necesito eliminar trojano de umaxsearch

[xion]

Bueno antes que nada quiero decir que soy nuevo y necesito ayuda, mis sistema es windows xp y mi navegador el explorer.

Yo tenia ese virus que te cambia la pagina de inicio por la de my-search.cc y me parece que logre elimnarlo siguiendo los pasos de como eliminarlo de varias fuentes de internet.



Pero ahora tengo otra variante de esos trojanos y ya no me cambia la pagina de inicio cada que abro el explorer pero lo que sucede es que lo hace esporadicamente o a la azar asi que puedo abrir el explorador varias veces y no pasa nada pero de repente en vez de la pagina de inicio me abre otras paginas y todo eso sin alterar el campo de pagina de inicion de la opcion Herramientas/General del navegador dejandola intacta como estaba por default.



Tambien de repente al estar navegando y hacer click en un link o cambiar de pagina me manda a otras paginas o simplemente aun sin hacer click en nada de repente me cambia la pagina por otra.



Lamentablemente no he podido eliminarlo porque el antivirus que tengo Norton 2004 no lo detecta.

Además de que en el panel de control me sale un programa llamado Best Search Engine! el cual no puedo eliminar ya que le doy desintalar pero al reiniciar la maquina vuelve a estar ahi, ni siquiera eliminando las entradas del registro que hacen alusion a este programa he podido quitarlo.



Ya baje el spybot y el ad-aware y probare si puedo eliminar o no el trojano.



Entre las paginas a las que me el virus manda estan:



http://www.umaxsearch.com/search.php?aid=32986&sub_aff_id=slan&q=viagra%20pills&u=66.230.180.82%2Fclick.php%3Fc%3DjWZRY4xy5YmoDHBGodnLFLsaqqGyKpUOIK3iS%252F8jPHT9aTTL%252FACH%252Ft6NSAh3qXkbgkvmtD3vzAgpoyoKkzzlz%252BRMMoUpHi60CeMNooXM44%252BdTo%252BxZe3LUkX%252Bk2MJ78xSmF%252FS6r6SPv%252F%252Fu%252BppYG4RnSRb34LfTyv5BPmJrYbFXfMcDFBDTRFnSMufCmIkXgT3z%252Bi1PH2NMojZNpSUDQH8Wykzd0gjL8w8WrExYjx6qyKeSwd4kjiRdQgtIhol8K%252BXdvYZpflZpKgLLFHESHpOFbMjpw%252Bkg9BsUE0Tvu4vwz%252Bh3%252FvxmX%252Bnn7LN6y9XUYU2PzbzQHENLXaaCp08OwKtcg%253D%253D

http://umaxsearch.com/search.php?aid=32986&said=slan&q=viagra+pills

http://www.savehits.com/search.php?aid=128&q=teens

http://www.pharmaexpressrx.com/index.asp

http://www.direct-pharmacy.net/index.asp?aff=8

http://www.abcsearch.com/redirect/?affiliate=savehits&Terms=teens&ah=1&t=uggc%3A%2F%2Fhf05.kzyfrnepu.svaqjung.pbz%2Fova%2Fsvaqjung.qyy%3Fpyvpxguebhtu%40l%5E82089%40k%5ExYedZGkIy6%3BSFCAPEii4XQXODibNgDowMvvTFM324IA%3BNQJ6KM3T%3Ai5tmaMmt60yww31nvKnZ8vBfv4imaMi76NkB1oXEMhcMMbJK5ef085riMQl%3APbyKEQoGQ5GGLvaKDnhBrKWB8NbLtomM1ZBDMh0sIX0FRZLKzhrZ34%3BM&b=%200.08&e=SvaqJung&abctime=1102131182&hash=dc77efafa52ce5f62049914c51b5f3cf&v3=Z2290512375@@Adhh2Vk5WaG1TZmIDOxEzMxIDMxETPl1Wa0ZCM4AzM5EDMy4yMzUDMyMTYM1DZpxmJ9QWamETMx4SO3EjL2YjLwAjM9AXa1ZCNw4CMg0jYmMHdphWZ2F2c9YWY

[cañera]

pasale en a modo seguro y dejando ver los archivos ocultos el hijackthis:

Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.

Descarga

· Hijackthis version: 1.98.2



Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

-------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip

cuentanos como te fue.





Descarga

· Hijackthis version: 1.98.2



Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

-------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip

[xbo]

Podes probar de instalarte el panda (titanium o platinium) o pasarle un scaneo online, yo alguna vez tuve este virus, y el panda titanium q tengo instalado me lo detecto y neutralizo, y nunca mas se hizo ver de nuevo... suerte :wink:

[xion]

Tengo un problema porque al scanear con el Hijackthis me marca muchas entradas del registro que son necesarias para el funcionamiento de programas importantes, ejemplo me marca las entradas de RUN de todos los programas de Symantec, tambíén ma marca todos los de la barra de busqueda de Google, y varios DLLs del directorio de system32 que no se si deban ser borrados.



Como ven me marca demasiadas entradas que no deben ser borradas, asi que quisiera saber si alguien me puede informar como diferenciar cuales son las entradas asociadas al virus para no borrar ninguna importante.



Las que si borre todas son la asociadas a busquedas como new-search, cool new-search y x-google.

[cañera]

no elimines nada,peganos el resultado para nosotros mirar que es lo que te puede estar afectando.

le das a scan y luego a save y el resultado te saldrá en el block de notas,lo copias y pegas en este mismo post.

esperamos respuesta.

[xion]

Despues de borrar varias entradas las que me quedan son:



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\ScanSoft\OmniPagePro12.0\Opware12.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\ARCHIV~1\Symantec\LIVEUP~1\LUALL.EXE

C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-mx\msnappau.exe

C:\WINDOWS\System32\wuauclt.exe

C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\Rar$EX01.206\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll

O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe beem.dll, DllRegisterServer

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [Opware12] "C:\Archivos de programa\ScanSoft\OmniPagePro12.0\Opware12.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Symantec NetDriver Warning] C:\ARCHIV~1\SYMNET~1\SNDWarn.exe

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROProj.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{9DB1A8B6-191C-44B0-A8FA-61D9EC5FEC22}: NameServer = 200.33.146.194 200.33.146.202

O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll

O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll

[cañera]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\blank.htm

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROProj.dll

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -

O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll

O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll



todas esas entradas que te di las eliminas en a modo seguro desactivando restaurar sistema y pasa de la misma forma el antivirus que estes usando como residente.

esperamos respuesta.

[xion]

ok ya lo hice, y aparentemente se corrigio lo de las paginas que se abren solas, pero ahora tengo problemas con el firewall, utilizo el internet security pero tiende desactivado el bloqueador de intrusiones y si intento activarlo me manda el mensaje de que mi cuenta no dispone de los privilegios de administrador para cambiarlo.



una pregunta: el archivo lsass.exe que se ejecuta al iniciar mi maquina tiene algo que ver con el virus sasser??



porque no se puede borrar por mas que lo intento ni en modo seguro.

[cañera]

no tiene por que,ese es un proceso de windows.

de todas maneras vete a http://www.windowsupdate.com y ponle todas las actualizaciones criticas que necesite tu pc.

intenta hacer el cambio en el cortafuegos en a modo seguro con derecho de administrador.

cuentanos como te fue.