ElPiedra
09/03/05, 13:53:47
Nombre: Globosearch
Tipo: Hijaker que cambia la pagina de inicio.
Alias: hotoffers.info, hot-searches.com, specialgoods.info, jimbutt.com/stuffs, newgenlook.info
Si su pagina de incicio fue cambiada por "http://www.hotoffers.info/" o por http://www.newgenlook.info decir que esta es una variante sacada por el mes de diciembre por "Globosearch" la cual no solo se apodera de nuestra pagina de inicio sino que también abre una ventana pop-ups cada 5 minutos con una advertencia falsa de Windows como esta:
http://www.forospyware.com/images/adv/systr.bmp
Para eliminar este parásito de manera rápida y sencilla siga estos pasos
Paso 1- Descargar el programa "KillBox" (http://www.forospyware.com/showpost.php?p=49&postcount=6) y descomprimirlo
Paso 2 - Iniciar el KillBox.exe y seleccionar la opción "Delete on reboot" (Eliminar al reiniciar).
En el recuadro etiquetado como "Full path of file to delete" (Ruta completa del archivo a eliminar) poner los siguientes archivos de a uno.
C:\windows\system32\systr.dll
C:\windows\system32\param32.dll
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
Luego de poner el ultimo archivo pulsar el botón que parece un circulo rojo con una X blanca. Cuando pregunte si se quiere reiniciar ahora ("Reboot now"), ponerle que Yes (SI) .
**Nota**Cada archivo pertenece a una variante diferente del este malware por lo que puede que no se encuentre alguno de estos.
Paso 3- Luego del reinicio con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a esta entrada:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.hotoffers.info/a0002/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0278/
**Nota** Este punto puede contener diferentes variantes como hotoffers.info/179/index.html , newgenlook.info, o similares donde cambia el numero y el archivo final.
Paso 4- Reiniciar nuevamente y usar el RegSeeker (http://www.infospyware.com/Herramientas.htm) para limpiar la basura del registro de manera automática.
<body onselectstart="return false">
Paso 5- Pasar Ad-Aware SE y un antivirus como "Trend Micro Antivirus Online" (http://www.forospyware.com/announcement.php?f=12), para luego restaurar nuestra pagina de inicio por una de nuestra preferencia.
**NOTA:** El directorio del sistema de Windows puede variar de acuerdo al sistema operativo instalado ("c:\windows\system32" en Windows XP y Windows Server 2003, "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). La unidad de disco "C:" es solo un ejemplo, ya aunque por defecto se instala en esa unidad, la misma puede ser cambiada por el usuario.
Tipo: Hijaker que cambia la pagina de inicio.
Alias: hotoffers.info, hot-searches.com, specialgoods.info, jimbutt.com/stuffs, newgenlook.info
Si su pagina de incicio fue cambiada por "http://www.hotoffers.info/" o por http://www.newgenlook.info decir que esta es una variante sacada por el mes de diciembre por "Globosearch" la cual no solo se apodera de nuestra pagina de inicio sino que también abre una ventana pop-ups cada 5 minutos con una advertencia falsa de Windows como esta:
http://www.forospyware.com/images/adv/systr.bmp
Para eliminar este parásito de manera rápida y sencilla siga estos pasos
Paso 1- Descargar el programa "KillBox" (http://www.forospyware.com/showpost.php?p=49&postcount=6) y descomprimirlo
Paso 2 - Iniciar el KillBox.exe y seleccionar la opción "Delete on reboot" (Eliminar al reiniciar).
En el recuadro etiquetado como "Full path of file to delete" (Ruta completa del archivo a eliminar) poner los siguientes archivos de a uno.
C:\windows\system32\systr.dll
C:\windows\system32\param32.dll
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
Luego de poner el ultimo archivo pulsar el botón que parece un circulo rojo con una X blanca. Cuando pregunte si se quiere reiniciar ahora ("Reboot now"), ponerle que Yes (SI) .
**Nota**Cada archivo pertenece a una variante diferente del este malware por lo que puede que no se encuentre alguno de estos.
Paso 3- Luego del reinicio con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a esta entrada:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.hotoffers.info/a0002/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0278/
**Nota** Este punto puede contener diferentes variantes como hotoffers.info/179/index.html , newgenlook.info, o similares donde cambia el numero y el archivo final.
Paso 4- Reiniciar nuevamente y usar el RegSeeker (http://www.infospyware.com/Herramientas.htm) para limpiar la basura del registro de manera automática.
<body onselectstart="return false">
Paso 5- Pasar Ad-Aware SE y un antivirus como "Trend Micro Antivirus Online" (http://www.forospyware.com/announcement.php?f=12), para luego restaurar nuestra pagina de inicio por una de nuestra preferencia.
**NOTA:** El directorio del sistema de Windows puede variar de acuerdo al sistema operativo instalado ("c:\windows\system32" en Windows XP y Windows Server 2003, "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). La unidad de disco "C:" es solo un ejemplo, ya aunque por defecto se instala en esa unidad, la misma puede ser cambiada por el usuario.