Tabla de contenidos:
- Introducción
- Pasos de la preparación
- Begin Log etapa de análisis
- Begin Procedimiento de desmontaje del
- final Observaciones
Introducción:
hay una nueva infección secuestrador del navegador CoolWebSearch que se ha convertido muy común últimamente. Los síntomas de esta infección incluyen el equipo convirtiéndose más lento, ventanas emergentes, y cuando se inicia Internet Explorer su página web se le redirecciona a un sitio que tiene un título de Página principal Buscar. Esta infección es llamado por muchos nombres, pero es más a menudo llamado por el siguiente:
- Inicio Asistente de búsqueda
- Inicio Buscar
- Sólo el mejor
- Asistente de Compras
- CWS_NS3
Si usted está infectado con esta infección se quiere ver una imagen que es muy similar a la de abajo cuando se inicia Internet Explorer:
imagen de Internet Explorer siendo secuestrado a Inicio Buscar
también podrá ver ventanas emergentes que se titulará Sólo el mejor :
Esta guía de autoayuda le guiará a través de los pasos para eliminar la infección Inicio Asistente de búsqueda. Antes de comenzar quiero explicar algunos términos y las claves que puede ver en este documento: Términos
lo que necesita saber:
- [Enlace de descarga] – Si ve este lado de un grupo de subrayado de las palabras es utilizado para significar el tipo de enlace que es y, que usted debe hacer clic en él con el fin de descargar el archivo.
- [Tutorial Enlace] – Si ve este lado de un grupo de subrayado de las palabras que se utiliza para indicar qué tipo de enlace que es, y que usted debe hacer clic en él con el fin de leer el tutorial.
- [Imprimir este tutorial antes de proceder] – – Si ve este lado de un grupo de subrayado de las palabras que se utiliza para significar que se debe imprimir el tutorial que se pueden ver cuando se hace clic en el enlace
- HijackThis – Este programa es utilizado para limpiar las entradas en la configuración de los equipos que se utiliza para iniciar automáticamente los programas cuando se inicia Windows.
- AboutBuster – Este programa está especialmente diseñado para ayudar a eliminar la infección Inicio Asistente de búsqueda.
- Ad-Aware – Esta es una utilidad de eliminación de software espía.
- – Una base de datos de Windows que contiene información de configuración sobre cómo el ordenador y el software instalado en ese equipo se supone que debe funcionar.
- ADSSpy – Una herramienta para buscar Alternate Data Streams que son utilizados por esta infección a ocultarse.
Registro
Herramientas necesarias para esta revisión: (Al hacer clic en estos enlaces le llevará a la página de descarga de los programas
- HijackThis [Enlace de descarga]
- AboutBuster [Enlace de descarga]
- Ad-Aware [Descargar link]
- ADSSpy [enlace de descarga]
tutoriales relacionados:
- Cómo usar HijackThis para eliminar secuestradores de navegador y software espía [Tutorial link]
- Inicio Asistente de búsqueda Análisis / CWS_NS3 [Uso de AD Tutorial de enlace]
- -conscientes SE para eliminar el software espía y secuestradores de su ordenador [Tutorial Enlace] Los síntomas
en una HijackThis Log :
[CITA] R1 – HKCU Software Microsoft Internet Explorer Main, página de búsqueda = res: / /C:WINDOWSsystem32pmyqy.dll/sp.html#96676R0 – HKCU Software Microsoft Internet Explorer Main, página de inicio = res: //pmyqy.dll/index.html#96676R0 – HKLM Software microsoft Internet Explorer Main, Start Page = res: //pmyqy.dll/index.html#96676R1 – HKLM Software Microsoft Internet Explorer Main, página de búsqueda = res: // C: WINDOWS system32 pmyqy.dll / sp.html # 96676R1 – HKLM Software Microsoft Internet Explorer Main, Default_Page_URL = res: //pmyqy.dll/index.html#96676R1 – HKLM Software Microsoft Internet Explorer Main, Default_Search_URL = res: // C: WINDOWS system32 pmyqy.dll / sp.html # 96676O2 – BHO: (sin nombre) – {151159EF-C5FE-DEA7-6C94-33A3EC6A9C14} – C: WINDOWS winlc32.dllO4 – HKLM .. Run: [winnl32. EXE] C: WINDOWS system32 winnl32.exe [/ quote]
esta infección puede ser muy difícil de quitar como los diversos programas usados por este monitor infección entre sí y tratar de detectar cuando alguien está tratando de eliminarlos. Si usted sigue estos pasos, sin embargo, usted será capaz de eliminar por su cuenta con bastante facilidad. Voy a incluir instrucciones paso a paso sobre cómo eliminar esta infección y explicarlo de una manera tal que incluso un principiante en ordenadores debe ser capaz de entender. No ser rechazados por la longitud de estas instrucciones, ya que son sólo el tiempo, ya que entré en gran detalle sobre cómo completar cada paso.
Pasos de la preparación:
final de la preparación Pasos
Comienza registro de análisis Etapa
Cómo identificar los archivos asociados a esta infección:
Antes de que podamos intentar limpiar su ordenador, le necesidad de identificar los elementos en el registro que acaba de imprimir que hay que limpiar. A continuación he incluido un registro de ejemplo por lo que se muestran ejemplos de lo que debe ser eliminado.
Ejemplo Log:
procesos Duración: C: WINDOWS System32 smss.exeC: WINDOWS system32 winlogon.exeC: WINDOWS system32 services.exeC: WINDOWS system32 lsass.exeC: wINDOWS system32 svchost.exeC: wINDOWS System32 svchost.exeC: wINDOWS Explorer.EXEC: wINDOWS system32 spoolsv.exeC: windows system32 d3uw.exeC: wINDOWS system32 addgp. exec: archivos SW hijackthis.exe
R1 – HKCU Software Microsoft Internet Explorer Main, página de búsqueda = res: // C: WINDOWS system32 hghda.dll / sp.html # 37049R0 – HKCU Software Microsoft Internet Explorer Main, página de inicio = res: //hghda.dll/index.html#37049R1 – HKLM Software Microsoft Internet Explorer Main, Default_Page_URL = res: //hghda.dll/index. html # 37049R1 – HKLM Software Microsoft Internet Explorer Main, Default_Search_URL = res: // C: WINDOWS system32 hghda.dll / sp.html # 37049R1 – HKLM Software Microsoft Internet Explorer Main, Buscar page = res: // C: WINDOWS system32 hghda.dll / sp.html # 37049R0 – HKLM Software Microsoft Internet Explorer Main, página de inicio = res: //hghda.dll/index.html#37049R3 – Default URLSearchHook es missingO2 – BHO: (sin nombre) – {316E0DB4-BFD1-4559-E2B8-375C22AA81A5} – C: WINDOWS crpw32.dllO3 – Barra de herramientas: & Radio – {8E718888-423F-11D2-876E-00A0C9082467} – C: wINDOWS System32 msdxm.ocx O4 – HKLM .. Run: [d3uw.exe] C: windows system32 d3uw.exeO4 – HKLM .. RunOnce: [sdkyo.exe] C: WINDOWS system32 sdkyo.exeO4 – HKCU .. Run: [msmsgs] «C: archivos de programa messenger msmsgs.exe «/ backgroundO9 – botón extra: Relacionado – {c95fe080-8f5d-11D2-A20B-00aa003c157a} – C: Windows Web related.htmO9 – extra ‘Herramientas’ menuitem: Show & Enlaces Relacionados – {c95fe080-8f5d-11D2-A20B -00aa003c157a} – C: WINDOWS web related.htm
la única diferencia visible entre un registro de XP / NT / 2000 yy un 95/98 / ME LOG, es que el 95/98 / ME LOG tener una línea adicional que tiene este aspecto:
Los artículos que vamos a querer limpiar siempre van a ser similares a lo siguiente:
Ahora de lo anterior registro de XP, utilizando los criterios que acabamos de explicar, lo siguiente sería el HijackThis entradas nos gustaría limpia:
Como se puede ver que tenemos toda la R0 / R1, O2, y el O4 entradas seleccionadas que coincidan con los criterios descritos para esta infección. Con los marcados fuera en el registro de la impresora, vamos a continuar con el procedimiento de extracción.
Begin Procedimiento de desmontaje:
Es posible que desee imprimir estas instrucciones, así como los otros tutoriales, ya que Internet no estará disponible para la mayoría de estos pasos. Voy a designar a los tutoriales que se debe imprimir. Si tiene problemas mientras se hace un paso, sólo tiene que pasar por alto ese paso y proceder con la siguiente.
Paso 1 – Reiniciar en modo seguro
reiniciar el equipo en modo seguro. Las instrucciones sobre cómo hacer esto se pueden encontrar aquí:
Cómo ventanas arrancar en modo seguro [Tutorial Enlace] [Imprimir este tutorial antes de proceder]
Paso 2 (XP / NT / 2000 SOLAMENTE) – Identificar el nombre del archivo y el nombre del servicio de malware:
Haga clic en el botón de inicio , a continuación, haga clic en Panel de control . Cuando se abre el panel de control, haga doble clic en el icono de Herramientas administrativas. Cuando se abra la ventana de Herramientas administrativas , haga doble clic en el botón Servicios . La ventana
Servicios contendrá una lista de todos los servicios que están instalados en su máquina. Tenemos que encontrar uno de los siguientes: Servicio de Seguridad
- red de estaciones de trabajo
- servicio NETLOGON
- llamada a procedimiento remoto (RPC) Ayudante
Cuando vea un servicio de este nombre, y no debe haber una sola, doble clic en ese nombre de servicio. Ahora debería estar en la página de propiedades de ese servicio. Ahora, por favor siga estos pasos:
Ahora que conocemos el archivo que se utilizan como el servicio, se procede al siguiente paso.
Paso 3 – Finalizar los procesos en ejecución para que no vuelvan a infectar.
En este paso nos quieren cerrar los programas o procesos de infección, por lo que no pueden volver a infectar nosotros como estamos limpiando el ordenador. Los procesos que se quiere acabar con los O4 son entradas que hemos identificado en la anterior etapa de análisis del registro y el nombre del archivo de servicio que hemos identificado en el paso 2.
Para ello presione Control-Alt-Delete (que significa oprimir el control y Alt y las teclas de borrado al mismo tiempo en el teclado) y que le llevará en el administrador de tareas. Si se encuentra en XP o 2000, haga clic en la pestaña Procesos y poner una marca en la casilla etiquetada Mostrar procesos de todos los usuarios . Si se encuentra en 95/98 / ME entonces sigue leyendo.
En este punto se debe poner fin a los procesos y O4 el proceso de servicio si se muestran en el Administrador de tareas. Para finalizar la tarea que hacer un click sobre el nombre del programa y haga clic en el botón Finalizar tarea . No se alarme si usted no ve todos o cualquiera de los procesos que usted está buscando.
Cuando haya terminado de poner fin a cada uno de los programas que se encuentran entre las entradas O4, por favor continúe. Paso 4 – Limpiar el registro de HijackThis Ahora que los procesos se han detenido en el paso 3, se va a limpiar las entradas de registro de HijackThis los que están asociados a esta infección. Primero cierre todas las ventanas para que usted está en el escritorio y no hay nada más en marcha. A continuación, iniciar HijackThis y haga clic en el botón Scan . Ahora verá una lista de entradas. Ponga una marca de verificación junto a cada entrada que se asocia con esta infección como se descubrió en la etapa de análisis de registros. Recuerde que estas infecciones siempre consisten en lo siguiente: las entradas R0 / R1 múltiples
- que contienen texto que es similar a esto: res: // C: WINDOWS system32 hghda.dll / sp.html # 37049
- Uno la entrada de O2 que contiene texto que es similar al siguiente: C: wINDOWS crpw32.dll
- al menos uno, pero puede haber muchos más, O4 entradas que se parecen a esto: C: windows system32 d3uw.exe
Cuando haya terminado de poner marcas de verificación junto a cada una de estas entradas, pulse el botón Reparar.
Paso 5 – Eliminar los archivos identificados como parte de esta infección.
Ahora que hemos cerrado los programas que estaban causando la infección y limpiado el registro con HijackThis, que desea eliminar estos archivos realmente fuera de nuestro ordenador. Puede hacerlo por cualquiera de búsqueda de los archivos y eliminarlos cuando se encuentran o utilizando Mi PC o el Explorador de Windows para navegar a las carpetas y luego eliminar el archivo.
En nuestro ejemplo de registro se encontró que los siguientes archivos fueron parte de esta infección (Consulte el ejemplo anterior). Estos archivos pueden no ser iguales a los que identificó en su registro como los nombres son siempre al azar.
C: WINDOWS system32 hghda.dllC: WINDOWS crpw32.dllC: windows system32 d3uw.exeC: WINDOWS system32 sdkyo.exe
Así que si usted fuera a utilizar Mi equipo para encontrar el C: WINDOWS system32 hghda.dll . me haga doble clic en Mi PC , a continuación, haga doble clic en el unidad C: , a continuación, haga doble clic en la carpeta de Windows , a continuación, haga doble clic en la carpeta system32 . Entonces yo mirar dentro de esa carpeta para el archivo hghda.dll y eliminarlo.
Repita este proceso para los otros archivos encontrados cuando se hace el análisis de registros.
Si se produce un error al borrar un archivo. Haga clic derecho sobre el archivo y haga clic una vez sobre las propiedades. A continuación, comprobar para ver si se comprueba el de sólo lectura atributo, y si lo es, desactivarla y tratar de eliminar el archivo de nuevo.
Cuando se borran todos los archivos, continúe con el paso 6 en la que vamos a borrar el archivo de servicio descubierto en el paso 2 de este procedimiento de extracción.
Paso 6- Eliminar el archivo utilizado por el servicio (sólo para XP / 2000 / NT)
En este paso vamos a eliminar el archivo de servicio que se encuentre en el paso 2 de este procedimiento de extracción. El archivo de servicio puede tener una de cuatro formas diferentes:
C : WINDOWS system32 D3UY.EXEC : WINDOWS D3UY.EXEC : WINDOWS SETUPLOG.TXT : HNABN C : WINDOWS system32 SETUPLOG.TXT : HNABN
Si el nombre del archivo DOES NOT tiene un : en él, entonces puede simplemente eliminar el archivo como se muestra en el Paso 5. Si, por otro lado, DOES contiene un : necesitamos un procedimiento especial para eliminar este archivo. Ejemplos de dos archivos con : en que son las dos últimas entradas en los ejemplos anteriores. Por favor, siga el siguiente pasos sólo si el nombre de archivo de servicio contiene una :
Ahora que el archivo de servicio ha sido borrado por favor continúe con el paso 7.
Paso 7 – Limpiar el Registro de Windows de entradas dejado por este infección
En este paso vamos a eliminar algunos restos de entradas del registro que HijackThis no puede limpiar.
Ahora vaya al paso 8.
Paso 8 – Ejecutar About: Buster para limpiar todos los elementos sobrantes de esta infección.
Cuando se completó sigue con el paso 9.
Paso 9 – Reemplazar los archivos críticos que pueden haber sido eliminados por esta infección En este punto, el equipo es ahora libre de la infección. Sentarse, tomar una copa, y respirar un suspiro de alivio.
Todavía tenemos un par de pasos a la izquierda, pero estos son relativamente fáciles y lo peor ya ha terminado. Esta infección cuando se ejecuta elimina algunos archivos válidos que son necesarios para que el equipo funcione. Voy a ofrecer enlaces a estos archivos y ubicaciones que debe copiarlos a.
Paso 10 – Ejecutar dos exploraciones de virus en línea para una buena medida.
Ahora estoy siendo paranoico, pero no puede hacer daño a ser seguro, ¿verdad? Quiero que ejecutar dos exploraciones de virus en línea para asegurarse de que no hay nada más al acecho alrededor de su máquina. Por favor, visite los siguientes dos enlaces y ejecutar los análisis de virus que se pueden encontrar allí: de
TrendMicro HouseCall de Bitdefender Online Scan
Lets ahora proceder al último y definitivo paso.
Paso 11 – Ejecutar Ad-Aware para limpiar cualquier otro spyware o malware.
Nuestro último paso es ejecutar Ad-Aaware en su máquina. Esto buscará en su equipo para cualquier otro spyware o malware que pueden haber pasado por alto y tratar de eliminarlo. Las instrucciones sobre cómo utilizar este software se pueden encontrar aquí:
El uso de Ad-Aware SE para eliminar el software espía y secuestradores de su ordenador [Tutorial Enlace] Remoción
Fin Procedimiento:
Comentarios finales:
el ordenador debería estar limpio de la infección Inicio Asistente de búsqueda. Esperamos que estas instrucciones son fáciles de seguir y entender. Si tienes alguna pregunta o comentario por favor no dude en preguntar en los foros.
BleepingComputer.com no se hace responsable de los problemas que se pueden producir mediante el uso de esta información.
Por favor, visite nuestro foro HijackThis Registros y análisis si quisiera ayuda con cualquiera de estos fixes.If usted tiene alguna pregunta acerca de esta guía de autoayuda emvía estas preguntas en nuestro antivirus, cortafuegos y los productos y métodos de protección de privacidad foro y voluntad a alguien le ayudará.
Hola, aquí un friki de los tutoriales y los videojuegos, espero que te guste mi web que con tanta dedicación he creado para entretenerte! Hablamos pronto!