Maldito search for

[nozom]

hola llevo ya varias semanas intentado quitar la nueva pagina d inicio q me ha salido, se llama search for.. aparte d modificarme mi pagina d inicio no m deja entrar en m bandeja d entrada ni en algunas paginas. he pasado varios programs como el spywareblaster, el ad-aware SE personal, el spybot search& destroy y nada. incluso me he bajado el stopzilla pero ni por esas. estos programas me lo detectan pero cdo los elimino me vuelven a aparecer nada mas entrar en internet explorer o en la bandeja d entrada y ya no se lo q hacer. he mirado algunas soluciones en esta pagina pero no m ha servido para nada.



Espero q tengais alguna solucion para este problema q me esta volviendo loco.

[cañera]

nozom,por casualidad te has instalado el messenger plus?

si fuese asi lo tienes que eliminar por completo y si lo quieres bajar tienes que tener cuidado con lo de la publicidad y no aceptarla en el momento de la instalación.

esperamos respuesta.

[nozom]

nop, no lo tengo instalado me lo han pasado pero no lo he llegado a instalar lo unico q he hecho ha sido aceptar las actualizaciones dl messenger aunke si hace falta reinstalo el messenger.

[cañera]

intentalo y no le des paso a la publicidad,fue a partir de ahí cuando empezastes con el problema?

cuentanos como te fue.

[nozom]

creo q esto va para rato.. he pasado los dos programas q me dijistes y nada. al intentar entrar a la bandeja d entrada del messenger me vuelve a la pagina search for...

[cañera]

prueba con esto;

· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp

y con el spysweeper;

https://foros.zonavirus.com/viewtopic.php?t=36

cuentanos como te fue.

[maoti]

Inténtalo de esta forma de acuerdo a tu sistema operativo, y después pasas los programas:

Cómo iniciar su computadora en Modo a prueba de fallos

http://www.vsantivirus.com/faq-modo-fallo.htm

[ElPiedra]

El tema de las paginas de inicio que cambian solas es cada días mas común hoy por hoy y muchas te re-direccionan al famoso Search for...



[img]http://www.infospyware.com/StartPageFH.gif[/img]



Puede haber otros virus o similares que lo llamen pero el mas conocido es el Troyano StartPage.FH.



Este troyano no solo cambia nuestra pagina de inicio por la de Search for.. sino que también nos descarga otros spywares y awares por lo que también aconsejo que se escanne el PC con Ad-Aware SE y SpyBot.



A continuación les paso las dos maneras posibles de eliminar este troyano Manual y Automática.



[b][color=DarkRed]MANUAL[/color][/b]



1- Apagar el Restaurar Sistema de las propiedades de MiPC.



2- En algunos casos es aconsejable iniciar el PC pulsando la tecla F8 y empezar en modo a prueba de fallos.



3- Matar los processos de inicio del virus: [b]trojan.win32.startpage.fh.exe[/b]

4- Iniciar el REGEDIT y buscar y elimianar estos procesos.



HKEY_CURRENT_USER\software\microsoft\windows\currentversion

\run\[color=Red]ieengine[/color]



HKEY_CURRENT_USER\software\microsoft\windows\currentversion

\run\[color=Red]spywareguard\[/color]



HKEY_CURRENT_USER\software\microsoft\windows\currentversion

\run\windows internet protocol



HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion

\run\[color=Red]iefeatures[/color]



HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion

\run\[color=Red]soundmx[/color]



HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Internet Explorer\Main

Search Page = %tempdir%\[color=Red]sp.html[/color]

donde %tempdir% es el directorio temporal de Windows.



HKEY_CURRENT_USER\ Software\Microsoft\Internet Explorer\Main

[color=Red]Start Page = about:blank [/color] (en esta ponele la dirección http que quieras para el inicio.



5- Buscar y eliminar este fichero .dll -> trojan.win32.startpage.fh.dll



6- Eliminar cookies, temporales y el historial de internet



7- Reiniciar en modo normal



MODO AUTOMÁTICO:



1- Empiece con los pasos 1 y 2 de arriba.



2- Descargue y actualice la nueva versión de Ad-Aware SE Personal y haga un escaneo completo de su PC, Elimine todo lo que este encuentre.



3- Descargue y haga un escaneo con [url=http://www.zonavirus.com/descargas/EliStarA.exe][b][color=Red]EliStarA.exe[/color][/b][/url]



4- Siga el paso 6



5- Reinicie el PC en modo normal.



Salu2

El Piedra

[flacoroo]

para mayor facilidad en el manejo del REGEDIT..usamos esta herramienta proorcionada por nuestro amigo MSC Hotline....es el BUSCAREG...te dejo el link para que lo manejes y pongas el nombre a buscar en el editor de registros.....



BUSCAREG.EXE: BUSCA UNA CADENA EN EL REGISTRO Y PINCHANDO ENCIMA DE LAS ENCONTRADAS PERMITE BORRARLAS MUY FACILMENTE. ADEMAS CREA FICHERO EXPORTACION DEL REGISTRO POR SI SE NECESITA VOLVER ATRAS:



http://www.zonavirus.com/descargas/buscareg.asp



nos dices como te fue.....

[nozom]

Weno lo he intentado ya varias veces, pero aun asi sigue apareciendo. puede ser q me siga apareciendo porq tengo varias sesiones en el XP???? d todos modos consigo q la pagina d inicio se quede y no aparezca la del search for si no m equivoco lo consigo gracias al spy sweeper, aunke no paran d salir alertas sobre cambios d mi pagina d inicio. Lo q aun sigo sin poder ver es mi bandeja d entrada, aunke haya escaneado el pc y haga los pasos q me recomendasteis al cargar la pagina me vuelve a aparecer esta pagina d search for..



Espero vuestra ayuda

[carolxsiempre]

No te des por vencido, ahora bien haz seguido cada uno de los pasos que te han recomendado antes?



Porque es lo principal seguir las recomendaciones que se nos dan.



Ahora bien bajate la siguiente utilidad, reinicias tu pc en modo a prueba de fallos y la ejecutas le das click a selec all y luego a cleaning, luego cambias la página de inicio a la de tu preferencia, reinicias y pasas el hijackthis y le das un scan y luego un save log, y lo que te de me lo pegas como respuesta a éste tema, sin borrar nada.



X-Cleaner Freeware Version 2.0

Descargar X-Cleaner

http://www.aluriasoftware.com/tools/xcleaner_free.exe]

----------------------------------------------------------------

Descargar X-Cleaner desde zonavirus.com

http://www.zonavirus.com/descargas/xcleaner_free.exe



· Hijackthis

Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

----------------------------------------------------------------

Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip





Saludos

Carolxsiempre

[nozom]

Aqui esta el resultado:





Logfile of HijackThis v1.97.7

Scan saved at 23:36:56, on 01/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Sony\Net MD Simple Burner\NetMDSB.exe

C:\Norman\NVC\BIN\Zanda.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\NORMAN\nvc\BIN\NVCSCHED.EXE

C:\NORMAN\nvc\BIN\NJEEVES.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ATI Technologies\Panel de Control de ATI\atiptaxx.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\NORMAN\nvc\BIN\ZLH.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\NORMAN\nvc\BIN\NYMSE.EXE

C:\WINDOWS\webshots.scr

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\NORMAN\nvc\BIN\nvcoas.exe

C:\NORMAN\nvc\BIN\cclaw.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Documents and Settings\Jorge\Mis documentos\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.telefonica.net/

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {E7000E70-1F0F-4A13-8827-BD00305A54A5} - C:\WINDOWS\System32\pkbkec.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia (HKLM)

O9 - Extra button: Investigador (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

[carolxsiempre]

Borra las siguientes entradas:

C:\WINDOWS\system32\slserv.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jorge\CONFIG~1\Temp\sp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {E7000E70-1F0F-4A13-8827-BD00305A54A5} - C:\WINDOWS\System32\pkbkec.dll



Luego cambias la pagina de inicio a la de tu preferencia y reinicias nos dices si vuelve a aparecer.





Saludos

Carolxsiempre

[nozom]

Acabo de eliminar todo lo q me dijsites pero nada, me vuelve a pasar lo mismo, cdo entro en la bandeja d entrada d hotmail me vuelve a aparecer la pagina search for



puede tener algo q ver q tenga varias sesiones en windows XP, me refiero q si todos estos procesos los engo q realizar en todas las sesiones o simplemente con hacerlo en la mia ya tengo.



Espero vuestra respuesta

[carolxsiempre]

No, no pienso que eso tenga algo que ver, ahora bien dime si haz lanzado la siguiente en tu pc y en modo a prueba de fallos?



http://www.zonavirus.com/descargas/EliStarA.exe



De no ser asi hazlo y nos comentas.





Saludos

Carolxsiempre

[ElPiedra]

mmmmm para mi si puede que tenga algo que ver ya que una vez tuve un problema similar al limpiar una maquina con win xp con muchos usuarios.



Yo te recomendaria que:



1- Desconectes tus cables de internet



2- Apages el Restaurar Sistema de las poropiedades de MiPC



3- Entres en modo a prueba de fallos pulsando F8 y como Administrador.



4- Tirale las herramientas que te recomendaron (Elistra, About:Buster Ad-Aware)



5- Pasale el HijckThis y elimina todo lo que te mostraron.



6- Elimina cookies, historial y temporales de internet.



7- Reinicia en modo seguro con F8 y realiza los mismos pasos 4, 5 y 6 con cada uno de los usuarios que tengas en el XP.



8- Reinicia en modo normal conecta tu internet y cruza los dedos.



Salu2

El Pidra



PS//Me voy que me corre el huracan

[Padani]

Sabes q hermano???... a mi tb me pasa lo mismo, y tengo dos particiones win98 y 2000server, pero en el win98 lo elimina con el AD-AWARE6.0 actualizado cosa q no lo puedo hacer en el win2000server, pero sabes q mano???... hay una opcion y espero te pueda ayudar en tu winxp, porq me ayuda en algo con mi win2000server... tienes q irte a la carpeta SYSTEM o SYSTEM32 y ordenaras los archivos por fecha desde el mas ultimo hasta el mas antiguo, entonces buscaras un archivo *.DLL con nombre desconocido q se haya creado desde q te sucedio el problema mas o menos.. ademas a esto tienes q eliminarlo en el regedit, todo registro q este relacionado con dicho *.DLL y el archivo SP.HTML.

OJO::: esto tienes q hacerlo en modo a prueba de falla o MODO SEGURO... no te miento mano pero esto me ha ayudado ha solucionar el problema con mi win2000server.



Ahora q estoy aqui aprovecho en hacerles una consulta... porq cuando lo elimina en AD-AWARE me pide reiniciarlo y todo va bien...PERO...cuando apago la pc y la prendo al dia siguiente u horas mas tarde...pues me vuelve aparecer el problema..SEARCH-FOR.



ESPERO HABERTE AYUDADO MANO





EL AMOR NO ES AMOR SINO CAUSA DOLOR

[msc hotline sat]

[quote="carolxsiempre"]
Publicado: Jue Sep 02, 2004 2:20 am Asunto:



--------------------------------------------------------------------------------



No, no pienso que eso tenga algo que ver, ahora bien dime si haz lanzado la siguiente en tu pc y en modo a prueba de fallos?



http://www.zonavirus.com/descargas/EliStarA.exe



De no ser asi hazlo y nos comentas.





Saludos

Carolxsiempre
[/quote]

Con la utilidad propuesta por Carolxsiempre le preguntará si quiere cambiar la página de inicio, y respondiendole afirmativamente luego le pedirá la nueva pagina de inicio y le eliminará muchos virus, spywares y otras historias como Active.X, ckaves de llamada a ficheros troyanos inexistentes como el MSA32CHK.DLL, etc.



Ahora bien, igual que lo eliminas, puedes volver a ingresarlo en tu máquina a la que entres de nuevo en la web que te infectó, como con cualquier otro spyware/adware al navegar por internet. Tenlo presente, para evitar según que webs. Puedes probar para evitarlo el SPYWAREBLASTER:



· SpywareBlaster 3.2

Descargar SpyWareBlaster 3.2

http://www.javacoolsoftware.com/sbdownload.html



saludos



ms, 2-09-2004

[nozom]

ola perdon por mi tardanza pero es q cn solo pensar en el spyware me pongo enfermo. He pasado el Elite StarA y no pasa nada e incluso he escaneado cn todos los progamas q me habeis desjado todas las sesiones incluso el administrador pero nada, desde q voy a ve el correo me sale esa dichosa pagina.



Tb les tengo q informar q al pasar el programa Busca Reg me aparecen dos enlaces, los cuales yo los elimino pero al volver al pasar el programa vuelven a estar ahi.



Espero q me podais ayudar y pronto para poder dejar el ordenador sin problemas.



Un saludo

[msc hotline sat]

Eso de que el ELISTARA no hace nada, no cuadra:



Al ejecutarlo debe pedirte si quieres eliminar la pagina de inicio, y si le contestas afirmativamente, tras buscar virus conocidos, restaura claves de registro y pide la nueva pagina de inicio que se desea, tras lo cual si se la indicas, al volver a abrir I.E., accederá automaticamente a dicha pagina.



Si a pesar de esto el bicho vuelve a aparecer, arranca en modo seguro o a prueba de fallos, deshabilita la restairacion de sistema si trabajas con XP o Me, y lanza las utilidades antispyware conocidas, SPUBOT, CWSHREDDER, X-CLEANER, etc, indicadas en:



https://foros.zonavirus.com/viewtopic.php?t=36



saludos



ms, 10-09-2004