ayuda con updatesearches.com

barudo · Mensaje por **barudo** » 30 May 2005, 14:20

Hola, estoy un poquillo desesperado. Mi página de inicio es permanentemente updatesearches.com y mi fondo de escritorio es una pagina web relativa a los spy.

Esto es lo que tengo. ¿que puedo hacer?

Logfile of HijackThis v1.98.0

Scan saved at 14:17:45, on 30/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\popuper.exe

C:\WINDOWS\System32\msole32.exe

C:\WINDOWS\System32\shnlog.exe

C:\WINDOWS\System32\intmonp.exe

C:\WINDOWS\System32\intmon.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\ZyXEL\Odyssey Client for ZyXEL\odClientService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/

O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpEB7C.tmp

Mensaje por **msc hotline sat** » 30 May 2005, 14:58

Antes de tocar manualmente en registro de sistema, lanza el ELISTARA:EXE y nos cuentas el resultado, como respuesta de este Tema, gracias

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 30-05-2005

Mensaje por **msc hotline sat** » 30 May 2005, 15:02

Si luego notas alguna anomalía y nos quieres postear el log del HJT, hazlo utilizando la version acrual del HJT, la 1.99.1, que puedes bajar de:

http://www.hijackthis.de/downloads/hijackthis_199.zip

saludos

ms, 30-05-3005

barudo · Mensaje por **barudo** » 30 May 2005, 23:46

¡Hola de nuevo! he pasado el EliStart y esto es lo que sale, Qúe hago?

Gracias por anticipado

Mon May 30 23:01:25 2005

EliStartPage v8.2 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\WINNOOK.EXE --> Eliminado Danger

Por favor, envienos una muestra del fichero

C:\DOCUME~1\MARCOS~1\CONFIG~1\TEMP\HHK.DLL.Muestra EliStartPage v8.2

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HHK.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\DOCUME~1\MARCOS~1\CONFIG~1\TEMP\INTMON.EXE.Muestra EliStartPage v8.2

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\INTMON.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\HPEB7C.TMP --> Renombrado a .VIR

Eliminada Class, BHO y ToolBar "{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}"

Eliminada Carpeta "%Favoritos%\Adult"

Eliminada Carpeta "%Favoritos%\Shopping"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 30 23:09:58 2005

EliStartPage v8.2 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\backups\backup-20050529-231056-437.dll --> Eliminado, Puper (BHO)

C:\Archivos de programa\backups\backup-20050529-234653-675.dll --> Eliminado, Puper (BHO)

C:\Archivos de programa\backups\backup-20050529-234721-351.dll --> Eliminado, Puper (BHO)

C:\Archivos de programa\backups\backup-20050529-234749-142.dll --> Eliminado, Puper (BHO)

C:\Archivos de programa\backups\backup-20050530-103058-433.dll --> Eliminado, Puper (BHO)

C:\Archivos de programa\backups\backup-20050530-131552-162.dll --> Eliminado, Puper (BHO)

C:\System Volume Information\_restore{5F8334BC-9A2E-49EA-B230-DD4D2A866195}\RP45\A0011752.exe --> Eliminado, BB Bargains uninst

C:\System Volume Information\_restore{5F8334BC-9A2E-49EA-B230-DD4D2A866195}\RP49\A0012964.EXE --> Eliminado, Danger

C:\System Volume Information\_restore{5F8334BC-9A2E-49EA-B230-DD4D2A866195}\RP49\A0012968.dll --> Eliminado, Puper (BHO)

C:\System Volume Information\_restore{5F8334BC-9A2E-49EA-B230-DD4D2A866195}\RP49\A0012969.dll --> Eliminado, Puper (BHO)

C:\System Volume Information\_restore{5F8334BC-9A2E-49EA-B230-DD4D2A866195}\RP49\A0012970.dll --> Eliminado, Puper (BHO)

C:\System Volume Information\_restore{5F8334BC-9A2E-49EA-B230-DD4D2A866195}\RP49\A0012971.dll --> Eliminado, Puper (BHO)

C:\System Volume Information\_restore{5F8334BC-9A2E-49EA-B230-DD4D2A866195}\RP49\A0012972.dll --> Eliminado, Puper (BHO)

barudo · Mensaje por **barudo** » 30 May 2005, 23:53

Esta es la Logfile de la nueva version del HijackThis v1.99.1

Logfile of HijackThis v1.99.1

Scan saved at 23:53:03, on 30/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\popuper.exe

C:\WINDOWS\System32\msole32.exe

C:\WINDOWS\System32\shnlog.exe

C:\WINDOWS\System32\intmonp.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\ZyXEL\Odyssey Client for ZyXEL\odClientService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\intmon.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\hijackthis 199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpEB7C.tmp

O4 - HKLM\..\RunOnce: [ReEXEc] D:\Descargas\Programas\EliStarA.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Odyssey Client for ZyXEL (odClientService) - Funk Software, Inc. - C:\Archivos de programa\ZyXEL\Odyssey Client for ZyXEL\odClientService.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

Mensaje por **maura63** » 31 May 2005, 08:55

Sigues teniendo

C:\WINDOWS\popuper.exe -

C:\WINDOWS\System32\msole32.exe -

C:\WINDOWS\System32\shnlog.exe -

C:\WINDOWS\System32\intmonp.exe -

C:\WINDOWS\System32\intmon.exe -

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1 -

O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpEB7C.tmp -

Saludos

maura63

Mensaje por **msc hotline sat** » 31 May 2005, 11:07

En el informe del ELISTARA le estamos pidiendo que nos envie muestras de unos ficheros que hemos movido eliminandolos de su ubicacion inicial:

[quote="ELISTARA"]
Por favor, envienos una muestra del fichero

C:\DOCUME~1\MARCOS~1\CONFIG~1\TEMP\HHK.DLL.Muestra EliStartPage v8.2

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HHK.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\DOCUME~1\MARCOS~1\CONFIG~1\TEMP\INTMON.EXE.Muestra EliStartPage v8.2
[/quote]

Con ello podremos mejorar el ELISTARA, como hacemos continuamente, para que detecte y elimine estos ficheros por cadena de deteccion.

Tras enviarnoslos, ya puede eliminar estos ficheros de esta carpeta temporal

saludos

ms, 31-05-2005