como quitar pagina de inicio easy-search.biz???

[Fernandotc]

Hola, no tengo mucha idea de informatica, creo que se me ha instalado un spyware y cada vez que abro el explorer me sale la pagina de inicio easy-search.biz, he leido en este foro que para eliminarlo se ha de usar el programa hijackthis, ya lo he hecho y he pasado el scan, pero no se que elementos he de eliminar, tambien he usado el programa eliblank.exe, pero el reiniciar no se ha eliminado.



Alguien puede decirme que he de eliminar con el hijackthis,o que otro programa puedo usar o donde encontrar alguna solucion posible???



Gracias.

[msc hotline sat]

Con el ultimo ELISTARA.EXE se soluciona el problema de este troyano, como ya indicabamos en la informacion de la nueva version:



https://foros.zonavirus.com/viewtopic.php?t=3514



saludos



ms, 25-10-2004

[Fernandotc]

Gracias por responder al tema que he expuesto, ya he arreglado gracias al elistara.exe el problema de la pagina de inicio del explorer, pero sigo teniendo el problema, ya que se me continuan cargando las paginas web que de da la gana, independientemente de la direccion o el link que clique.



Supongo que eso significa que no he eliminado el problema.



Sabes como puedo arreglarlo.



Gracias.

[msc hotline sat]

Una cosa es la pagina de inicio y otra que tengas el fichero HOSTS modificado y te lleven donde quieran, y otra que spywares te presenten paginas pronos y demás.



Solucionado con el ELISTARA lo de la pagina de inicio, vamos a por lo del HOSTS



Este fichero lo encontrarás en ....\drivers|\etv, editalo con el bloc de notas y apate de los comentarios de microsoft, solo hay normalmente una linbea con la URL del LOCALHOST 127.0.0.1



Si hay mas, mira lo que son y posiblemente debas eliminarlas, pues te llevan "al huerto"



Por otro lado, si lo qe te pasa es que se te abren paginas por spywares y adwares que tengas instalados, te bajas la utilidad SPYBOT, la instalas, y arrancando en modo seguro la lanza y finalizas con SOLUCIONAR PROBLEMAS



Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema





Sitio 1 - Descargar Spybot - Search & Destroy 1.3.1

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3.1 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp





Una vez hecho todo esto, reinicia y prueba como va todo, y nos lo cuentas como respeusta de este Tema, gracias



saludos



ms, 25-10-2004

[Fernandotc]

hola, te explico, lo de la pagina de inicio ha sido circunstancial, a pesar de usar el elistara.exe la pagina de inicio sigue siendo easy-search.biz o silimaler, solo la primera vez que se abre el explorer despues de usar el elistara se abre con la pagina de inicio que yo quiero.



He usado el programa spybot, actualizandolo y escaneando...etc despues de reiniciar el pc y provar de abrir el explorer tadavia sigue navegando a las paginas que quiere.



Voy a povar de encontrar el archivo drivers... pero no soy muy conocedor de estos temas y todavia no lo he encontrado, a ver si me puedes dar una pista de donde encontrarlo.



A medida que vaya provando cosas o lo resuelva lo ire publicando en el foro, ya que por lo que he visto hay muchas mas personas que tienen el mismo problema.



Gracias.

[maura63]

Puedes mandar una copia del log que crea (txt) despues de pulsar scan y save.



· Hijackthis

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

----------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip



Saludos

maura63

[Fernandotc]

Tambien, he usado el programa hijackthis, obteniendo como resultado del scaneado lo siguiente, sabes que he de eliminar? eliminado lo adecuado se solucionara el problema?





Logfile of HijackThis v1.98.2

Scan saved at 14:53:36, on 27/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\WINDOWS\iau.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\stisvsq.exe

C:\WINDOWS\svshost.exe

C:\WINDOWS\msqdevl.exe

C:\WINDOWS\mservice.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Documents and Settings\Fernando\Escritorio\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\lssas.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Fernando\Escritorio\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A536F09D-7292-4E74-AB29-987CAF189E8A} - C:\WINDOWS\System32\mbb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKLM\..\Run: [Games Acceleration] svshost.exe

O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKCU\..\Run: [Games Acceleration] svshost.exe

O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Fernando\Escritorio\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\exio-pillamusica4\entrar.html (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/20609/online.chm::/on-line.exe

O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{44C6458B-E87E-4231-84ED-CAABD0D843B2}: NameServer = 195.235.113.3,194.179.1.100

O18 - Filter: text/html - {A8BF2983-A500-4A7A-975B-B35299779F7B} - C:\WINDOWS\System32\mbb.dll

O18 - Filter: text/plain - {A8BF2983-A500-4A7A-975B-B35299779F7B} - C:\WINDOWS\System32\mbb.dll

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

[maura63]

Tienes basura, como usas XP pasalos en modo seguro y desactiva antes restaurar sistema.



Pasa Spybot y tambien este otro



CWSHREDDER 2.0



http://www.softpedia.com/public/cat/10/17/10-17-150.shtml



Una vez pasados en dicha forma vuelve a lanzar hijacthis y veremos los restos que quedan.



Es asi mas facil que ir mostrando que borrar cuando los programas ya te eliminaran lo que detecten.



Y actualiza en windows update el XP a la SP1 e I Explorer tambien.





Saludos

maura63

[msc hotline sat]

Si con ello no lo lograra, aunque espero que sí, estamos pendientes de que ADMIN solucione un problema de UPLOAD Para subir la nueva 3.9 del ELISTARA-EXE en la que hemos implementado la restauracion de mas claves para la eliminacion de este troyano:



---v3.9---(25 de Octubre del 2004) (para incidencia con "easy-search.biz")



saludos



ms, 27-10-2004

[maura63]

Y consulta los pasos de un tema paralelo en otro foro de esta web



https://foros.zonavirus.com/viewtopic.php?t=3505&start=15



Pero mejor espera a que suban la utilidad y la pruebas, y si hubiese cualquier cabo suelto se podria solucionar.





Saludos

maura63

[Fernandotc]

Hola, he hecho lo que he podido, como no domino del tema, lo que no se hacer lo hago hasta donde puedo, cuando la cosa se pone complicada para mi paro, por si la cago más... entonces lo que he hecho es arrancar en modo seguro y pasar el spybot y luego el hijackthis obteniendo esto como resultado del scan:



Logfile of HijackThis v1.98.2

Scan saved at 22:45:19, on 29/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Fernando\Escritorio\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A536F09D-7292-4E74-AB29-987CAF189E8A} - C:\WINDOWS\System32\mbb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKLM\..\Run: [Games Acceleration] svshost.exe

O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKCU\..\Run: [Games Acceleration] svshost.exe

O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Fernando\Escritorio\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\exio-pillamusica4\entrar.html (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/20609/online.chm::/on-line.exe

O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{44C6458B-E87E-4231-84ED-CAABD0D843B2}: NameServer = 195.235.113.3,194.179.1.100

O18 - Filter: text/html - {A8BF2983-A500-4A7A-975B-B35299779F7B} - C:\WINDOWS\System32\mbb.dll

O18 - Filter: text/plain - {A8BF2983-A500-4A7A-975B-B35299779F7B} - C:\WINDOWS\System32\mbb.dll

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll



SE HA ACLARADO UN POCO LA COSA O SIGUE TAN MAL COMO ME TEMO?

[caito]

Actualiza el IE , baja el AdAware Se, lo actualizas y lo corres con Restaurar sistema deshabilitado( tienes que tildar los objetos malignos que te encontró y luego aprobar su eliminación ):

http://www.majorgeeks.com/download506.html



aprovecha y haz un scan on line, si tienes ADSL elige con funciones de red:

https://www.virustotal.com/es/





Luego pega un nuevo log del hijack a ver si te quedado menos basura.

Salu2

Caito

[maura63]

Y como dices que no entiendes mucho, para actualizar el IE simplemente abres el explorador de internet y pincha en herramientas y luego en windows update, le das a buscar actualizaciones y bajate las que te falten.



Si no lo actualizas por completo, por muchos programas que pases estaras en las mismas.



Saludos

maura63

[Fernandotc]

hola, he intentado actualizar el explorer como 100 veces, pero no se porque no me deja, no se carga la pagina ni hace nada, tampoco puedo descargarme nada simplemente se me carga la pagina de "no se encontro...". Los programas como el spybot..etc los tengo que descargar desde ordenadores de amigos.

¿Puedo solucionar el problema sin necesidad de actualizar el explorer? en caso contrario, ¿lo mejor que puedo hacer es buscar la ultima version del explorer o otro navegador e instalarla?

[maura63]

Elimina las entradas R1 y R0 que terminan con about:blank

y ademas estas

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080



O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKLM\..\Run: [Games Acceleration] svshost.exe

O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe

O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe

O4 - HKCU\..\Run: [Games Acceleration] svshost.exe

O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe

O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe



O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/20609/online.chm::/on-line.exe

O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab





Para eliminar lanza el hijackthis en modo seguro y desactiva restaurar sistema, ejecutas pulsa scan y las que encuentres como estas que te indico las marcas y pulsa FIX y acepta.



Saludos

maura63

[msc hotline sat]

Ya está disponible en esta web la version 3.9 del ELISTARA.EXE, sugiero descargarla y probarla, pues corrige nuevas entradas al respecto.



https://foros.zonavirus.com/viewtopic.php?f=5&t=860



A medida que van surgiendo nuevas incidencias, la vamos potenciamdo, y la actual es posible que aregle el problema



Dinos el resultado, gracias



saludos



ms, 8-11-2004

[msc hotline sat]

Y aparte, ya que acabamos de solucionar unosimilar con el Bazooka, indico el link:



____________



BAZOOKA, ANTISPYS /KEYLOGGERS



http://www.download.com/Bazooka-Adware-and-Spyware-Scanner/3000-8022-10247783.html?tag=lst-0-22







probadlo y decidnos algo



saludos



ms, 8-11-2004

[Fernandotc]

hola, poco a poco pero algo progreso, os cuento:



he arrancado el pc en modo seguro, desactivando restaurar sistema,he lanzado el spybot search and distroy, borrando los problemas que me decia que tenia ( www. cool search o algo asi y otro), luego he lanzado el hijackthis borrando las entradas que me habeis marcado y por ultimo he pasado el elistarA ultima version, poniendo como pagina de inicio google.



he reiniciado, he utilizado el iexplorer y como siempre que paso el elistarA la pagina de inicio es de google. He cerrado el explorer, lo he vuelto a abrir, pero esta vez, como en las anteriores ocasiones, la pagina de inicio ha sido la de about blank.



A pesar de todo, una vez hecho todo lo que os he comentado puedo navegar mejor, es decir, se me cargan las paginas a las que quiero ir, e incluso he podido descargar el bazooka scanner, cosa que antes no podia hacer (descargar algun programa), por cierto lo he instalado, he pasado el scanner y no me ha marcado nada, eso si, paralelamente se me ha cargado un par de pagina de internet de buscadores raros y una pagina porno.



Por ahora las cosas estan asi.

[maura63]

Pega un log del hijackthis, y aparte se me quedaron atras estas entradas



O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\exio-pillamusica4\entrar.html (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm



Saludos

maura63

[Fernandotc]

hola, he despues de abrir windows en modo seguro paso el spybot, siempre me salen escaneados el coolwwwsearch y dso esploit o algo asi, los elimino, automaticamente paso el hijackthis, eliminado las entradas que me comentastes, obtengo lo siguiente:



Logfile of HijackThis v1.98.2

Scan saved at 13:03:40, on 11/11/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Fernando\Escritorio\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A536F09D-7292-4E74-AB29-987CAF189E8A} - C:\WINDOWS\System32\mbb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Fernando\Escritorio\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{44C6458B-E87E-4231-84ED-CAABD0D843B2}: NameServer = 195.235.113.3,194.179.1.100

O18 - Filter: text/html - {A8BF2983-A500-4A7A-975B-B35299779F7B} - C:\WINDOWS\System32\mbb.dll

O18 - Filter: text/plain - {A8BF2983-A500-4A7A-975B-B35299779F7B} - C:\WINDOWS\System32\mbb.dll

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)







luego abro el explorer, la pagina de inicio es siempre about:blank, ya no es easysearch.biz, cierro el explorer y paso otra vez el hijackthis, obteniedo el siguiente log, sin eliminar nada:





Logfile of HijackThis v1.98.2

Scan saved at 13:05:04, on 11/11/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Fernando\Escritorio\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A536F09D-7292-4E74-AB29-987CAF189E8A} - C:\WINDOWS\System32\mbb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Fernando\Escritorio\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{44C6458B-E87E-4231-84ED-CAABD0D843B2}: NameServer = 195.235.113.3,194.179.1.100

O18 - Filter: text/html - {A8BF2983-A500-4A7A-975B-B35299779F7B} - C:\WINDOWS\System32\mbb.dll

O18 - Filter: text/plain - {A8BF2983-A500-4A7A-975B-B35299779F7B} - C:\WINDOWS\System32\mbb.dll

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)



en ningun momento he pasado el elistarA v3.9. Como lo ves?

[maura63]

Elimina estra entrada pulsando fix



O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)



Pasa el elistarA v3.9 y luego ya en modo normal conecta con windows update e intenta actualizar.Y antes de intentar actualizar instalaria este cortafuegos gratuito.



ZONE ALARM 5.5.062 EN INGLES (9/11)



http://download.zonelabs.com/bin/updates/znalm/za55062000AEN1023.html



En la misma pagina tienes el manual en castellano



Elimina tambien archivos temporales, archivos sin conecxion e historial.



Saludos

maura63

[caito]

Y estas tb:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Fernando\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Salu2

Caito

[Fernandotc]

Hola, continuo con los problemas a pesar de toda vuestra ayuda, no consigo eliminar el troyano o lo que sea, por mas que paso el spybot search and destroy, bazooka, elistarA3.9 usar un cortafuego...etc etc, por mas que paso el hijackthis y elimino las entradas conflictivas ... ya no se que hacer para poder arreglarlo.......hay alguna manera definitiva de acabar con todo esto sin tener que formatear ????

[Fernandotc]

Por cierto, lo que en un principio era la pagina de inico easy-search.biz es ahora constantemente la famosa pagina about.blank , conozco otras personas que tenian el mismo problema, y al final el pc acabo por no arrancarles, no se si por el virus este o por otros motivos...espero que haya una solucion para no tener que llegar a ese extremo.



Gracias.

[maura63]

Consulta link y a ver si lo conseguimos



http://sarc.com/avcenter/venc/data/pf/adware.easysearch.html



Saludos

maura63