Me trae loco el Webhancer

Jalopin · #1 (**permalink**) 06/10/2004, 15:37

Ya intenté de todo y las ayudas de las páginas de antivirus y foros son todas iguales que tengo que quitar unos archivos que intento quitar pero uno siempre se me resiste, anulo el programa en el registro, le paso el adware y na de ná, termino todos los procesos posibles y me deniega borrarlo y cuando reinicio el ordenata se transforma o desaparece y me anula el explorer, el ordenador me dice que la conexión es excelente a mi router pero cuando inicio el explorer no me va, y en sus propiedades me dice que no se puede encontrar el servidor, protocolo desconocido, tipo no disponible, conexión no cifrado, dirección res://c:\windows\sistem32, URL \shdoclc.dll/dnserror.htm#//www.google.es/ y he probado de todo en las conexiones pero esto no va ni a la de tres. Supongo que a alguien le tuvo qu pasar algo parecido porque este me parece que es bastante popular. Reinstalé por encima el Xp pero tampoco...
Bueno si alguien sabe algo gracias y un saludo pa todos

elpiedra · #2 (**permalink**) 06/10/2004, 18:40

Lo que te recomendaria para ir directamente al caso es que te bajes el HijackThis y con todos los programas cerrados le hagas un scan, luego postea el log en este mensaje y lo vemos a ver que hay que eliminar.

Salu2
El Piedra

Jalopin · #3 (**permalink**) 07/10/2004, 08:35

Pues esto es lo que me pone:
RO-HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.es R0- HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName=Vínculos
02-BHO:AcroIEHLprObj Class-{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}-C:Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
03- Toolbar:&Radio-{8E718888-423F-11D2-876E-00A0C9082467}-C:\WINDOWS\System32\msdxm.ocx
04-HKLM\..\Run:[PRONoMgr.exe]C:\Archivos de programa\intel\NCS\PROSet\PRONoMgr.exe
04-HKLM\..\Run[Outpost Firewall]"C:\Archivos de programa\Agnitum\Outpos Firewal 1.0\outpost.exe"/waitservice
04-HKCU\..\Run:[CTFMON.EXE]C:\WINDOWS\System32\ctfmon.exe
09-Extra button:Messenger-{FB5F1910-F110-11d2-BB9E-00C04F796683}C:\Archivos de programa\Messenger\MSMSGS.EXE
09-Extra Tools menuitem:Messenger-{FB5F1910-F110-11d2-BB9E-00C04F796683}C:\Archivos de programa\Messenger\MSMSGS.EXE
010-Broken Internet access because ol LSP provider ´c:\windows\webhdll.dll´missing
Bueno eso es todo lo que pone, muchas gracias por todo.

elpiedra · #4 (**permalink**) 07/10/2004, 08:44

Me parece que te falto una parte, Hace lo siguente:

Cerra todos los programas activas el HJT y le das al boton de SCAN, despues ese mismi boton se combierte en SAVE LOG, le das ahi y ahi copias todo el log y lo pegas en el post.

Jalopin · #5 (**permalink**) 07/10/2004, 09:01

Logfile of HijackThis v1.98.2
Scan saved at 17:00:29, on 07/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Martin\Mis documentos\programas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\windows\webhdll.dll' missing

elpiedra · #6 (**permalink**) 07/10/2004, 09:27

Bueno ya que veo que probaste muchas cosas te voy a pasar algunos pasos que tenes que seguir a ver si lo podes sacar.

1- Apaga el Restaurar Sistema de las propiedades de MiPC (muy importante)

2- Reinicia el PC pulsando la tecla F8 y pone en modo a prueba de fallos (seguro)

3- Anda a Panel de Control > Agregar/Quitar Programas > y busca este programa "WEBHANCER AGENT" ponele en eliminar.

4- Tírale el HijackThis y si todavía esta este entrada elimina:
O10 - Broken Internet access because of LSP provider 'c:\windows\webhdll.dll' missing

5- Inicia el REGDIT, busca y elimina estas entradas:
HKEY_CLASSES_ROOT\clsid\{c89435b0-cdfe-11d3-976a-00e02913a9e0}
HKEY_CLASSES_ROOT\clsid\{c8cb3870-cdfe-11d3-976a-00e02913a9e0}
HKEY_CLASSES_ROOT\clsid\{c900b400-cdfe-11d3-976a-00e02913a9e0}
HKEY_CLASSES_ROOT\interface\{c89435b0-cdfe-11d3-976a-00e02913a9e0}
HKEY_CLASSES_ROOT\software\microsoft\windows\curre ntversion\explorer\browser helper objects\{c900b400-cdfe-11d3-976a-00e02913a9e0}
HKEY_CLASSES_ROOT\typelib\{c8cb3870-cdfe-11d3-976a-00e02913a9e0}
HKEY_CLASSES_ROOT\whiehelperobj.whiehelperobj
HKEY_CLASSES_ROOT\whiehelperobj.whiehelperobj.1
HKEY_LOCAL_MACHINE\clsid\{c900b400-cdfe-11d3-976a-00e02913a9e0}
HKEY_LOCAL_MACHINE\software\classes\interface\{c89 435b0-cdfe-11d3-976a-00e02913a9e0}
HKEY_LOCAL_MACHINE\software\classes\typelib\{c8cb3 870-cdfe-11d3-976a-00e02913a9e0}
HKEY_LOCAL_MACHINE\software\classes\whiehelperobj. whiehelperobj
HKEY_LOCAL_MACHINE\software\classes\whiehelperobj. whiehelperobj.1
HKEY_LOCAL_MACHINE\software\classes\whiehelperobj. whiehelperobj\curver
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\app management\arpcache\whsurvey
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\browser helper objects\{c900b400-cdfe-11d3-976a-00e02913a9e0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\webhancer agent
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\webhancer survey companion
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\displayname
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\inno setup: app path
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\inno setup: icon group
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\inno setup: setup version
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\inno setup: user
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\publisher
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\uninstallstring
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\urlinfoabout
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\webhancer agent
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\webhancer agent\displayname
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\webhancer agent\uninstallstring
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\whsurvey
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\whsurvey\displayname
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\whsurvey\uninstallstring
HKEY_LOCAL_MACHINE\software\webhancer
HKEY_LOCAL_MACHINE\software\webhancer\basedir
HKEY_LOCAL_MACHINE\software\webhancer\cc\disttag
HKEY_LOCAL_MACHINE\software\webhancer\cc\id
HKEY_LOCAL_MACHINE\software\webhancer\eso\aa

6- Pone en la propiedades del explorador que te muestre todos los archivos, inclusive los ocultos.

7- Busca y elimina estos archivos .Dll:
sporder.dll*
webhdll.dll
whagent.inf
whInstaller.exe
whInstaller.ini

8- Busca y elimina la carpeta "WebHancer" y todos sus sub-directorios

9- Elimina los archivos de la carpeta c:\temp
atlansi.dll
atlunicode.dll
license.txt
regwebh.dll
sporder.dll
wbhshare.dll
webhdll.dll
whAgent.exe
whAgent.inf
whAgent.ini
whiedc.dll
whiehlpr.dll
whiehlpr.ini
whieshm.dll
whInstaller.exe
whInstaller.ini

Si alguno no te deja eliminarlo tenes que reiniciar nuevamente en prueba de fallos y intentar nuevamente.

10- Reinicia el sistema en modo normal y chequea que no quedo nada

Puede que algunos archivos ya no estén pero los que están elimínalos y después nos contas los resultados.

Salu2
El Piedra

Jalopin · #7 (**permalink**) 07/10/2004, 11:22

Nada amigo conseguí quitar estos:
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\app management\arpcache\whsurvey
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\displayname
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\inno setup: app path
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\inno setup: icon group
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\inno setup: setup version
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\inno setup: user
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\publisher
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\uninstallstring
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\uninstall\easy mp3 alarm clock_is1\urlinfoabout
busqué y busqué al final al reiniciar se me activa el solo el adware y le pasé el HJT y me pone eso de broken internet access because ol LSP provider ´c:\windows\webhdll.dll´missing pero yo no sé como quitarlo el programa esta en inglés lo selecciono le doy a fix checked y ná info on selected item y tampoco.... la verdad no sé como teneis tanta paciencia pero yo ya me empiezo a desesperar asta reinstalé windows por encima pero tampoco, bueno a ver si se te ocurre algo..
Gracias Gracias gracia graci grac gra gr g......

Jalopin · #8 (**permalink**) 07/10/2004, 17:11

Bueno bueno bueno....Aleluya al final llegó un coleguilla que estuvo mas de una hora intentando arreglarlo asta que me dejó hablar y le hablé del HJT el cual nos mandó bajar el programa LSPFix.exe y fué como agua vendita me arregló todos los protocolos y ya esta todo bien.
Al final todo se basó en saber o no saber ingles porque el HJT esta todo en inglis y yo algo leia pero no me enteraba, en en este foro me alludaron a quitarlo bien del todo, (que agradezco profundamente), lo malo era arreglarlo almenos espero que esto le valga a alguien pa no formatear la partición C:porque lo que me pasó a mi era algo normal que le pase a alguien(lo ves, lo desistalas, lo cagas y luego preguntas) y las respuestas de casi todas las paginas son para quitarlo antes de que te haga daño. Ya sabeis LSPFix.exe tambien vale pare el newdotnet, os recomiendo una página que habla de casi todo esto perfectamente(en inglis claro):http://www.cexx.org/webhancer.htm gracias otra vez sobre todo AL PIEDRA que supongo a él tambien le ayudará.
Un Saludote

elpiedra · #9 (**permalink**) 07/10/2004, 17:59

Bueno me alegro de que por fin te liberastes de esta molestia, realmente lo catalogan como peligrosidad 2 de 10 pero no miden que para sacarlo se convierte en 8 de 10

Bueno ahora es cuestion de cuidate de lo que instalas y los sitios en donde te metes

Salu2
El Piedra