse)

MSIupdate.exe Probablemente algúna variante nueva del W32/Gaobot

MSlti16.exe Probablemente algúna variante del WORM_RBOT.EB

syscfg.exe exe W32/Gaobot.DA http://www.vsantivirus.com/gaobot-da.htm

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

[Video Process] MSIupdate.exe

[namebarb] C:\ARCHIV~1\AXISAM~1\sendsurfpoll.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

O4 - HKLM\..\RunServices: [Video Process] MSIupdate.exe

O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti16.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

O4 - HKCU\..\Run: [Video Process] MSIupdate.exe

O4 - HKCU\..\Run: [Microsoft Update] syscfg.exe

Desactiva la opción de restaurar el sistema, para hacerlo:

Tecla Ctrl + tecla de pausa>>pestaña restaurar el sistema>>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

o

Inicio>>Control Panel>>Sistema>>pestaña restaurar el sistema>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix. (las que todavía estén presentes)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...ww.hotmail.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gjytsycfnkvlw.net/vL0PpotqBdelf...NeIOBTVy_s.html

O2 - BHO: (no name) - {79500A3B-6AF7-6BB8-DD9F-3E903A3B0704} - C:\ARCHIV~1\CDROMS~1\hope 4.exe

O4 - HKLM\..\Run: [Video Process] MSIupdate.exe

O4 - HKLM\..\Run: [namebarb] C:\ARCHIV~1\AXISAM~1\sendsurfpoll.exe

O4 - HKLM\..\RunServices: [Video Process] MSIupdate.exe

O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti16.exe

O4 - HKCU\..\Run: [Video Process] MSIupdate.exe

O4 - HKCU\..\Run: [Microsoft Update] syscfg.exe

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde lla pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Reinicia en modo seguro

Elimina completamente estas carpetas:

C:\Archivos de programa\ AXISAM \ Websearch2 (el nombre completo velo tu ya que el hijackthis lo ha cortado)

C:\Archivos de programa\ CDROMS \ Websearch2 (el nombre completo velo tu ya que el hijackthis lo ha cortado)

Elimina también estos archivos:

MSIupdate.exe

MSlti16.exe

syscfg.exe

Reinicia normalmente, vuelve a activar la opción de restaurar el sistema y colocanos el nuevo log

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

CHAMAN_CL

Nuevo Miembro
Miembro
#3
pare que todo listo las carpetas no estaban ni los 2 últimos archivos, pero ya no aparece el searchweb2 aka va el nuevo informe pa que me digas si ta todo bien o quedo algúna cosa, y te pasaste loko muchas gracias.

Logfile of HijackThis v1.98.1

Scan saved at 20:19:55, on 06-08-2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\ARCHIV~1\MICROS~3\GAMECO~1\STRATE~1\daemon14.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSI\PC Alert 4\PCAlert4.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\Archivos de programa\MSI\PC Alert 4\CoolerXP.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\programas\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [Daemon14] C:\ARCHIV~1\MICROS~3\GAMECO~1\STRATE~1\daemon14.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Video Process] MSIupdate.exe

O4 - HKCU\..\Run: [Microsoft Update] syscfg.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: PC Alert 4.lnk = C:\Archivos de programa\MSI\PC Alert 4\PCAlert4.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Herramienta de carga de Yahoo! Fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/...ropper1_3es.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D8A0F5B8-AA9D-47E7-9566-A09BC54EE500}: NameServer = 200.28.4.129 200.28.4.130
 

alnitak

Ex-Admin
Miembro
#4
Ya no estás infectado, pero te faltó chequear esta entrada:

O4 - HKCU\..\Run: [Video Process] MSIupdate.exe

hazlo ahora y dale a fix.

Si ya has borrado el archivo MSIupdate.exe esa entrada no es peligrosa ni hace nada pero es mejor quitarla

Sobre las carpetas que no están te aseguro que si están o no te habria salido el websearch2, fijate en lo que he colocado, que busques el nombre exacto ya que el Hijackthis lo ha cortado y no te lo puedo decir yo.

Un truco para encontrarlas es ejecutar una busqueda de los archivos que contienen, en este caso ejecuta una busqueda por:

hope 4.exe

y

sendsurfpoll.exe

así encontrarás las carpetas. Ya no estas infectado pero si repicas uno de esos ejecutables por error te volverás a infectar así que mucho mejor si los eliminas definitivamente.
 

CHAMAN_CL

Nuevo Miembro
Miembro
#5
con el hope no encontro nada con el otro encontro este archivo...SENDSURFPOLL.EXE-005C4184.pf que esta en C:\WINDOWS\Prefetch, no se si eliminarlo o na que ver me avisas = voy a buscar bien las carpetas que dijiste y gracias.
 

alnitak

Ex-Admin
Miembro
#6
Fijate en lo que salia en tu primer log

O2 - BHO: (no name) - {79500A3B-6AF7-6BB8-DD9F-3E903A3B0704} - C:\ARCHIV~1\CDROMS~1\hope 4.exe

Si el archivo no hubiera existido habria salido así

O2 - BHO: (no name) - {79500A3B-6AF7-6BB8-DD9F-3E903A3B0704} - C:\ARCHIV~1\CDROMS~1\hope 4.exe (file missing)

Osea con el (file missing) al final, por lo tanto el archivo debe existir, de todo modo da igual, ya hemos removido esa entrada y no estás infectado, solo procura no repicar archivos raros que puedas encontrar en tu PC y no tendrás problemas ademas en cualquier momento programas antispywares como Ad Aware y Spybot se enterarán de la existencia del websearch2 y sacarán actualizaciones que lo remuevan con archivos y todo por lo tanto no problem, bajate un antispyware y correlo de vez en cuando, eso es todo.

Un saludo
 
Estado
Cerrado para nuevas respuestas
Arriba Pie