ya no sé que hacer (solucionado)

[mussol]

Hola. Recurro a vosotros con la esperanza de que me déis la solución. Para resumir la cosa: me sale una página de inicio tipo buscador, en concreto dos : http//69.31.79.106 y 69.50.173.252. He probado todos los programas que indicáis en las consultas (adaware, spybot y csw sheredder) y no hay manera. A lo más que he llegado es a que en el spybot me aparecia como Common Hijacker, curiosamente mientras todas las casillas estaban marcadas (me salieron mas cosas) esta no lo estaba. Al ver detalles me aparece: Host redireccionado (a la primera dirección creo recordar). Marqué y dí a reparar. Se supone que sin problema, pero al reiniciar , otra vez. Llevo así varios días y no encuentro solución. Para más inri, en la propia página, al final, hay un enlace donde me indica como quitar ¡la propia página!. Sigo los pasos, pero al final me dice que vaya al registro y quite una clave que se supone ha de haber en la carpeta Browser Helper Objects, pero ahí no está tal clave, no sé si porque algún antiespia la quitó o porque nunca estuvo. Por supuesto la página sigue ahí.

En fin, espero que me déis alguna luz, porque estoy realmente desmoralizado. Saludos.

[cañera]

prueba con esta utilidad haber si lo solucionas;
http://www.zonavirus.com/descargas/elistara.asp
cuentanos como te fue.

[msc hotline sat]

Dentro de las URL controladas por el CWSHREDDER del siguiente link, estám descritas las tuyas.

Mira de bajar la actualizacion que desde este link ofrecen (pinchando el CWSHREDDER) y usalo, a ver si se trata de una version mas nueva que la que utilizas.

http://www.zonavirus.com/descargas/tren ... redder.asp

saludos
ms, 7-06-2004

[mussol]

Hola de nuevo, gracias ante todo por vuestras respuestas. Pero desgraciadamente no me han podido solucionar el problema. Efectivamente, me he bajado la actualización del CWS Sheredder, la del ad-aware, el elistara y he vuelto a pasar el spybot, todo en modo normal y a prueba de fallos. Todo inútil. Sigue saliendo. El CWS Shredder me borra una serie de registros de IE infectados. De hecho, la página de inicio me la cambia, pero una vez reinicio, otra vez igual. Espero vuestra respuesta y vuestra ayuda. ¿habéis ojeado los pasos que dan en esa misma página para quitarla? ¿qué opinión os merece? ¿es posible que tenga instalado algún programa que me redirecciona? ¿por qué si lo detecta el CWS Sheredder no logra eliminarlo definitivamente? Un saludo y gracias de antemano.

[mussol]

ah, por cierto, una cosa más, por si es importante. Cuando paso el CWS Shredder por ejemplo, como dije anteriormente, me quita la página espía y me pone about:blank, hasta que se reinicia. Pues bien, si paso el ad-aware (antes de reiniciar, claro) me detecta como posible secuestro del navegador los valores de registro que hacen que la pagina de inicio sean About:blank, (algo asi como HKlocaluser/microsoft/internetexplorer/main/startpage:aboutblank. Con HKcurrentuser, lo mismo. Es decir, cuando está about:blank, el ad-aware lo detecta, pero cuando está la página espia ¡no detecta los valores de registro malos, que además son varios!. Bueno, os lo quería comentar por si sirve de ayuda. Es como si se hubiese reprogramado el ordenador, y todo lo que no sea esa página, es malo, cuando es al revés, lógicamente.

[admin]

¿Has ejecutado los anti-adwares a modo seguro?

Arranca a modo prueba de fallos o modo seguro
http://www.zonavirus.com/articulos/como ... fallos.asp

[caito]

Puede que esto te ayude : W32/StartPage.GV. Cambia página de inicio y búsqueda
_____________________________________________________________

Nombre: W32/StartPage.GV
Tipo: Caballo de Troya
Alias: Startpage.GV, Win32.Startpage.GV, TROJ_STARTPAG.GV,
Trojan.Win32.StartPage.gv, Trojan:Win32/StartPage.GV
Plataforma: Windows 32-bit
Fecha: 7/jun/04
Tamaño: 31,232 bytes

Este troyano, escrito en Visual C++, cambia las páginas de inicio y de búsqueda del usuario infectado en el Internet Explorer.

Se integra al Internet Explorer como un objeto del tipo BHO (browser helper object). Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos
redeterminados. Como el proceso en ejecución es el propio Explorer de Windows, no se puede eliminar de memoria fácilmente.

Para ejecutarse, el troyano realiza severas modificaciones en el registro, como se describen más abajo, donde [dirección del sitio] puede ser cualquier página web.

Claves del registro modificadas:
HKLM\Software\Classes\CLSID
\{D38E04D3-6885-4134-B796-880FEF1C951B}

HKLM\Software\Microsoft\Windows
\CurrentVersion\Browser Helper Objects\
{D38E04D3-6885-4134-B796-880FEF1C951B}

HKCR\CLSID
\{D38E04D3-6885-4134-B796-880FEF1C951B}

HKCU\Software\Microsoft\Internet Explorer
SearchSearchAssistant = "[dirección del sitio]\sp.htm"

HKCU\Software\Microsoft\Internet Explorer
MainSearch Bar = "[dirección del sitio]\sp.htm"

HKCU\Software\Microsoft\Internet Explorer
MainSearch Page = "[dirección del sitio]\sp.htm"

HKLM\SOFTWARE\Microsoft\Internet Explorer
SearchSearchAssistant = "[dirección del sitio]\sp.htm"

HKLM\SOFTWARE\Microsoft\Internet Explorer
MainSearch Bar = "[dirección del sitio]\sp.htm"

HKLM\SOFTWARE\Microsoft\Internet Explorer
MainSearch Page = "[dirección del sitio]\sp.htm"

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
HOMEOldSP = "about:blank"

HKCU\Software\Microsoft\Internet Explorer\Main
HOMEOldSP="about:blank"

En este caso, "about:blank" no es una página vacía, sino una página de búsqueda redireccionada por el troyano.


* Reparación manual

* Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.zonavirus.com/articulos/como ... fallos.asp
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.

* Cómo borrar archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet pinche en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Pinche en Aceptar, etc.

* Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Pinche en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Pinche en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Pinche en "Aceptar".


* Seleccionar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".

* Restaurar las páginas de búsqueda del Internet Explorer

1. Inicie el Internet Explorer.
2. Pinche en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).
5. Pinche en el botón "Reiniciar" (Reset).
6. Pinche en el botón "Configuración de Autosearch" (Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.


* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Classes
\CLSID
\{D38E04D3-6885-4134-B796-880FEF1C951B}

3. Pinche en la carpeta "{D38E04D3-6885-4134-B796-
880FEF1C951B}" y bórrela.

4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Browser Helper Objects
\{D38E04D3-6885-4134-B796-880FEF1C951B}

5. Pinche en la carpeta "{D38E04D3-6885-4134-B796-
880FEF1C951B}" y bórrela.

6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\CLSID
\{D38E04D3-6885-4134-B796-880FEF1C951B}

7. Pinche en la carpeta "{D38E04D3-6885-4134-B796-
880FEF1C951B}" y bórrela.

8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.


* Información adicional

El virus utiliza un exploit que se aprovecha de una
vulnerabilidad del Internet Explorer para manejar las
etiquetas IFRAME, a los efectos de ejecutarse al ser
visualizada una página, en aquellos equipos que no hayan
instalado los últimos parches para el Internet Explorer y
Outlook Express.

La configuración sugerida en el siguiente artículo, evita la
ejecución del script que permite la explotación de esta
falla:

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Se sugiere descargar la última actualización acumulativa para
el Internet Explorer, que corrige esta falla:

MS04-004 Actualización acumulativa para IE (832894)
http://www.vsantivirus.com/vulms04-004.htm


* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

[msc hotline sat]

Para el StarPage-GV teneis la utilidad ELISTARA.EXE v 2.1 , subida hoy a esta web, que lo elimina facilmente:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 9-06-2004

[mussol]

Hola de nuevo. Pues no, no debe ser el StartpageGV porque no he localizado esos valores de registro y tampoco me lo ha eliminado el elistara actualizado. He vuelto a pasar todos los programas, en modo normal y modo seguro pero al reiniciar sigue cambiandome la página de inicio. A ver si entre todos podremos hacernos con este perverso programa que me lleva ya varios días con la cabeza revuelta. Un saludo.

[msc hotline sat]

Antes de irme, he visto que estaba este pendiente, y conviene lanzar un HIJACKTHIS para ver procesos y claves de registro, que serán estudiados debidamente y podrán darle soluciones.



Del resultado, haga un seleccionar (CTRL E), copiar (CTRL C) y un pegar (CTRL V) en su proximo post de respuesta a este, y le contestaremos como respuesta a este Tema



saludos



ms, 11-06-2004

[mussol]

Hola, aquí va el log de lo que me ha salido en el hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 09:15:28, on 12/06/2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

Código: Seleccionar todo

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Archivos de programa\Panicware\Pop-Up Stopper\dpps2.exe
C:\WINNT\loadqm.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe
C:\WINNT\regedit.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.106/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.106/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.106/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.31.79.106/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.106/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.106/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.106/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.106/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.31.79.106/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.106/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.106/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.106/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.106/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.106/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por ONO
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.106/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.106/search.php
O1 - Hosts: 69.31.79.106 auto.search.msn.com
O1 - Hosts: 69.31.79.106 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CreateCD50] "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Archivos de programa\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [winupd] C:\WINNT\System32\winupd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://activex.microsoft.com/activex/controls/macromedia/Swdir.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductUpdates/content/opuc.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/es/deleon/1.1.48-deleon/GoogleNav.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash

A ver si hay suerte. Un saludo.

[mussol]

Hola amigos. Me dirijo a vosotros para deciros que creo que ya está solucionado el problema. He estado investigando a raiz de los resultados del hijackthis. Al parecer se trataba de una aplicación que habia en concreto la que hace referencia a winupd. Se trata de un gusano, según he leido, el W32Bagle.N. Quité los registros que me daba el programa y además la aplicacion que se me había instalado en C/win32 creo, o algo asi. Al reiniciar ya no me ha salido la página dichosa. Os doy los datos que he averiguado por si os pueden interesar. Un saludo y gracias por toda la ayuda. :lol:

[cañera]

mussol pasale esta utilidad por si quedara algun fichero corrupto por el pc;
http://www.zonavirus.com/descargas/elistara.asp

Cuentanos como te fue.

[msc hotline sat]

Aunque el Bagle.N no crea ninguna pagina de Inicio para el Internet Explorer, segun puede verse en su desxripcion:

http://www.vsantivirus.com/bagle-n.htm

entre una cosa y otra, la cuestion es que se ha eliminado la página , y finalmente con la utilidad propuesta por Araceli, tras lo cual es importante reiniciar y pasar el antivirus eliminando restos, se ha terminado el problema, por lo que solucionado el asunto, se cierra este Tema