¡ ayuda ¡ Imposible eliminar coolwebsearch

barto · Mensaje por **barto** » 13 Ene 2006, 15:33

Tengo un problema con un spyware, me cambia la pagina de inicio por otra ( abaut blank ) y me salen ventanas emergentes al buscar algo en la web y me agregan paginas que no conosco a mis favoritos.

Ya habia pegado el log hjk pero me dijeron que lo hiciera en modo seguro.. la verdad es que soy muy muy novato en esto..

os agradesco su ayuda..... y les deseo suerte en su trabajo

Aqui esta mi hjts

Logfile of HijackThis v1.99.1

Scan saved at 08:18:25 a.m., on 13/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\Galeano\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wvbte.dll/sp.html#93256%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wvbte.dll/sp.html#93256%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wvbte.dll/sp.html#93256%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wvbte.dll/sp.html#93256%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wvbte.dll/sp.html#93256%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wvbte.dll/sp.html#93256%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wvbte.dll/sp.html#93256%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {157712C3-29CA-A1A8-A14B-8EB4C824AFDC} - C:\WINDOWS\FYI\xljencyiwt.dll (file missing)

O2 - BHO: Class - {24EDB288-AF4A-18FA-270B-627C10F2632F} - C:\WINDOWS\system32\appgz.dll

O2 - BHO: Class - {2DB2B4D5-50F2-B854-35AD-B1004EF4A759} - C:\WINDOWS\mfcne32.dll

O2 - BHO: Class - {33A91ECF-F829-DFA8-9851-A9542E8C427A} - C:\WINDOWS\crco.dll (file missing)

O2 - BHO: Class - {3F18E16D-F794-AD29-32FD-2AA0E587716B} - C:\WINDOWS\javakb32.dll (file missing)

O2 - BHO: Class - {4374C992-E7FA-01DF-90A2-67B7C166CAE3} - C:\WINDOWS\system32\msjr32.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Class - {AFF226D4-6484-3652-603F-005908E0DFD4} - C:\WINDOWS\javauq.dll

O2 - BHO: Class - {DBF01E90-2654-1D4D-B857-B1C3A0B33591} - C:\WINDOWS\d3th32.dll (file missing)

O2 - BHO: Class - {FF52FC75-302C-5DED-C090-F77905337D75} - C:\WINDOWS\winfb.dll

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [mmtask] "C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [apirt.exe] C:\WINDOWS\apirt.exe

O4 - HKLM\..\Run: [appvv32.exe] C:\WINDOWS\appvv32.exe

O4 - HKLM\..\Run: [appuv32.exe] C:\WINDOWS\appuv32.exe

O4 - HKLM\..\Run: [LanzarP2006] "C:\DOCUME~1\Galeano\CONFIG~1\Temp\{83D8E805-A737-42A6-8C0F-D4CE50C45279}\{EEBA9416-3207-47E0-9022-116440599DBC}\..\..\P2006tmp\Install.exe" /SETUP:"/l0x000a"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A7F51FF-B0B3-45D3-8D71-939FB1B657A8}: NameServer = 63.245.25.2

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll

O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\archivos de programa\mcafee.com\agent\mcdetect.exe (file missing)

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe (file missing)

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe

O23 - Service: SmartFinder Uninstall (SmartFinder_Uninstall) - Unknown owner - C:\Documents and Settings\Galeano\Configuración local\Archivos temporales de Internet\Content.IE5\CH2ZKTE7\SFUninstaller[2].exe" service (file missing)

gracias......

Mensaje por **maura63** » 13 Ene 2006, 15:36

Descarga esta utilidad

http://www.zonavirus.com/descargas/elistara.asp

Y arrancando en modo seguro la lanzas.

Saludos

maura63

Mensaje por **msc hotline sat** » 13 Ene 2006, 16:54

En ru anterior Tema, que debias haber utilizado para responder, en lugar de abrir uno nuevo (!) se te pedian mustras antes todo, de dos ficheros:

[quote]Empieza por enviarnos muestras del

C:\WINDOWS\winfb.exe

y del:

C:\WINDOWS\apirt.exe

envianoslos anexados a un mail a zonavirus@satinfo.es en cuyo texto nos indiquyes la referencia REF AGENTBI y tras examinarñps añadioremos su control y eliminacion si procede a la proxima version del ELISTARA, informando al respecto

[/quote]

No nos consta haberlas recibido, y sin ellas el ELISTARA no va a controlar estos dos marranos que vemos que tienes, por no conocerlos ...

Informanos al respecto, COMO RESPUESTA DE ESTE TEMA, gracias

saludos

ms, 13-1-2006

barto · Mensaje por **barto** » 14 Ene 2006, 18:10

he corrido el spybot en modo seguro y en modo avanzado como se indicó en un anuncio el el foro y al parecer mi maquina lla no presenta ningun problema ni con la pagina de inicio ni con ningun otro tema de spyware.. pero si corro el spybot detencta un coowebsearch es unico y no se puede eliminar .... aun aunque mi maquina no presente ninguno de los sintomas del spyware... ¿lo que encuntra el spybot representa algun peligo ?

Mensaje por **msc hotline sat** » 14 Ene 2006, 20:31

Por supuesto que no está del todo si "spybot detencta un coowebsearch"

No sé si nos enviastes los ficherois que te indiqué. Podian estar relacionados. Confirmamelo

saludos

ms, 14-1-2006

barto · Mensaje por **barto** » 15 Ene 2006, 17:44

al correr el elistart en modo seguro antes de hacer el spybot modo avanzado me salio lo siguiente

Fri Jan 13 09:13:39 2006

EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\WINDOWS\APPUV32.EXE

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\GALEANO\CONFIG~1\TEMP\WVBTE.DLL.Muestra EliStartPage v10.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WVBTE.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\GALEANO\CONFIG~1\TEMP\WINFB.DLL.Muestra EliStartPage v10.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WINFB.DLL --> Eliminado

Eliminada Class, "{FF52FC75-302C-5DED-C090-F77905337D75}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 13 09:18:48 2006

EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\system32\Tools\RegClean.exe --> Eliminado, Delf (Notify)

Fri Jan 13 12:35:55 2006

EliStartPage v10.92 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

espero que sea esto lo que necesiten

y gracias

Mensaje por **msc hotline sat** » 15 Ene 2006, 19:25

Pues lo que procede es enviar estps ficherps, aparte del informe que te lo dice !!!:

Por favor, envienos una muestra del fichero

C:\WINDOWS\APPUV32.EXE

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\GALEANO\CONFIG~1\TEMP\WVBTE.DLL.Muestra EliStartPage v10.94

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\GALEANO\CONFIG~1\TEMP\WINFB.DLL.Muestra EliStartPage v10.94

a "virus@satinfo.es". Gracias.

saludos

ms, 15-1-2006