infectado con coolwebsearch (Solucionado)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
sacaag
Mensajes: 4
Registrado: 25 Dic 2004, 17:01

infectado con coolwebsearch (Solucionado)

Mensaje por sacaag » 25 Dic 2004, 17:04

Me he descargado un programa que me ha dejado un "regalo" en mi ordenador. No se muy bien que clase de porquería es, pero tiene que ver con algo llamado “coolwebsearch” y con alguna de sus variantes CWS.Svchost32, CWS.Bootconf, que me van abriendo paginas indeseadas en el explorer. No tengo modo de eliminarlo. Resulta que cada vez que intento eliminarlo con el Spybot - Search & Destroy y con el HijackThis vuelve a aparecer; y lo mismo con la herramienta especifica llamada cwshredder.exe (http://www.intermute.com/spysubtract/researchcenter/), ni tampoco editando y dejando limpio el archivo host, (éste se va modificando a cada momento) Una basura de aquí te espero!!. Tengo windows 98 y IE 6. He probado de hacer todas las limpiezas en el modo a prueba de fallos y puedo acabar con todo, pero cuando reinicio el equipo en el modo normal vuelven a aparecer todos los signos de esta infección.



Aquí os pongo el informe que me da el HijackThis por si alguien puede darme alguna indicación:



Logfile of HijackThis v1.97.7

Scan saved at 0:42:57, on 25/12/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WIND98\SYSTEM\KERNEL32.DLL

C:\WIND98\SYSTEM\MSGSRV32.EXE

C:\WIND98\SYSTEM\MPREXE.EXE

C:\WIND98\SYSTEM\mmtask.tsk

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\AVPCC.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\WIND98\EXPLORER.EXE

C:\WIND98\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\AVPM.EXE

C:\WIND98\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\AVPCC.EXE

C:\WIND98\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY ANTI-HACKER\KAVPF.EXE

C:\WIND98\SYSTEM\WMIEXE.EXE

C:\WIND98\SYSTEM\PSTORES.EXE

C:\WIND98\SYSTEM\SPOOL32.EXE

D:\HIJACKTHIS\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIND98\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Rscmpt] C:\WIND98\SYSTEM\Rscmpt.exe

O4 - HKLM\..\Run: [mdac_runonce] C:\WIND98\SYSTEM\runonce.exe

O4 - HKLM\..\Run: [SoundMan] soundman.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait

O4 - HKLM\..\RunServices: [AVPCC Service] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: PopTray.lnk = D:\Archivos de programa\PopTray\PopTray.exe

O4 - Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://d:\Archivos de programa\LeechGet 2004\\Wizard.html

O8 - Extra context menu item: Descargar usando LeechGet - file://d:\Archivos de programa\LeechGet 2004\\AddUrl.html

O8 - Extra context menu item: Bajar web con LeechGet - file://d:\Archivos de programa\LeechGet 2004\\Parser.html

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O9 - Extra button: Real.com (HKLM)

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O12 - Plugin for .png: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin3.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/f

lash/swflash.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsCl

ient.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://geotoo.mkm-wpe.net/activex/AxisCamControl.ocx

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/dir

ector/sw.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iu

ctl.CAB?37895.6507291667

O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} - https://webresponse.one.microsoft.com/oas/ActiveX/winr

ep.cab

O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) -

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStr

eam3.cab?url=http://www.viewpoint.com/cgi-bin/beta/vet_install_popup.pl?1&4&04.00.04.03&http://www.opel.es/content_data/GME/019/ES/es/GBPES/m

icrosites/meriva3d/meriva.html

O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/English%20to%20Spanish.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://creator.amenworld.com/app/static/activex/msxml

4.cab



Gracias de antemano

Salva
Arriba
Avatar de Usuario
caito
Mensajes: 1538
Registrado: 30 May 2004, 06:29
Ubicación: Argentina

Mensaje por caito » 25 Dic 2004, 17:47

Marca y repara (fix) las siguientes entradas:



O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch





Edita con el notepad el fichero c:\windows\drivers\hosts y eliminalas también de ahi.

Salu2

Caito
Arriba
sacaag
Mensajes: 4
Registrado: 25 Dic 2004, 17:01

Mensaje por sacaag » 25 Dic 2004, 20:30

Ante todo, gracias por el interés.



Este paso ya lo he realizado un monton de veces. Incluso en las ultimas ocasiones me da un error al intentar eliminarlos. No hay forma de que se eliminen. Si vuelvo a ejecutar el escaneo con el HijackThis me vuelven a aparecer como minimo tres de las lineas que mencionas e incluso en sucesivas ocasiones otras mas con el mismo contenido. El archivo host que yo tengo en C:\windows ho he editado en varias ocasiones y vuelve a automodificarse de manera incontrolada. En ocasiones llega a pesar mas de 1 mega.



Sigo, pues, con el problemón.



Salva
Arriba
sacaag
Mensajes: 4
Registrado: 25 Dic 2004, 17:01

Mensaje por sacaag » 26 Dic 2004, 20:03

Autor: sacaag

Fecha: 26-12-2004 19:57



Finalmente con la última versión del Ad-Aware y en modo deprueba de fallos me ha eliminado toda la basura. He reiniciado en normal y pasando el HijackThis ya no me saca las dichosas lineas:

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch



Parece que todo vuelve a estar en orden.

Me pregunto que hacer y que no hacer en el futuro para evitar sustos de esta naturaleza????

Gracias por el interés y los consejos.

Salva
Arriba
Avatar de Usuario
caito
Mensajes: 1538
Registrado: 30 May 2004, 06:29
Ubicación: Argentina

Mensaje por caito » 26 Dic 2004, 20:49

Instala este programa :

http://www.javacoolsoftware.com/spywareblaster.html

Lo actualizas y pones que te active la protección para todos los elementos.

No entrés en páginas sospechosas y fíjate bien cuando bajas algún programa en lo que aceptas al instalarlo.

Me alegro que hayas solucionado el problema.

Salu2

Caito
Arriba
sacaag
Mensajes: 4
Registrado: 25 Dic 2004, 17:01

Mensaje por sacaag » 26 Dic 2004, 22:44

Tomo nota y gracias de nuevo!!!!!
Arriba
maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:
Contactar maura63

Mensaje por maura63 » 27 Dic 2004, 09:54

Damos por solucionado el tema y lo cerramos.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Arriba
Cerrado

Volver a “Foro Virus - Cuentanos tu problema”