SOS

Estado
Cerrado para nuevas respuestas

coyotepatagonico

Nuevo Miembro
Miembro
#1
NECESITARIA LA ASTUSIA DE ALGUNO DE USTEDES, TENGO UN PUTO PROBLEMA CON UNA PAGINA WEB DE MIERDA QUE SE COLOCA COMO PAGINA DE INICIO DEL EXPLORER, EL CUAL LA VOLE DE TODOS LADOS POR DOS SEMANAS TODO BIEN Y EN ESTOS DIAS OTRA VEZ SE ME METIO A LA PC, LA PAGINA EN CUESTION ES http://searchweb2.com/, Y EL CUAL SE GUARDA *.TMP CONFIGDATA..

ALGUIEN POR DIOS SABE COMO MATAR ESTA PAGINA QUE ME LAS PELOTAS POR EL SUELO.

DESDE YA SE LOS AGRADESCO.
 

alnitak

Ex-Admin
Miembro
#3
Hola coyotepatagonico

Por favor, entiendo tu molestia pero los demas usuarios de este foro no tienen la culpa así que trata de moderar un poco el lenguaje y de no escribir ern mayusculas.

Bajate el hijackthis y colocame aquí el log y con gusto trataré de ayudarte.
 

alnitak

Ex-Admin
Miembro
#4
A continuacion coloco el log que me ha enviado coyotepatagonico por correo, vaya uno a saber porque no lo ha colocado directamente aquí y ya estaría revisado.

Por favor, no me pidan ayuda por correo ya que poco lo reviso y de paso no me hace ninguna gracia. leanse las normas del foro por favor, gracias.

Logfile of HijackThis v1.97.7

Scan saved at 12:08:06 p.m., on 01/08/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\LifeView FlyVideo\RecSche.exe

C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\ARCHIV~1\DAP\DAP.EXE

C:\Program Files\CyboorAd\CyboorAd.exe

C:\Archivos de programa\TVTool\TVTool.exe

C:\WINDOWS\Fonts\PrSpool.exe

c:\archiv~1\intern~1\iexplore.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\System32\WISPTIS.EXE

C:\Documents and Settings\Coyote\Escritorio\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.microsoft.com/isapi/redir.dll?p...pver={SUB_PVER}

&ar=home

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore

O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\ARCHIV~1\DAP\dapbho.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat

6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat

6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\ARCHIV~1\DAP\dapiebar.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat

6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RecSche] C:\LifeView FlyVideo\RecSche.exe /Startup

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP

O4 - HKLM\..\Run: [TVTool] "C:\Archivos de programa\TVTool\TVTool.exe"

O4 - HKLM\..\Run: [BibBirdScrArmy] C:\Documents and Settings\All Users\Datos de programa\Boltcakebibbird\Idol Blue.exe

O4 - HKLM\..\Run: [winrarshell] C:\WINDOWS\System32\winrarshell32.exe

O4 - HKLM\..\Run: [Type bows] C:\ARCHIV~1\GRAMRO~1\Barb Draw.exe

O4 - HKCU\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [PrintSpool] C:\WINDOWS\Fonts\PrSpool.exe

O4 - HKCU\..\Run: [BPSANTISPY] C:\Archivos de programa\BulletProofSoft.com\SpywareRemover\Spyware.exe /STARTUP

O4 - HKCU\..\Run: [spywatch] C:\Archivos de programa\BulletProofSoft.com\SpywareRemover\SpyWatch.exe /STARTUP

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [backup] C:\WINDOWS\backup.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Referencia (HKLM)

O9 - Extra button: Yahoo! Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O10 - Broken Internet access because of LSP provider 'imon.dll' missing

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -

http://v4.windowsupdate.microsoft.com/CAB/...8127.8140972222

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
 
A

Arwing

Guest
#5
Bueno, empezemos....

La versión del HijackThis que tienes no es tan nueva, ya está la versión 1.98, de todos modos servirá.

No veo nada que indique la presencia del searchweb2. Pero aún así tienes algúnos bichos por ahí.

Abre el Administrador de procesos y cierra los procesos si aparecen:

CydoorAd.exe

Idol Blue.exe

Barb Draw

winrarshell32.exe

Abre el Regedit en Inicio >> Ejecutar >> Regedit y navega hacia la llave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

y borra las siguientes entradas:

HKLM\..\Run: [BibBirdScrArmy] C:\Documents and Settings\All Users\Datos de programa\Boltcakebibbird\Idol Blue.exe

HKLM\..\Run: [winrarshell] C:\WINDOWS\System32\winrarshell32.exe

HKLM\..\Run: [Type bows] C:\ARCHIV~1\GRAMRO~1\Barb Draw.exe

HKCU\..\Run: [backup] C:\WINDOWS\backup.exe

Borra los siguientes archivos y carpetas:

C:\Documents and Settings\All Users\Datos de programa\Boltcakebibbird\Idol Blue.exe

C:\Documents and Settings\All Users\Datos de programa\Boltcakebibbird

C:\WINDOWS\System32\winrarshell32.exe

C:\ARCHIV~1\GRAMRO~1\Barb Draw.exe

C:\ARCHIV~1\GRAMRO~1

C:\WINDOWS\backup.exe

Abre de nuevo el HijackThis y marca las siguientes entradas si todavía están, y dales Fix:

O4 - HKLM\..\Run: [BibBirdScrArmy] C:\Documents and Settings\All Users\Datos de programa\Boltcakebibbird\Idol Blue.exe

O4 - HKLM\..\Run: [winrarshell] C:\WINDOWS\System32\winrarshell32.exe

O4 - HKLM\..\Run: [Type bows] C:\ARCHIV~1\GRAMRO~1\Barb Draw.exe

O4 - HKCU\..\Run: [backup] C:\WINDOWS\backup.exe

O10 - Broken Internet access because of LSP provider 'imon.dll' missing

Prueba a ver que tal te va.

Arwing
 

alnitak

Ex-Admin
Miembro
#6
C:\Documents and Settings\All Users\Datos de programa\Boltcakebibbird\

y

C:\Archivos de programas\GRAMRO..... \

Son en realidad las 2 carpetas del Websearch2, este bicho crea carpetas con nombres aleatorios por eso no siempre es fácil reconocerlas, pero siempre son 2 en Archivos de programas y 1 en C:\Documents and Settings\All Users\Datos de programa\

Yo también analizaría con un antivirus este archivo:

C:\WINDOWS\Fonts\PrSpool.exe

Porque no pinta nada un ejecutable en esa carpeta, con mucha probabilidad sea un gusano o un troyano.

Muy bien echo Arwing :D
 
A

Arwing

Guest
#7
Gracias, el de la carpeta Fonts también me llamó la atención pero no estuve muy seguro.

Revisalo con tu Antivirus o si ya tienes y no lo detecta envíalo a revisar a la siguiente dirección. Es de los laboratorios del Kaspersky, uno de los mejores antivirus:

http://www.kaspersky.com/remoteviruschk.html

Al final te debe devolver los resultados del escaneo.

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie