websearch2

Estado
Cerrado para nuevas respuestas

jordif

Nuevo Miembro
Miembro
#1
Veo que podéis ayudarme para eliminar el famoso websearch2, aquí te mando mi log para que podais darme un socorro.

Gracias de antemano.

Logfile of HijackThis v1.98.0

Scan saved at 23:24:21, on 03/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Webscanx.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

c:\archiv~1\intern~1\iexplore.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Archivos de programa\FinePixViewer\QuickDCF.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Azureus\Azureus.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\javaw.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

F:\MC2\mirc.exe

C:\Archivos de programa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...://kld.foro.st/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vilaweb.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.mnvvlsgpcdmvutlguj.uk/4bGyddBM6...ekL5gIGT6C1.cgi

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Archivos de programa\iMesh\iMesh5\iMeshBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {AAB0861C-81E6-663E-BD2E-70989635F594} - C:\ARCHIV~1\Binddefy\namemail.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Alogserv] C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [STOP TIME] C:\ARCHIV~1\CREATI~1\locks readme.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Exif Launcher.lnk = C:\Archivos de programa\FinePixViewer\QuickDCF.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07793ae304ed41...RdxIE601_es.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/ca/big/1.1....g/GoogleNav.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab

O16 - DPF: {E15CFC65-973B-484F-888A-72C53D2935F8} (VacPro.spain_ver3) - http://www.advnt01.com/dialer/spain_ver3.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{D1902227-C4AC-4A19-A311-B561773744D8}: NameServer = 80.58.0.33,80.58.32.97
 
A

Arwing

Guest
#2
Hola, empecemos....

Abre el Administrador de Procesos (Ctrl + Alt + Supr) y termina con estos procesos si aparecen:

REGSHAVE.EXE

locks readme.exe

El REGSHAVE.exe debe de un programa de algúna cámara Fuji que conectas a tu PC. Pero no lo necesitas. Además parece ser que borra algúnas entradas del registro de otros programas.

También veo que tienes el IMesh instalado. Este programa P2P tiene Spyware incluído, por lo que te recomiendo que lo desinstales y te instales otro, como eMule o Shareaza.

Cabe aclarar que es mejor que desintales el IMesh aparte antes de realizar todo este procedimiento.

Entra al registro, en Inicio >> Ejecutar >> Regedit y navega hasta llegar a la siguiente ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:

Borra las siguiente entradas:

[REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

[STOP TIME] C:\ARCHIV~1\CREATI~1\locks readme.exe

Después borra los siguientes archivos y carpetas y bórralas:

C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE

C:\ARCHIV~1\CREATI~1\locks readme.exe <-- buscar nombre completo de la carpeta

C:\Archivos de programa\REGSHAVE\

C:\ARCHIV~1\CREATI~1\ <-- buscar nombre completo de la carpeta

Si no ves las carpetas ve a Herramientas >> Opciones de Carpeta >> Ver >> Mostrar contenido oculto

Cierra todos los navegadores, y el explorador de Windows. Abre el HijackThis y selecciona las entradas que sigan existiendo:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...://kld.foro.st/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.mnvvlsgpcdmvutlguj.uk/4bGyddBM6...ekL5gIGT6C1.cgi

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Archivos de programa\iMesh\iMesh5\iMeshBHO.dll

O2 - BHO: (no name) - {AAB0861C-81E6-663E-BD2E-70989635F594} - C:\ARCHIV~1\Binddefy\namemail.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [STOP TIME] C:\ARCHIV~1\CREATI~1\locks readme.exe

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07793ae304ed41...RdxIE601_es.cab

O16 - DPF: {E15CFC65-973B-484F-888A-72C53D2935F8} (VacPro.spain_ver3) - http://www.advnt01.com/dialer/spain_ver3.CAB

Prueba a ver cómo te van las cosas.

Arwing
 

alnitak

Ex-Admin
Miembro
#3
Eliminar también esta carpeta puesto que es la otra del Websearch2

C:\Archivos de programa\Binddefy\

Buen trabajo Arwing.
 

jordif

Nuevo Miembro
Miembro
#4
Arwing,

gracias por las instrucciones. Todo correcto, solo un problema cuando intento borrar la carpeta BINDDEFY\namemail.exe, no me deja de ninguna manera. Como lo hago?
 

alnitak

Ex-Admin
Miembro
#5
Abre el administrador de tareas y termina el proceso namemail.exe, después elimina la carpeta o reinicia en modo seguro y eliminala.
 

jordif

Nuevo Miembro
Miembro
#6
He realizado todas las acciones y sigue arrancandome la famosa searchweb2, te posteo de nuevo el log, por si descubres algo.

Gracias de antemano

JOrdif.

Logfile of HijackThis v1.98.0

Scan saved at 22:56:30, on 05/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Webscanx.exe

C:\Archivos de programa\FinePixViewer\QuickDCF.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

C:\Archivos de programa\eMule\emule.exe

F:\MC2\mirc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...ww.vilaweb.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vilaweb.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.asqqtwhpuixc.com/4bGyddBM6s419R..._kL5gIGT6C1.cgi

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Alogserv] C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [STOP TIME] C:\ARCHIV~1\CREATI~1\locks readme.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Exif Launcher.lnk = C:\Archivos de programa\FinePixViewer\QuickDCF.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/ca/big/1.1....g/GoogleNav.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D1902227-C4AC-4A19-A311-B561773744D8}: NameServer = 80.58.0.33,80.58.32.97
 
A

Arwing

Guest
#7
Mmm.. veamos, ahora inténta lo siguiente arrancando en modo a prueba de fallos.

Marca estas entradas y dale a Fix:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.ht...ww.vilaweb.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.asqqtwhpuixc.com/4bGyddBM6s419R..._kL5gIGT6C1.cgi

O4 - HKLM\..\Run: [STOP TIME] C:\ARCHIV~1\CREATI~1\locks readme.exe

Después borra el archivo:

C:\ARCHIV~1\CREATI~1\locks readme.exe

y la carpeta:

C:\ARCHIV~1\CREATI~1\

Inténtalo y nos dices cómo te fue.

Saludos

Arwing
 

jordif

Nuevo Miembro
Miembro
#8
Creo que ahora lo hemos solucionado. De momento no vuelve a aparecerme. Si hay algúna novedad os lo digo.

Gracias por todo

Jordif.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie