Foro de Spyware - Ver Mensaje Individual - Home Search Assistant, Search Wizard, Shopping Wizard, Search Bar

Tema: Home Search Assistant, Search Wizard, Shopping Wizard, Search Bar - (solucionado)

Ver Mensaje Individual

post #1 (permalink)

02/02/05, 10:21:54

AH87

Usuario

Registrado: feb 2005

Ubicación: España

Mensajes: 3

Home Search Assistant, Search Wizard, Shopping Wizard, Search Bar - (solucionado)

Este domingo pasado, 30 de enero, descargué un programa llamado “quien no admitido”, y desde entonces me da problemas la pagina de inicio de internet explorer, y me salen multitud de pop-ups sobre variado contenido, pero sobretodo de programas supuestamente anti-spyware. La pagina de inicio es la misma q en algun otro post q he visto por aquí:

En al barra de la direccion sale “about:blank”, aparece como un buscador que es Home Search, me sale una ventana que me indica:
WARNING
Windows detected spy software "sspMydoom.cih" ver 2018. Somebody is trying to access you through port 245. Your private information is in danger.
Clik ok for info on how to remove this spy software.
ACEPTAR CANCELAR

En inicio/panel de control/agregar o quitar programas al menos salen 3 entradas q no conozco : Home search assistant, search wizard y shopping wizard, q no consigo eliminar por el metodo habitual.

Siguiendo las indicaciones de, etre otros, su foro hice lo siguiente:
Al tener el Windows XP desactive “restaurar sistema” e inicie Windows en modo a prueba de errores con funciones de red. Una vez en esta situación he pasado las siguientes utilidades con los respectivos resultados q a continuación me dispongo a indicarles:

He probado la utilidad “http://looking-for.cc/uninstall/Home...Assistant.exe”, sin accion alguna ni resultado aparente.

CW Shredder v2.12, según informa no encuentra nada, ni necesita realizar cambio alguno.

SpyBot 1.3.1 TX (actualizado 28-01-05) Detecta: Startpage-EH, BPS Spyware Remover y CoolWWWSearchAff.Winshow (previamente habiendo detectado el DSO Exploit, y una vez actualizado, aparentemente eliminado). teniendo las tres marcadas, ejecuto “solucionar problemas”.

Ad Aware 6.0 Professional Build 162: 0 New Objects

AnalogX Script Defender : Files extensions to intercept.... VBS, VBE, JS, JSE, HTA, WSF, WSH, SHS, SHB, CIH...Ejecutando “remove intercepts”

Panda Antivirus Titanium Actualizado 01-02-05 Scaneando todo el PC : encontrados 2 archivos sospechosos (extensión “.vir”), 2 archivos renombrados.

EliHomeSearchAssistant v1.5 Scaneo “C:”... 0 archivos infectados, 0 archivos eliminados

Scaneo con http://www.windowsecurity.com/trojanscan/trojanscan : no encontrandose troyanos

Panda active Scan no encontrandose virus

Adware Away v2.0 :
"scan all"/ "Specialized Remover"/"Removed Hijackers" y me aparecieron distintas versiones de Hijacks (entre ellas, varias de “about:blank”)

He ido pinchando en cada una de cada versión, apareciendome una breve descripción en inglés de cuáles son las características del bicho y cómo se os ha metido en el ordenador.Una vez seleccionado, le he dado a "Remove" a todas las versiones que allí me aparecian

Instalo el agnitum outpost firewall y el SpywareBlaster.

Apago el ordenador, dejo pasar unos segundos, y lo enciendo, dejando q entre en windows normalmente. Pruebo de abrir el internet explorer, abre con mi pagina de inicio (www.google.es) pero me sale una barra de búsqueda, color azul en la parte inferior de la ventana.
Vuelvo a hacer correr el Ad Aware ( “Possible Browser Hijack attempt/ RegKey/Vulnerability/HKEY_CURRENT_USER:Software\Microsoft\Windows\Curre ntVwesion\internet Settings\ZoneMap\Domains\flingstone.com”), el spybot (no encuentra robot espias) y CW Shredder (da resultado de 0 encontrados).
Vuelvo a pasar el Ad-Aware 6.0 2 veces (con opciones de “memoria y registro”, todas seleccionadas): en la primera me salen 58 objetos (data miner casi todos y el loop (q según creo es la “Search Bar”). Y la 2ª vez, 61 objetos ( 14 referentes a CoolWebSearch, el resto tracking cookies) en ambas pasadas selecciono todos y los elimino.

A continuación ( y por ultimo, esperando q me indiques si tengo q hacer ajlgo mas y q es lo q deberia hacer) paso el Hijackthis 1.99.0, cuyo log pego a continuación:

Logfile of HijackThis v1.99.0
Scan saved at 16:17:27, on 02/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe
C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Winamp5\winampa.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\PAVSRV51.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\Archivos de programa\ATI Multimedia\main\launchpd.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
D:\Archivos de programa\Software Bluetooth\BTTray.exe
C:\Archivos de programa\MSI\Core Center\CoreCenter.exe
D:\Archivos de programa\WinZip\WZQKPICK.EXE
D:\ARCHIV~1\SOFTWA~1\BTSTAC~1.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\apvxdwin.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
C:\ARCHIV~1\MICROS~4\Office10\WINWORD.EXE
C:\Documents and Settings\MIGUEL_ANGEL\Configuración local\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.apusqvdkynnibsj.com/fsxnO...eIJyvkKo6.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_ 0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CTStartup] C:\Archivos de programa\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Archivos de programa\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [iamapp] C:\Archivos de programa\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp5\winampa.exe
O4 - HKLM\..\Run: [Ref web mode clock] C:\Documents and Settings\All Users\Datos de programa\global 16 ref web\Four Draw.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Archivos de programa\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Vga Okay] C:\DOCUME~1\MIGUEL~1\DATOSD~1\CDROMF~1\Long Beep Owns.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: ProtectX Hacker Defence Suite.lnk = C:\Archivos de programa\Plasmatek Software\ProtectX\protectx.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: CoreCenter.lnk = C:\Archivos de programa\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Archivos de programa\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - D:\Archivos de programa\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Archivos de programa\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Archivos de programa\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Archivos de programa\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Archivos de programa\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Archivos de programa\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...bridge-c46.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.es/download/Msn...Downloader.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/MsnChat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{57410459-9439-45BB-9806-D70B8F392470}: NameServer = 130.206.1.3,212.0.97.81
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\PAVSRV51.EXE
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Espero prontas noticias, Millones de gracias por adelantado.