Tema: spyware imposible de eliminar?

[backkust]

:oops:

llevo 2 semanas intentando eliminar un programa o algo asi que se autoejecuta cuando quiere.
los sintomas son claros y visibles: cada cierto tiempo (no parece tener un tiempo fijo), abre el internet explorer, redimensiona la ventana a mas pequeña y pone que se ha detectado 7 spywares , que pulse para solucionarlo. la ventana en cuestion es una imagen ya que pone que el sistema operativo detectado es windows xp, y en realidad yo tengo win98se.en la barra de direcciones aparece una direccion de globosearch.com.

los pasos que he seguido para eliminar esto es:
1.- he pasado varios programas antiespias actualizados: spybot, adware, pestpatrol, spysweeper, aluria
2.- he pasado varios programas antivirus: smartcop, drweb.
3.- he pasado un antitroyanos: the cleaner

me han detectado varias cosas (los antiespias) pero nada se ha solucionado, y y siguen abriendose la puñetera ventana.

tambien he probado a cambiar de navegador, y he puesto el opera y el firefox. los he puesto alternativamente como navegadores alternativos para que el internet explorer dejara de serlo,y... sorpresa.¡seguia abriendose esa web pero con el navegador que ponga como por defecto.

¿que puedo hacer? ¿alguna sugerencia?
debe de ser algun programa que arranca con el sistema, pero en el msconfig no veo nada raro.

por favor ayuda.
saludos

[Danae]

Parece que es un espia, pero según veo, el spybot-search ya lo detecta y lo quita, no entiendo porque a tí no te lo hace.
Intenta pasarlo a prueba de fallos, intenta también pasar el ad-aware actualizado.

Mira a ver si en la opción agregar o quitar progrmas tienes globosearch.com, de ser así desinstala, si no, haz una búsqueda en c: a ver donde está alojado ese archivo.

Saludos

[destroyer]

hola:  
Bienvenido al foro backkust.

Realiza los pasos como te comenta Danae en modo a prueba de fallos a ver..

Un saludo

[Dabo]

ya sabes, al arrancar deja pulsada la tecla f8 y dale a modo seguro con funciones de red, no ejecutes restaurar sistema si te lo pide.

bienvenido  :wink:

[backkust]

he instalado incluso la ultima version del spybot 1.3.2b, y sigue sin detectarme nada. lo he hecho a prueba de fallos y nada.
la cuestion es que he tardado unas 3 horas (no tiene un tiempo fijo), pero me ha vuelta a abrir el navegador solito y me pone que ha detectado 7 spywares que pulse alli para limpiarlos...

¿alguna otra sugerencia para eliminar esta porqueria?

saludos

[destroyer]

hola:
Has probado a hacer una busqueda de globosearch en tu pc.. o bien en agregar quitar programas como te comentó Danae,  si existe algo referente a ello..

  Prueba esto .  Ve a propiedades del escritorio, ve a la pestaña WEB, y quita la marca de la casilla ... "Ver active desktop como una pagina web" .  A ver si continúa saliendo esa pantalla.

¿Has usado mozilla firefox como navegador a ver si tambien te ocurre?

Un saludo

[backkust]

ante todo gracias por vuestra ayuda, ya que estoy desesperado.

he buscado globosearch y no sale nada. de todas maneras parece que el problema no debe ser globosearch y que en ocasiones salen otros nombres. ya que he visto en otros foros que hay gente que le ocurre con otras paginas.

en instalar/desinstalar no aparece nada raro (realmente tengo pocas cosas instaladas). no tengo active desktop habilitado ya que tengo instalado 98lite.

por ultimo , si he probado con otros navegadores: opera, firefox y maxtor. con todos ocurre lo mismo. es como si hubiera algo residente que cuando le da la gana abre el navegador por defecto y pone lo que he comentado.

¿alguna sugerencia mas?

saludos

[backkust]

Logfile of HijackThis v1.97.7
Scan saved at 11:37:46, on 29/11/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SLAVE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\MEMORYBOOST\MEMORYBOOST.EXE
C:\ARCHIVOS DE PROGRAMA\PESTPATROL\PPCONTROL.EXE
C:\ARCHIVOS DE PROGRAMA\PESTPATROL\COOKIEPATROL.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE
C:\PROGRAM FILES\FARSTONE\RESTOREIT_98\VBPTASK.EXE
C:\LOTUS\ORGANIZE\EASYCLIP.EXE
C:\LOTUS\REGISTER\REMIND32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\MENU\CLEAN\HIJACKTHIS CONTROLAADIE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [MemoryBoost] "C:\Archivos de programa\MemoryBoost\MemoryBoost.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\FarStone\RestoreIT_98\VBPTASK.EXE" VBStart
O4 - HKLM\..\RunServices: [RA Server] C:\WINDOWS\Slave.exe
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Archivos de programa\Eset\nod32krn.exe"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe
O4 - Startup: Lotus SmartSuite 9.6 - Español Registro.lnk = C:\lotus\register\remind32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = telefonica
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.5.64.2,195.5.64.6

[choche]

De la lista del hijackthis me llama la atencion estos dos:

R3 - Default URLSearchHook is missing
O10 - Broken Internet access because of LSP provider 'imon.dll' missing


No los toques, espera a ver si fast te dice algo.

[backkust]

no lo entiendo, he probado a eliminar esas entradas, pero nada.
he limpiado las entradas que me habeis notificado, pero de momento, no se ha solucionado. he buscado en internet por "globosearch" y no aparece gran cosa.

¿como podre arreglarlo?
no quisiera tener que formatear el hdd de nuevo, porque como entendereis es luego una labor de chinos restablecer y reinstalar todos los programas y datos, por lo que querria que me orientaseis con una solucion mas "viable".

saludos y gracias de nuevo