Foros del web, para los que viven de bits

Morgui · 24-ene-2005, 09:04

Al buscar cualquier palabra en google, siempre me redirecciona a la siguiente dirección:

http://61.131.54.618.cc/search.php?a...abuscada&meta=

Donde aparece algo muy parecido a google (pueden verlo pinchando en el enlace) pero los resultados de la búsqueda no tienen nada que ver con lo que busco y el aspecto cambia un poco.

Estos son los pasos que he seguido:

He pasado el Panda y el Adware

He pasado Spy Sweeeper

He pasado SpyBot Search & Destroy

He comprobado el archivo HOSTS tiene todo comentarios excepto la
linea: 127.0.0.1 localhost

He desinstalado el explorer y he reinstalado el sistema operativo

He pasado el cwshredder

También los he pasado en modo a prueba de fallos, excepto cwshredder. Todos me han encontrao cosas, pero las he eliminado y sigue igual.

Sólo me pasa con explorer (con netscape y firefox funciona bien), pero no puedo prescindir de él.

Por si sirve de algo, utilizo Windows 2000 Service Pack 4

elpiedra · 24-ene-2005, 10:42

Se trata de un hijacker que en una de sus funciones tiene la particularidad de redireccionar tu busquedas hacia paginas de sus afiliados.

Para eliminarlo te recomendaria descargate el Hijackthis y Pegar tu log ACA!

Salu2

Pistemas · 24-ene-2005, 10:46

lo que sucede es que tienes un spyware, que ha capturado la entrada que tienes de google en el explorer.

¿pasaste el hijacthis ?; si no es asi, coloca el post aqui.

Que has descargado de la WEB ?

A partir de cuando surgio el problema?

Morgui · 24-ene-2005, 10:54

Pues aquí está el log del hijacthis, a ver si veis algo...

Lo de saber en qué momento fué es dificil ya que diseño páginas web y estoy todo el día navegando para buscar información, programas, etc...

Logfile of HijackThis v1.99.0
Scan saved at 18:55:41, on 24/01/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\Archivos de programa\Persits Software\AspEmail\BIN\EmailAgent.exe
C:\WINNT\system32\regsvc.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Canon\BJPV\TVMon.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\ALCWZRD.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Archivos de programa\Microsoft Office\Office\OUTLOOK.EXE
C:\Archivos de programa\Archivos comunes\System\MAPI\3082\nt\MAPISP32.EXE
C:\WINNT\system32\MDM.EXE
C:\Archivos de programa\WS_FTP Pro\WS_FTP95.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Microsoft Office\Office\MSACCESS.EXE
C:\Archivos de programa\Adobe\Photoshop 7.0\Photoshop.exe
C:\descargas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINNT\system32\DSMANA~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BJPD HID Control] C:\Archivos de programa\Canon\BJPV\TVMon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://www.google.es
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{16E5E17B-B7D1-4FB9-BE71-0A8CA7420ED8}: NameServer = 194.179.1.101,194.179.1.100
O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Servicio de admin. IIS - Unknown - C:\WINNT\system32\inetsrv\inetinfo.exe
O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Messenger - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Servicio de publicación en FTP - Unknown - C:\WINNT\system32\inetsrv\inetinfo.exe
O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Panda Firewall Service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
O23 - Service: Persits Software EmailAgent - Persits Software, Inc. - C:\Archivos de programa\Persits Software\AspEmail\BIN\EmailAgent.exe
O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Protocolo simple de transferencia de correo (SMTP) - Unknown - C:\WINNT\system32\inetsrv\inetinfo.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio de publicación en World Wide Web - Unknown - C:\WINNT\system32\inetsrv\inetinfo.exe
O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe

24-ene-2005, 09:04	#1 (permalink)
Morgui Fecha de Ingreso: diciembre-2004 Ubicación: La Rioja Mensajes: 337	Google me redirecciona a otra página Al buscar cualquier palabra en google, siempre me redirecciona a la siguiente dirección: http://61.131.54.618.cc/search.php?a...abuscada&meta= Donde aparece algo muy parecido a google (pueden verlo pinchando en el enlace) pero los resultados de la búsqueda no tienen nada que ver con lo que busco y el aspecto cambia un poco. Estos son los pasos que he seguido: He pasado el Panda y el Adware He pasado Spy Sweeeper He pasado SpyBot Search & Destroy He comprobado el archivo HOSTS tiene todo comentarios excepto la linea: 127.0.0.1 localhost He desinstalado el explorer y he reinstalado el sistema operativo He pasado el cwshredder También los he pasado en modo a prueba de fallos, excepto cwshredder. Todos me han encontrao cosas, pero las he eliminado y sigue igual. Sólo me pasa con explorer (con netscape y firefox funciona bien), pero no puedo prescindir de él. Por si sirve de algo, utilizo Windows 2000 Service Pack 4

24-ene-2005, 10:42	#2 (permalink)
elpiedra Moderador Fecha de Ingreso: febrero-2004 Ubicación: Miami <-> Uruguay Mensajes: 2.457	Se trata de un hijacker que en una de sus funciones tiene la particularidad de redireccionar tu busquedas hacia paginas de sus afiliados. Para eliminarlo te recomendaria descargate el Hijackthis y Pegar tu log ACA! Salu2 __________________ "Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD InfoSpyware.com \| ForoSpyware.com

24-ene-2005, 10:46	#3 (permalink)
Pistemas Fecha de Ingreso: diciembre-2004 Ubicación: entre las piernas de una hermosa mujer Mensajes: 1.546	En realidad no es Google... lo que sucede es que tienes un spyware, que ha capturado la entrada que tienes de google en el explorer. ¿pasaste el hijacthis ?; si no es asi, coloca el post aqui. Que has descargado de la WEB ? A partir de cuando surgio el problema? __________________ :risa: El que rie al ultimo...entendio tarde el chiste :risa:

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado

24-ene-2005, 10:54	#4 (permalink)
Morgui Fecha de Ingreso: diciembre-2004 Ubicación: La Rioja Mensajes: 337	Pues aquí está el log del hijacthis, a ver si veis algo... Lo de saber en qué momento fué es dificil ya que diseño páginas web y estoy todo el día navegando para buscar información, programas, etc... Logfile of HijackThis v1.99.0 Scan saved at 18:55:41, on 24/01/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe C:\Archivos de programa\Persits Software\AspEmail\BIN\EmailAgent.exe C:\WINNT\system32\regsvc.exe C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE C:\WINNT\system32\MSTask.exe C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\inetsrv\inetinfo.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\igfxtray.exe C:\WINNT\system32\hkcmd.exe C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe C:\Archivos de programa\QuickTime\qttask.exe C:\Archivos de programa\Canon\BJPV\TVMon.exe C:\WINNT\SOUNDMAN.EXE C:\WINNT\ALCWZRD.EXE C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe C:\Archivos de programa\Microsoft Office\Office\OUTLOOK.EXE C:\Archivos de programa\Archivos comunes\System\MAPI\3082\nt\MAPISP32.EXE C:\WINNT\system32\MDM.EXE C:\Archivos de programa\WS_FTP Pro\WS_FTP95.exe C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE C:\Archivos de programa\Outlook Express\msimn.exe C:\Archivos de programa\Microsoft Office\Office\MSACCESS.EXE C:\Archivos de programa\Adobe\Photoshop 7.0\Photoshop.exe C:\descargas\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINNT\system32\DSMANA~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BJPD HID Control] C:\Archivos de programa\Canon\BJPV\TVMon.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O15 - Trusted Zone: http://www.google.es O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) - O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) - O17 - HKLM\System\CCS\Services\Tcpip\..\{16E5E17B-B7D1-4FB9-BE71-0A8CA7420ED8}: NameServer = 194.179.1.101,194.179.1.100 O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe O23 - Service: Servicio de admin. IIS - Unknown - C:\WINNT\system32\inetsrv\inetinfo.exe O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe O23 - Service: Messenger - Unknown - C:\WINNT\System32\services.exe O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe O23 - Service: Servicio de publicación en FTP - Unknown - C:\WINNT\system32\inetsrv\inetinfo.exe O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe O23 - Service: Panda Firewall Service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe O23 - Service: Persits Software EmailAgent - Persits Software, Inc. - C:\Archivos de programa\Persits Software\AspEmail\BIN\EmailAgent.exe O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe O23 - Service: Protocolo simple de transferencia de correo (SMTP) - Unknown - C:\WINNT\system32\inetsrv\inetinfo.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe O23 - Service: Servicio de publicación en World Wide Web - Unknown - C:\WINNT\system32\inetsrv\inetinfo.exe O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe