Otro desesperado con searchweb2

jnc68 · 2004-08-01T21:12:31+0100

Que no hay forma de eliminarlo, he probado con todo y no hay forma. Me he visto todos los post intentando buscar cosas iguales en mi sistema, pero no hay forma.

El colmo es que he tenido que recuperar la configuración del ordenador de hace unos días, porque ya ni me dejaba navegar, me bloqueaba todas la páginas.

Agracedéría algún alma caritativa me ayudase por favor.

Adjunto log del hijackthis y startuplist

Gracias por adelantado

Logfile of HijackThis v1.98.0

Scan saved at 22:38:15, on 01/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe

c:\archiv~1\intern~1\iexplore.exe

c:\archiv~1\intern~1\iexplore.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Downloads\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.drchualxsyvqda.info/fK/zQFzNmLx...PCMDYu8ERsT.php

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.marca.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {6055E1BA-E508-0D86-E10E-7FF6E09B2867} - C:\ARCHIV~1\CAKEAI~1\Readme Defy.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [ccApp] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [time settings] C:\ARCHIV~1\MP3TES~1\show roam.exe

O4 - HKLM\..\Run: [BirdSoapMemoTool] C:\Documents and Settings\All Users\Datos de programa\CORNBOLTBIRDSOAP\build rect.exe

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE

O4 - Global Startup: Image Transfer.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://mail.ko.com/iNotes.cab

O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://mail.ko.com/iNotes6.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {EB533642-0AFC-4559-A494-8CFFA296ACAE} (Whale Attachment Wiper for IE4 and higher) - https://mail.ko.com/images/whlcache.cab?egap=internal

O17 - HKLM\System\CCS\Services\Tcpip\..\{17A23D5B-4213-4065-A6DE-58AD61E0327A}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{DB81BA01-04C8-4B38-BD42-563AAF970664}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\MSERO.DLL

StartupList report, 01/08/2004, 22:38:23

StartupList version: 1.52

Started from : C:\Documents and Settings\Propietario\Escritorio\HOSPITAL\StartupList.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe

c:\archiv~1\intern~1\iexplore.exe

c:\archiv~1\intern~1\iexplore.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propietario\Escritorio\HOSPITAL\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

Image Transfer.lnk = ?

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

hpsysdrv = c:\windows\system\hpsysdrv.exe

ATIModeChange = Ati2mdxx.exe

KBD = C:\HP\KBD\KBD.EXE

StorageGuard = "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

Recguard = C:\WINDOWS\SMINST\RECGUARD.EXE

HotKeysCmds = C:\WINDOWS\System32\hkcmd.exe

ccApp = "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

ccRegVfy = "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

nwiz = nwiz.exe /install

PS2 = C:\WINDOWS\system32\ps2.exe

Microsoft Works Update Detection = C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

NeroCheck = C:\WINDOWS\system32\NeroCheck.exe

QuickTime Task = "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

AlcxMonitor = ALCXMNTR.EXE

NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

time settings = C:\ARCHIV~1\MP3TES~1\show roam.exe

BirdSoapMemoTool = C:\Documents and Settings\All Users\Datos de programa\CORNBOLTBIRDSOAP\build rect.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Symantec NetDriver Monitor = C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

(no name) - C:\ARCHIV~1\CAKEAI~1\Readme Defy.exe - {6055E1BA-E508-0D86-E10E-7FF6E09B2867}

NAV Helper - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

AA5BCF39918443D1.job

Norton AntiVirus - Analizar el equipo.job

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]

InProcServer32 = C:\Archivos de programa\QuickTime\QTPlugin.ocx

CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[iNotes Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\inotes.dll

CODEBASE = https://mail.ko.com/iNotes.cab

[iNotes6 Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\inotes6.dll

CODEBASE = https://mail.ko.com/iNotes6.cab

[Update Class]

InProcServer32 = C:\WINDOWS\System32\iuctl.dll

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/...7869.6833912037

[AeatCtl Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\AEAT.dll

CODEBASE = https://www4.aeat.es/es13/h/cactivex.cab

[Symantec RuFSI Registry Information Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\rufsi.dll

CODEBASE = http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab

[MSN Photo Upload Tool]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll

CODEBASE = http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[Whale Attachment Wiper for IE4 and higher]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\WhlCch4.dll

CODEBASE = https://mail.ko.com/images/whlcache.cab?egap=internal

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: *Registry key not found*

SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

End of report, 6.866 bytes

Report generated in 0,078 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only

alnitak · 2004-08-01T21:32:55+0100

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.

Nota: Para poder ver archivos y carpetas ocultas en XP tenemos que abrir: MI PC>>menú herramientas>>opciones de carpeta>>pestaña Ver>>marcar las casillas de Mostrar todos los archivos y carpetas ocultas y Mostrar el contenido de las carpetas de sistema.

Hola

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Navega el registro hasta encontrar y seleccionar rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

[time settings] C:\ARCHIV~1\MP3TES~1\show roam.exe

[BirdSoapMemoTool] C:\Documents and Settings\All Users\Datos de programa\CORNBOLTBIRDSOAP\build rect.exe

Desactiva la opción de restaurar el sistema, para hacerlo:

Tecla Ctrl + tecla de pausa>>pestaña restaurar el sistema>>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

o

Inicio>>Control Panel>>Sistema>>pestaña restaurar el sistema>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix. (las que todavía estén presentes)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.drchualxsyvqda.info/fK/zQFzNmLx...PCMDYu8ERsT.php

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {6055E1BA-E508-0D86-E10E-7FF6E09B2867} - C:\ARCHIV~1\CAKEAI~1\Readme Defy.exe

O4 - HKLM\..\Run: [time settings] C:\ARCHIV~1\MP3TES~1\show roam.exe

O4 - HKLM\..\Run: [BirdSoapMemoTool] C:\Documents and Settings\All Users\Datos de programa\CORNBOLTBIRDSOAP\build rect.exe

O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://mail.ko.com/iNotes.cab

O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://mail.ko.com/iNotes6.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

O16 - DPF: {EB533642-0AFC-4559-A494-8CFFA296ACAE} (Whale Attachment Wiper for IE4 and higher) - https://mail.ko.com/images/whlcache.cab?egap=internal

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde lla pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Reinicia en modo seguro

Elimina completamente estas carpetas:

C:\Archivos de programa\CAKEAI \ ( el nombre completo velo tu ya que el hijackthis lo ha cortado)

C:\Archivos de programa\MP3TES \ ( el nombre completo velo tu ya que el hijackthis lo ha cortado)

C:\Documents and Settings\All Users\Datos de programa\CORNBOLTBIRDSOAP\

Reinicia normalmente y vuelve a activar la opción de restaurar el sistema.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.

jnc68 · 2004-08-01T22:10:34+0100

Muchisimas gracias, parece que por fin se ha solucionado.

Vaya pesadilla !!!!

Se sabe cómo se infecta uno con esto? He leido que instalando el msn plus, pero no estoy seguro. Es para no caer en el mismo error dos veces, aunque ahora tengo instalado de todo para que no me pase, pero.........

Gracias otra vez

alnitak · 2004-08-01T22:23:55+0100

No creo que uno se infecte solo por instalar el MSN Plus, existen millones de personas con el plus instalado y solo unas miles infectadas por el websearch2.

Si es posible que existan versiones del Plus modificadas y que lo incluyan pero no me consta.

Tampoco se como infecta pero generalmente estos adwares infectan :

-Al aceptar la instalación de un plug in en algúna pagina dudosa, por ejemplo en algúnas paginas de cracks -pornos- warez - juegos de casino online- etc.

-Al entrar a una pagina malisiosa desde un Internet Explorer no parcheado o parcheado pero vulnerable a algún nuevo bug recien salido.

-Al instalar algún programa freeware que lo trae como "regalo sorpresa"

-Al estar infectado por algún gusano que como valor adjunto te "regala" este adware

-Al abrir un archivo adjunto malicioso que te envien por correo

-Etc.

Otro desesperado con searchweb2

jnc68

Nuevo Miembro

alnitak

Ex-Admin

jnc68

Nuevo Miembro

alnitak

Ex-Admin