No borra el historial

[ninhovid]

Buenas tardes



acabo de ver una maquina que estaba infestada de spyware... ya le corri el adaware, el spybot y el spykiller

pero todavia tiene un detalle...



al borrar el historial del explorer borra casi todo.. menos algunas direcciones porno XXX

si pongo la letra w me recuerda http://www.xxxetcetera.com

y asi con varias letras

ya cheque el regedit y el msconfig y no veo de donde las pueda estar jalando...



alguna sugerencia?

gracias

[maura63]

Prueba estas utilidades



Eliminación de paginas de inicio en el internet explorer y no restaurables, dialers, etc:

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp



Y puedes probar la nueva version del ELISTARA.EXE, a ver si ya logra eliminar esta variante del StarPage:



https://foros.zonavirus.com/viewtopic.php?p=3565#3565





Saludos

maura63

[ninhovid]

no, ni con eso funciono

si encontro algunas cosas y las removio pero aun asi sigue recordando paginas XXX...



que mas podra ser?

de alguna parte esta jalando esas ligas....

[maura63]

Descarga este programita y tras ejecutarlo haz un coiar y pegar del resultado y lo pegas como respuesta a este tema.



· Hijackthis

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

----------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip



[color=red]No señales nada y NO pulses en FIX CHECK[/color]





Saludos

maura63

[ninhovid]

listo.. aqui esta







Logfile of HijackThis v1.97.7

Scan saved at 11:08:23 a.m., on 29/06/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

\Rvidaurri\Publico\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.8.25:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 172.16.*;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe /0

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Microsoft® JavaScript® Console (HKLM)

O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)

O9 - Extra button: Microsoft® JavaScript® Console (HKCU)

O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[maura63]

Pasaste los programas en modo a prueba de fallos?

No dices el sistema operativo que usas, si es XP no olvides desactivar restaurar sistema.



Saludos

maura63

[ninhovid]

es una pc XP professional

ya desactive lo de restaurar sistema

y ya lo corri a prueba de fallos aqui esta el resultado:





Logfile of HijackThis v1.97.7

Scan saved at 11:21:29 a.m., on 29/06/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

\Rvidaurri\Publico\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.8.25:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 172.16.*;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe /0

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Microsoft® JavaScript® Console (HKLM)

O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)

O9 - Extra button: Microsoft® JavaScript® Console (HKCU)

O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[maura63]

Pues parece que no hay nada extraño, salvo que se pase de mi vista.



Sigues teniendo el problema?



Saludos

maura63

[ninhovid]

si

fijate que es bien raro

ya le pase un chorro de utilerias

ya te postee lo que me salio y no veo nada raro tampoco....



ya borre temporales.. de todo he hecho y sigue recordando el nombre de algunas paginas XXX

en mi vida habia pasado algo por el estilo...



a ver si alguien mas sabe como

gracias!!!

[maura63]

No se si tendra que ver, pero tienes archivos ocultos?

Marca la pestaña de ver las extensiones verdaderas de los archivos y mostrar archivos ocultos.



Saludos

maura63

[ninhovid]

tambien ya le di por ahi

lo que me falta es eliminar unos perfiles que ya no estan en uso

pero no deben tener nada que ver puesto que estoy usando un perfil diferente

[msc hotline sat]

El HIJACKTHIS muestra una minima parte del registro de sistema, solo lo que se carga en el inicio, pero hay claves que se utilizan posteriormente para bloquear acceso a webs, como las que instala el SPYWAREBLASTER, que están para ser consultadas en los accesos de los programas y aplicaciones.



Cabe la posibilidad de que en el registro figuren estas xxx sin que se vean copn el HIJACKTHIS, por lo que sugiero que con el REGEDIT o mas facil con el BUSCAREG, mires si hay XXX en el regustro, aparte de la clave del Outlook que no debes modificar, pero si encuentras otras aparte de esta, mira su contenido e indicanoslo, que posiblemente sean las indeseadas que indicas.



Ya nos dirás algo



saludos



ms, 29-06-2004

[ninhovid]

te refieres a que con el regedit busque el nombre de las paginas que me salen?

si esa es tu sugerencia pues ya lo habia hecho



hay una que se llama www4.movie-xxx.com/etc.mpg

y no la encontro, y eso que la busque por partes y completa



=(

[msc hotline sat]

No, solo XXX m y aparte de la del Outlook, ver si detecta alguna clave mas que contenga las tres X



saludos



ms, 29-06-2004

[ninhovid]

salio el usuario de la maquina con el problemita

en cuanto llegue hago la busqueda de la cadena XXX en el regedit

que raro

todavia no queda..



gracias

[guillermocol]

http://www.anti-spyware-review.toptenreviews.com/



Saludos

[msc hotline sat]

En este foro ya se ofrecen unos cuantos antispyware, si bien usamos asiduamente el SPYBOT por ser freeware y de buenos resultados, si bien se recuerda que en este mismo apartado, nuestro ADMIN ofrece link para otros



https://foros.zonavirus.com/viewtopic.php?t=36



Se agradece que nos lo hayas recordado, guilermocol, pues de vez en cuando conviene refrescarlo.



saludos



ms, 30-06-2004

[ninhovid]

ya borre un monton de basura que tenia en el regedit y ni asi ha quedado

me sigue recordando y conectandose a esta ruta automaticamente



www4.movie-drive.com



saludos

[msc hotline sat]

Pues prueba todas las utilidades que te ofrece ADMIN en el link de mi ultimo post, actualizandolas, y cuando encuentres la que te lo eliminala, indicalo como respuesta a este Tema, para conocimiento y experiencia del foro.



saludos



ms, 2-07-2004

[guillermocol]

ojalá lo hayas solucionado, en caso contrario prueba el advanced uninstaller pro



http://www.innovative-sol.com/uninstaller/index.htm



El más laureado de la categoria y nos cuentas



saludos

[carolxsiempre]

Veamos si a la fecha no haz solucionado tu problema, bájate la siguiente utilidad y lánzala en tu sistema, ella borrará todo rastro de tu navegación excepto aquellos que no quieras borrar.



http://descargas.terra.es/informacion_extendida.phtml?n_id=33440&plat=1



Saludos

Carolxsiempre

[ninhovid]

no he podido arreglarlo

ahorita mismo pruebo con ese programita

gracias

[ninhovid]

sigue sin funcionar

ya le volvi a pasar todas las herramientas y nada



tampoco me sirvio el garbage sweeper.....

=(



sigue recordando algunas paginas xxx en el historial....

[flacoroo]

no hay que olvidar que...las herramientas que se te dan en los links se deben pasar poniendo tu computadora a modo seguro o mpdp a prueba de fallos.....es mejor y asi salen las cosas ocultas...

[ninhovid]

asi lo he hecho siempre

gracias

[carolxsiempre]

Una pregunta, te siguen apareciendo dichas páginas en el historial ó en las búsquedas que haz hecho?







Saludos

Carolxsiempre

[ninhovid]

en la barra de direccion del Internet Explorer de esa maquina:



presiono Y y me recuerda http://www.yahoo.com

presiono W y me recuerda www4.movie-drive.com/etcetera.avi



borro el historial y pasa esto:



presiono Y y no me recuerda nada

presiono W y me recuerda www4.movie-drive.com/etcetera.avi



saludos

[cañera]

prueba con esto ultimo haber que sucede;

hazlo en a modo prueba de errores desactivando restaurar sistema,

inicio/mi pc,clicas con boton derecho/propiedades/restaurar sistema,lo desactivas y aceptas.apagas el pc,lo enciendes y pulsas repetidas veces F8 y en el menu que te aparece escoges la opcion modo seguro.

inicio/todos los programas/accesorios/herramientas del sistema/liberador de espacio en disco.

elimina todos los archivos que te marque,aceptas y mira si se te soluciona.

cuentanos como te fue.

[ninhovid]

ok

yo les aviso que pasa con esto ultimo

gracias

[Ken Wakashimazu]

[color=red]esas ligas pueden estar en [url]C:\WINDOWS\Temp[/url]

sino estan ahi, estan de seguro en alguna parte de la carpeta windows.



saludos:D![/color]