easysearch vencido pero contrataque de coolwwwsearch

Bueno, en el ultimo thread en el que escribi suplicaba respuesta acerca del f**** easy-search.biz pero no tuve respuesta alguna. Ese adware me tuvo con un equipo menos por casi una semana. No importa, ya me deshice de el (luego de revisar en otros foros :P. Sin embargo uno de sus horribles amigos, el CoolWWWSearch sigue por ahi destrozando mi acceso a internet abriendome pop ups con las direcciones: http://eblocs.com/spyblocs/adv/admed...lickpopupz.php y otras cuantas, apagando el computador de vez en cuando y paralizando el acceso a los correos a veces. No es tan perverso como el anterior pero si es pegajoso.

Mi sistema operativo es Windows XP profesional con sp1. Tengo instalado el antiporn, spybot S&D, lavasoft adware remover, bazooka, hijackthis. Mi anitivirus es el AVG 7.0. Desahabilite la restauracion de sistema, los procesos de inicio en el msconfig. Le pase el antivirus, todos los programas antiadware pero nada el housecall en linea y nada. Por ultimo el hijack y removi unos procedos en R0 que no son apropiados y nada. EL bicho sigue ahi.
El adware dice que hay un aposible intromision de Coolwwwsearch en mi browser pero no la saca del sistema, el spybot me informa de las intromisiones de
Avenue A Inc
Common Hijacker
Coolwwwsearch .bootconfig
Coolwwwsearch .loadbat
Coolwwwsearch.MSconfd
Coolwwwsearch.XmlmimefiHer
DSO Exploit
Igetnet
Dice que si, que ha sido reparado todo pero nada de nada, si lo paso otra vez otra vez sale. Le monte un programita disque para remover el Coolwwwsearch pero igual que los otros no funciono-

Bueno, les pego el log del hijackthis a ver que opinan

Logfile of HijackThis v1.98.2
Scan saved at 20:39:32, on 08/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 7.exe
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Windows NT\Accesorios\WORDPAD.EXE
C:\Archivos de programa\HijackThis\HijackThis.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch se supone que los habia removido pero ahi estan
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 7.exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [EagleEye] C:\ARCHIV~1\tuEagles\EagleSvr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{69AE7CEA-3A6D-4DEF-9D08-6EEE5095FAD3}: NameServer = 200.13.224.8,200.75.78.78

Ojala en esta si me respondan

No con estos en particular, pero me paso algo similar con unos adawares que no se querian ir de mi maquina.
Tengo instalado el norton, Ad-Aware SE, y Agitum Firewall, y SpySweeper.
Con este ultimo me pasaba exactamente lo mismo que cuentas. Los borraba, volvia a pasarlo y ahi estaba.
La solucion que encontre fue buscar en el Regedit por el nombre que obtenia del SpySweeper. Alli me direcciono a un .exe que me habia instalado en la raiz del disco duro, y cuyo nombre no tenia nada que ver con el anterior.
Para eliminarlo tuve que reiniciar en modo dos (esa maquina esta con Windows 98, en tu caso deberias iniciar en modo a prueba de fallos), y lo elimine manualmente.
Por ultimo luego de reiniciar volvi a correr el SpySweeper y ahora si logre limpiar la maquina.

Espero que te haya servido de algo

Saludos y suerte

como lograste deshacerte del http://easy-search.biz???
podrias indicarme como???? intente hacerlo con hijack, y el NAV pero no me resultó :S

CWShredder 2.0 Nuevo
Uno de los mejores eliminador de paginas de inicio spywares y de dialers,
elimina el famoso "CoolWebSearch"

Este texto lo extraje del tutorial puesto por el piedra, que esta como primer post de este subforo, te aconsejo que entre alli.

Saludos y suerte

Alema66, ya tengo el CWShredder y nada de nadita. Parece ser que las ultimas versiones del dichoso programa son superpegajosas y mutantes.

pcarvajal, Lo del easy-search fue un proceso bastante complicado que tomo de dias de estudio y repaso por los foros. Ese adware esta conformado por 6 programitas diferentes que son en su orden:
c:\windows\STISVSQ.EXE
c:\windows\MSQDEVL.EXE
c:\windows\LSSAS.EXE
c:\windows\IAU.EXE
c:\windows\MSERVICE.EXE
c:\windows\SVSHOST.EXE
Ese grupito de programas son superpegajosos
Entonces, con restaurar sistema desactivado, con las opciones de inicio desactivadas, se corre el housecall en linea u otro antivirus en linea. Luego se reinicia el computador en modo a prueba de fallos sin conexiones de red. Se pasa el Hijackthis se va uno a la opcion Conf, Misc Options, open process manager y le da kill process sobre las entradas de los programas que hay arriba, luego se da back y se eliminan los siguientes campos.
RO - HKCU\Software\Microsoft\lnternet Explorer\Main,Start Page =http://easy-search.biz
RO - HKLM\Software\Microsoft\lnternet Explorer\Main,Start Page =http://easy-search.biz
RO - HKLM\Software\Microsoft\lnternet Explorer\Search.SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
02 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
02 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
04 - HKLM\..\Run [Internet Connection Wizard] stisvsq.exe
04 - HKLM\..\Run [Internet Mail and News] msqdevt.exe
o4 - HKLM\..\Run [Microsoft Management Console] Issas.exe
04 - HKLM\..\Run [Multimedia extensions] mservice.exe
04 - HKLM\..\Run [Games Acceleration] svshost.exe
o4 - HKLM\..\Run [Microsoft Internet Acceleration Utility] iau.exe
04 - HKLM\..\RunOnce: [test] n
04 - HKCU\..\Run [Microsoft Internet Acceleration Utility] iau.exe
04 - HKCU\..\Run [Internet Connection Wizard] stisvsq.exe
04 - HKCU\..\Run [Games Acceleration] svshost.exe
04 - HKCU\..\Run [Internet Mail and News] msqdevt.exe
o4 - HKCU\..\Run [Microsoft Management Consolé] Issas.exe
04 - HKCU\..\Run [Multimedia extensions] mservice.exe
04 - HKCU\..\RunOnce: [test]

Existen otros dos procesos en el 16 o 17 pero no los recuerdo bien. Luego hay que borrar esos 6 programas de la lista negra, son bastante pegajosos, asi que es posible que no se dejen sacar a la primera, y deba reiniciar el computador de nuevo, entrar en la sesion administrador si es windows xp, y borrarlos desde ahi o moverlos a otra carpeta y luego borrarlos (eso fue lo que yo hice, los movi al vault de AVG) o utilizar la opcion erase on reebot del hijackthis. Aunque todo eso puede irse al cuero porque siempre hay una carpeta en c:\windows que regenera todos esos programas. Tiene que empezar a buscar algo que no le cuadre, yo me di cuenta porque al revisar me encontre una carpeta con un programa de casino, lo que se me hizo rarisimo, tambien esa carpeta pone problemas al intentar ser borrada. NI POR EL P... SE VAYA CONECTAR ANTES DE QUITAR ESA CARPETA.

Luego de hacer todo eso, pasele el lavasoft adware, el spybot, CWShredder, todo ultima version y con la ultima actualizacion. Revise las conexiones de su configuracion de red, que las submascaras esten bien, conectese de nuevo a internet y pase un antivirus en linea. Si no le funciona, pues mano, mandele el hijackthis a esta gente a ver si alguien se apiada de su pobre maquina.

A ver proba seguir los pasos que hay en este post a ver si lo podes eliminar. este tipo de problemas por lo general los ocaciona un malware llamado IGetNet

http://www.infospyware.org/viewtopic.php?t=355

Salu2

No, la informacion que me diste no funciona. No encuentro en mi computadora esos DLLs... que mala vaina, lo voy a resetear.