SearchForIt (Aclarado)

piripe · Mensaje por **piripe** » 11 Sep 2004, 23:14

Hola,

Tengo un problema. Tengo la opción "all protection enabled" en el spywareblaster, y al pasar el spybot, me sale que ha encontrado un problema llamado SearchForIt. Lo limpio y, automaticamente, el Spyware blaster pasa a mostrar "1 item protection is not enabled" en cuanto le vuelvo a dar a enable all protection y me sale 0 items protection is not enable, vuelve a aparecer el problema en spybot, mientras que si paso spybot cuando en spywareblaster tengo 1 item desprotegido, me felicita por no tener robots espía. ¿exista algún tipo de incompatibilidad o es un spyware que torea a los dos programas? No se como pasar el spybot en modo seguro, pues al poner el modo seguro según instrucciones en este foro, no se me carga el spybot.

Si podéis ayudarme, os lo agradeceré mucho.-

piripe · Mensaje por **piripe** » 11 Sep 2004, 23:26

Aquí os adjunto el log del hijack this por si sirve de algo:

StartupList report, 11/09/2004, 23:25:00

StartupList version: 1.52

Started from : C:\Documents and Settings\El Juanjo\Mis documentos\Seguridad\HijackThis.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\NoelD\DynSite for Windows\DynSite.exe

C:\Documents and Settings\El Juanjo\Mis documentos\Seguridad\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Ptipbmf = rundll32.exe ptipbmf.dll,SetWriteCacheMode

SoundMAXPnP = C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

SoundMAX = "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

ATIPTA = C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

NeroCheck = C:\WINDOWS\system32\NeroCheck.exe

InCD = C:\Archivos de programa\Ahead\InCD\InCD.exe

{0228e555-4f9c-4e35-a3ec-b109a192b4c2} = C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

BDMCon = C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

BDNewsAgent = C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdnagent.exe

BDSwitchAgent = C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

piripe · Mensaje por **piripe** » 12 Sep 2004, 08:08

Hola otra vez,

Ante todo, debo pediros disculpas pq veo otro thread en el foro con el mismo problema que yo, no obstante, en mi defensa sólo puedo decir que he aportado los datos de posible incompatibildad entre spybot y spywareblaster. Además d elo relatado, tras leer el otro caso del serach for de este foro, he hecho lo único que me faltaba por hace,e s decir, pasar la utilidad EliStar, y el resultado es bien curioso. Antes de pasar el Elistar, el Spywareblaster me decía que, en el campo "Internet explorer protection is enabled" había un comentario de "1 item protection is not enabled", mientras que, despues de pasar el Elistar, el mensaje 1 item protection is not enabled me aparece ahora en el campo "restricted sites protection is enabled", por otra parte, tras pasar otra vez el spyware blaster, esta vez, al eliminar el serachforit por enésima vez, al reiniciar, me ha salido el informe de microsoft crasha analisis como si no hubiera reiniciado yo y se hubiera jodio el sistema y em decia que algun controlador habia ocasionado un problema en windows y el sistema se recuperaba de un erro grave. Claro, habiendo reinicado yo consicentemente, este error grave no me cuadra y luego se me ha abierto una ventana del tea timer de spybot diciendo que la entrada del kernel fault check se había modificado. Llegado a este punto, ya no se si he bebido demasiado o relamente nunca debiera haberme comprado un ordenador pq soy demasiado torpe. De verdad, si no podéis aydarme, cais que ya quitaré todos los prgoramas y antivirus y que entre quién quiera. pq total, tampoco tengo información importante tu y esto es un dolor de cabeza el tener el ordenador limpio de curiosos. Al menos, que mi caos sirva para solucionar otros más importantes.-

Gracias por aguantarme.-

piripe · Mensaje por **piripe** » 12 Sep 2004, 08:55

Por cierto, esta es la entrada del famoso search for it:

SearchForIt: Configuración (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\activex compatibility\{c109664b-ceb1-420b-b353-d55a561536dd}

--- Spybot - Search && Destroy version: 1.3 ---

2004-08-11 Includes\Cookies.sbi

2004-08-30 Includes\Dialer.sbi

2004-08-30 Includes\Hijackers.sbi

2004-08-20 Includes\Keyloggers.sbi

2004-05-12 Includes\LSP.sbi

2004-08-30 Includes\Malware.sbi

2004-08-12 Includes\Revision.sbi

2004-08-11 Includes\Security.sbi

2004-08-30 Includes\Spybots.sbi

2004-08-30 Includes\Tracks.uti

2004-08-30 Includes\Trojans.sbi

Mensaje por **cañera** » 12 Sep 2004, 11:33

vamos a hacer una cosa,vete a gregar quitar programa y elimina el spybot ya que dices que no te lo reconoce al entrar en modo seguro.vuelve a descargartelo e intenta entrar de nuevo en ese modo(no olvides actualizarlo)

te dejo el tutorial y en el mismo esta el lugar de descarga;

http://www.zonavirus.com/portal/tutoriales/anti-spyware-spybot-search-destroy.asp

tambien te dejo el del spywareblaster;

http://www.zonavirus.com/portal/tutoriales/anti-spyware-spywareblaster.asp

mira si se te soluciona el problema,pasalos junto con tu antivirus actualizado.

cuentanos como te fue.

piripe · Mensaje por **piripe** » 13 Sep 2004, 20:22

Hola,

ya he pasado el spybot y el spyware blaster en modo seguro y seguimos igual, cuando el spywareblaster te protege contra todo, me detecta el search for it, y cuando me protege contra todo menos uno, no lo detecta. Además, me he dado cuenta de que, cuando inicio en modo seguro, además de mi cuenta de administrador, hay otra cuenta de administrador, pero cuando intento borrarla a través de la mía, no me aparece, como si no existiera. He entrado en modo seguro a traves de dicha cuenta, le he dado a eliminar mi propia cuenta y no me deja hacerlo, me pide que lo haga a través de otra cuenta de administrador, pero como ya digo, al entrar con otra cuenta de administrador, no me aparce la que yo no he creado.

piripe · Mensaje por **piripe** » 13 Sep 2004, 21:29

He estado buscando también en google y en otro foro decían que es un falso positivo lo del search for it y que lo arreglarán en un próximo update de spyware blaster. El link de dicho foro es este:

http://www.computing.net/security/wwwboard/forum/13486.html

También hay una página en la que tienen un anti espias que lo pasas desde internet y no lo ha detectado. la página es esta

http://www.pestpatrol.com/pestinfo/s/searchforit.asp

Ambas dos están en inglés. No sé qué podáis opinar al respecto, yo desde luego me quedaría mucho más tranquilo si no me saliera, sea falso positivo o no lo sea.

Mensaje por **cañera** » 15 Sep 2004, 17:57

me dijiste que si te podia ayudar con esto en otra zona del foro.

por casualidad te has descargado el messenger plus?

es que si no deniegas la entrada de publicidad te entra ese espia.

esperamos respuesta.

piripe · Mensaje por **piripe** » 15 Sep 2004, 18:25

Hola,

Pues la verdad es que no lo se. El sábado formateé el ordenador y al reinstalar windows, cuando me conecté a internet entré en el messenger

para cambiar la preferencia de iniciar programa al inicio de windows pq es una paliza la ventanita del messenger y él solito se actualizó a una nueva versión sin preguntarme apenas nada.

¿Le digo que me quite el messenger de windows en agregar / quitar programas y me bajo el nuevo messenger teniendo cuidado de no aceptar ninguna publicidad?

Tambien te comento que, aparte de que el SearchForIt me lo detecta el spybot según esté el spyware, yo no he notado nada raro en el ordenador, ni se me redirecciona a ninguna página de inicio rara ni nada por el estilo. Si quieres, esta noche cuando llegue a casa te hago un log del hijack this para que le eches un vistazo, sólo dime si ese log lo tengo que hacer en modo seguro o normalmente.-

Gracias.-

caito · Mensaje por **caito** » 15 Sep 2004, 18:36

El Messsenger que viene con publicidad es el "Plus" no el de Microsoft , el log del hijack conviene tomarlo en arranque normal.

Salu2

Caito

Mensaje por **cañera** » 15 Sep 2004, 18:36

haz el log normal,para ver todo lo que se carga.

pero ya sabes le das a scan y luego a save y ese nos lo pasas,ok?

esperamos tu respuesta.

Mensaje por **maura63** » 15 Sep 2004, 19:35

Para conocimiento del Foro os comento algo sobre search for it

Cuando el miercoles pasado regrese de vacaciones, al tener un rato libre me puse a actualizar mi PC, antivirus anti-spyware etc.En concreto McAfee ,Spybot, Ad_aware y spywareblaster.

Cuando termine, los pase todos en modo seguro, y el unico que me detecto el [color=red]search for it [/color] fue Spybot, le di a solucionar problemas, inmunizar .

Volvi a encender el ordenador, me conecte a internet un rato y volviendo a pasar el Spybot ya no lo ha detectado nada mas.

Yo elimine hace tiempo el mesenger de microsoft, y del Plus ni lo conozco, asi que no creo que tenga nada que ver. Pueda que sea un falso positivo, pero a mi Spybot lo detecto y elimino sin dejar rastro.

Saludos

maura63

PD lo edito pues se corto.

Lo que quiero indicar es que antes de detectarlo no habia navegado por ningun sitio y el cortafuegos estaba activado como siempre. Simplemente se detecto elimino y sin mayor problema.

Saludos m63

piripe · Mensaje por **piripe** » 15 Sep 2004, 20:49

Hola,

Aquí está el log del hijack this:

Logfile of HijackThis v1.97.7

Scan saved at 20:46:06, on 15/09/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\NoelD\DynSite for Windows\DynSite.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

C:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe

c:\archiv~1\softwin\bitdef~1\bdmcon.exe

C:\Documents and Settings\El Juanjo\Mis documentos\Seguridad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdnagent.exe

O4 - HKLM\..\Run: [BDSwitchAgent] C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [DynSite] C:\Archivos de programa\NoelD\DynSite for Windows\DynSite.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Systweak Ad and Popup Blocker] "C:\Archivos de programa\Advanced System Optimizer\adblock.exe"

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Referencia (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094922066203

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Por cierto, Maura63, después de eliminar el SearchForIt con el Spybot, ¿has comprobado que el spyware blaster esté protegido contra todo o te sale todo menos 1 item como a mí?

Gracias

Mensaje por **maura63** » 15 Sep 2004, 20:59

Te pillo por los pelos pues me marchaba, el spywareblaster lo tengo protegido contra todo segun me indica.

Prueba una cosa, pasa Spybot en modo seguro y desactiva restaurar sistema. Antes elimina spywareblaster de tu pc. Despues vuelve a cargar el programa y actualizarlo .

Ya te digo que tengo todos los item protegidos.

Saludos y hasta mañana.

maura63

piripe · Mensaje por **piripe** » 15 Sep 2004, 21:44

Pos no ha podido ser,

He eliminado el spywareblaster incluyendo la eliminación a mano d ela carpeta que se queda en archivos d eprograma, he pasado el registry healer, he desactivado restaurar sistema y he iniciado en modo seguro.

En modo seguro, he pasado el spybot, me he cargado el sarchforit asi como el recovery, he inmunizado, lo he vuelto a pasar y ya no me ha salido. He reiniciado en modo norma, he activado restaurar sistema, he reinstalado el spywareblaster y he vuelto a pasar el spybot y otra vez a lo pispo, sale el searchforit, lo elimino y voilá, se me vuelve a desproteger el Search For It Toolbar del spywareblaster. También he notado que, si le paso la utilidad Elistara, el que se me desprotege en spywareblaster no es el Search For It Toolbar, sino el Coolwebsearch 233.

Por otra parte, le he pasado el Spyware Detective que viene en el Advanced System Optimizer (que ma costao una pasta) y no me detecta ningún spyware. En SPywareblaster, en tools / system browser pages me salen 4 páginas, la primera es zona virus, la predeterminada, la segunda y cuarta son las de microsoft/isapi/redirect, pero la tercera es about:blank y sin embargo no he tenido ningún problema de que me salgan ventanas de about:blank, en fin, no sé si pueda ser algún problema del spywareblaster, aunque antes lo tenia descargado desde el link del foro y ahora lo he descargado desde softonic.

De verdad, ya no se qué pensar.

piripe · Mensaje por **piripe** » 15 Sep 2004, 21:50

Aquí os pongo el log del hijack this después de haber hecho todo lo que os he relatado:

Logfile of HijackThis v1.97.7

Scan saved at 21:48:48, on 15/09/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\NoelD\DynSite for Windows\DynSite.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Advanced System Optimizer\adblock.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

C:\Documents and Settings\El Juanjo\Mis documentos\Seguridad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zonavirus.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:2323

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {CF7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Archivos de programa\Advanced System Optimizer\iehelper.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdnagent.exe

O4 - HKLM\..\Run: [BDSwitchAgent] C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [DynSite] C:\Archivos de programa\NoelD\DynSite for Windows\DynSite.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Systweak Ad and Popup Blocker] "C:\Archivos de programa\Advanced System Optimizer\adblock.exe"

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Referencia (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094922066203

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Mensaje por **maura63** » 16 Sep 2004, 09:17

Bueno pues he probado en otro equipo lo de searchforlt, ha aparecido al

actualizar spywareblaster. Pero me he fijado en un detalle.

Cuando pasas Spybot para scanar el PC cuando te muestra los resultados

del analisis tu tienes que marcar las casillas de lo que quieras solucionar. Pues si te fijas bien searchforlt siempre te aparecera por defecto marcada, solo tienes que pulsar solucionar problema y te dira que lo soluciono.

Si vuelves a pasarlo te volvera a aparecer pero otra vez estara marcado automaticamente. Por lo que he podido ver en algunos sitios parece que se trata de un falso positivo. El tiempo nos lo confirmara.

Saludos

maura63

piripe · Mensaje por **piripe** » 16 Sep 2004, 09:58

OK, puede que sea eso. Si os parece, como el ordenador no me hace tampoco nada raro, lo dejamos de momento a ver si en una próxima actualización del spywareblaster o del spybot se corrige el tema.

Gracias a tod@s

Mensaje por **maura63** » 16 Sep 2004, 10:32

Pues lo dejamos de momento y cerramos el tema.

Cuando tengamos noticias se expondran las mismas.

Saludos

maura63

piripe · Mensaje por **piripe** » 18 Sep 2004, 20:34

Weno,

Pos de momento lo he solucionado pero ha sido al formatear. Ya había formateado el sábado pasado pero aún me persistía el problema, así que, qprovechando la coyuntura de un juego mal instalado, he vuelto a formatear, pero esta vez lo que he hecho distinto ha sido lo siguiente:

Nada más instalarme el XP, antes de actualizarlo (ni siquiera conectarme a la red) he cambiado las entradas del registro para el valor 1004 tal y como se explica en la solución al DSOExploit en este mismo foro.

Luego he instalado las utilidades AntiDSO y DSOStop cuyos links también están en el mismo post antiDSO. Luego, después de instalar (desde disco) el service pack 1, he desinstalado el outlook express, el MSN explorer y el messenger y luego ya he seguido los pasos normales, antivirus, spybot, spywareblaster, ad aware, actualizarlos y empezar a bajar las actualizaciones xp de internet, ya que no las tenía en disco.

Ya no me ha salido ni el DSOexploit ni el searchforit. En fin, ya sé que formatear no es lo ideal, pero he querido poner el post por si alguien tuviera que formatear, que prevenga la aparición tanto de DSO como de searchforit.-

Gracias y saludos.-

Mensaje por **maura63** » 20 Sep 2004, 11:04

Pues con la ultima actualizacion de Spybot se soluciona el falso positivo de searchforlt.

Saludos y damos por terminado el tema.

Saludos

maura63