Problemas Pagina de Inicio (otro mas)

[weirdocreep]

Algo entro en mi maquina que hace que la siguiente pagina sea la predeterminada: res://bmpxy.dll/index.html#96676 . Ello hace que cada vez que abro otra pagina, me salga un pop up con una publicidad cuyo titulo (margen izquierdo arriba) es "Only the best". Probe modificarlo desde herramientas/ Opciones de Internet y no me toma el cambio. Intente removerlo con todos los programas que conozco: Adaware, Spybot, CWShredder, hijackthis y ninguno me esta funcionando. Ademas, hace mas lenta la maquina.

Algun dato util?

[cañera]

se han subido al foro dos utilidades prueba con ellas

https://foros.zonavirus.com/viewtopic.php?f=5&t=860 =)elistara

https://foros.zonavirus.com/viewtopic.php?t=1279 =)eliblank

hazlo en a modo preuba de errores.apagas el pc/lo enciendes y pulsas repetidas veces F8.

cuentanos como te fue.

[weirdocreep]

Desde ya, gracias por la velocidad en la respuesta. Ahora los pruebo a ambos. Mientras tanto, les adjunto esta informacion a ver si se desprende algo mas de ella.



Logfile of HijackThis v1.97.7

Scan saved at 04:53:22 p.m., on 17/06/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Macromedia\Flash Communication Server MX\FlashComAdmin.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\No-IP\DUC20.exe

C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\ORL\VNC\WinVNC.exe

C:\WINDOWS\system32\sdkxg.exe

C:\Archivos de programa\Macromedia\Flash Communication Server MX\FlashCom.exe

C:\WINDOWS\system32\sysvx32.exe

C:\ARCHIV~1\GENIUS~1\GNETMOUS.EXE

C:\Archivos de programa\Microsoft Hardware\Keyboard\type32.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\Gustavo_\CONFIG~1\Temp\Rar$EX00.438\HijackThis.exe

C:\Archivos de programa\Messenger\msmsgs.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bmpxy.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bmpxy.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bmpxy.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bmpxy.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bmpxy.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bmpxy.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {B02D3C44-5088-4292-8040-CB902C2FAA78} - C:\WINDOWS\systn32.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\ORL\VNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [sysvx32.exe] C:\WINDOWS\system32\sysvx32.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock

O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\GNETMOUS.EXE

O4 - HKLM\..\Run: [IntelliType] "C:\Archivos de programa\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\RunOnce: [crvs32.exe] C:\WINDOWS\system32\crvs32.exe

O4 - HKLM\..\RunOnce: [netgq.exe] C:\WINDOWS\netgq.exe

O4 - HKLM\..\RunOnce: [iewh32.exe] C:\WINDOWS\system32\iewh32.exe

O4 - HKLM\..\RunOnce: [appbj32.exe] C:\WINDOWS\appbj32.exe

O4 - HKLM\..\RunOnce: [adduo.exe] C:\WINDOWS\system32\adduo.exe

O4 - HKLM\..\RunOnce: [mfcbm32.exe] C:\WINDOWS\mfcbm32.exe

O4 - HKLM\..\RunOnce: [d3ip.exe] C:\WINDOWS\d3ip.exe

O4 - HKLM\..\RunOnce: [mfcng.exe] C:\WINDOWS\system32\mfcng.exe

O4 - HKLM\..\RunOnce: [ntpa.exe] C:\WINDOWS\system32\ntpa.exe

O4 - HKLM\..\RunOnce: [atlmw32.exe] C:\WINDOWS\atlmw32.exe

O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - Startup: PalNetaware.lnk = C:\Archivos de programa\Paltalk\pnetaware.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt2_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {40289096-9F72-4A04-BCB3-E434ECDCEE33} (AppDLCtrl Class) - http://download.howudodat.com/chatterbox/download/appdl.cab

O16 - DPF: {498A0AC2-A3AC-11D4-80A9-0050DA680987} (HearMe (Firewall) Voice Control) - http://www.englishtown.com/EtownResources/HearMe/hmvcfe.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {7705BB09-BA19-11D4-ACD9-0050BAD92FE4} (EFSpeech Control) - http://lips.englishtown.com/efsr/EFSpeech.cab

O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37994.8547685185

O16 - DPF: {A03B089C-4C55-11D4-A2F5-009027F1533D} (EFRecorder Control) - http://www.englishtown.com/schoolcontent4/shared/VoiceRecorder/EFVoiceRecorder.cab

O16 - DPF: {B24F0664-7DDA-40B6-B38C-A4FD68DE8685} (CentraDownloaderCtl Class) - http://centra.englishtown.com/main/Install/en/US/CentraDownloader.cab

O16 - DPF: {B397C5F7-629D-4BE7-855F-576C7929C151} (cont.ablb) - http://www.rentasgcba.gov.ar/abl_pat/distribuc/cont.CAB

O16 - DPF: {C2F38867-251C-4216-9B1C-BBE89B8700E2} (iVocalize Internet Conference 3 Setup) - http://www.talkingcommunities.com/client3/ivsetup3.cab

O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4351/mcfscan.cab

O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab



-CWShredder V. 1.59.0-

Windows XP (5.01.2600 SP1)

Windows dir: C:\WINDOWS

Windows system dir: C:\WINDOWS\system32

AppData folder: C:\Documents and Settings\Gustavo_\Datos de programa

Username: Gustavo_

Hosts file not present

Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe

UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,

Found Win.ini file: C:\WINDOWS\win.ini (929 bytes, A)

Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A)

- END OF REPORT -

[weirdocreep]

Intente ambos programas en modo a prueba de fallos y tampoco me dio resultado. No se si resulta importante la siguiente informacion pero por las dudas les comento que ademas, me creo una carpeta "links" en mis favoritos. Cualquier otra recomendacion o informacion que puedan darme o necesitan, chiflen! Saludos y de todas formas gracias.

[weirdocreep]

Me llama la atencion, que en las lineas del informe coincide una parte con otra de la direccion de la pagina de inicio predeterminada. Esto es "bmpxy.dll". Quizas esto tiene que ver, pero no se si tocar porque como habran notado, la informatica no es mi fuerte. Escucho observaciones, propuestas, criticas y canciones lindas. S.O.S. Salutes.

[msc hotline sat]

A ver, Araceli te indicó que lanzaras la utilidad ELISTARA.EXE, que se obtiene en el siguiente links:



https://foros.zonavirus.com/viewtopic.php?f=5&t=860



Con ella, aunque no detectes el Starpage si no lo es, te propone eliminar la pagina de inicio, y aceptadolo debería eliminarte las entradas a bmpxy. Es que no las ejecutaste?



En cualquier caso, prueba además con el CWSHREDDER, que es el mejor eliminador de paginas de inicio y dialers:





Eliminación de paginas de inicio en el internet explorer y no restaurables, dialers, etc:

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp



saludos



ms, 18-06-2004

[weirdocreep]

Ejecute todos los programas que figuran aca. Los ejecuto en modo normal, a prueba de fallos, con la opcion de no restaurar sistema y restaurando tambien. El ELISTARA.EXE funciona solo la primera vez que abro el explorer. A la segunda o cuando cierro la primer ventana, vuelve a cambiarse la Home Page. Segun estaba leyendo en otras paginas, el spyware lo denominan "Only the Best" por su analogo nombre en los pops up que aparecen. Probe muchas soluciones de distintas paginas y no me funciona. El CWSHREDDER dice que mi maquina esta limpia. Asi que no se que mas hacer. Cualquier dato que necesiten o puedan darme, agradecido! Salutes.

[darkpred]

weirdo, yo tambien me tope con este problema...



todo lo k tu dices tengo incluso las ventanas k dicen only th best.

solo que a mi se me ejecuta con res://towrh.dll/[...]

encontre varios archivos "sospechosos" causantes del problema.



1.- por lo k veo lo k se abre no es una pagina de internet, sino una pagina en tu maquina, es decir, bmpxy.dll es un archivo k se encuentra en C:\windows\system32. (en mi caso es el towrh.dll)



2.- encontre el archivo ipez.exe k se ejecuta cuando se abre un pop-up



3.- abri el código fuente del pop-up "only the best" y encontre esta leyenda

(<!-- To remove our AdWare go to "Control Panel->Add or Remove Programs", and remove program named "iefeatsl". If you do not have this program installed, then please go to http://www.8ad.com, and click "Uninstall WinShow PopUps" link at the bottom of the page. If you have further questions please contact adv@8ad.com. We are sorry for the inconvenience. -->)

trate de hacerlo e incluso baje lo k pide, pero no soluciono nada.



4.- encontre un archivo creado a la misma hora k empezo el problema solo que cometi el error de borrarlo sin intenciones de aprenderme el nombre.



weird, te pido de favor k busques si tienes este ejecutable: ipez.exe

y por favor haz ctrl+alt+supr y dime k ejecutables tienes en el proceso, asi te digo cual es el que puedes borrar.



mi conclusion es k es un spyware nuevo y bastante molesto.

lo k hize para k se kitara el problema de la pagina de inicio fue este:



baje el Spybot Search & Destroy V1.3

borre el archivo towrh.dll

cambie en el registo de paginas web (browser pages) todos a http://www.google.com (con el spybotsd)



esto hasta el momento me a funcionado, pero no he podido parar la salida de los pop-ups. :roll:

[darkpred]

weird, encontre el problema de los pop-ups.

analize las propiedades del pop-up y encontre una carpeta escondida que tiene todas las imagenes e informacion del pop-up, buscala a ver si la tienes.



C:\Documents and Settings\Darkpred\Configuración local\Archivos temporales de Internet\MSFT



obviamente en vez de darkpred va tu nombre de usuario...

[darkpred]

parece ser que el hijacker viene de un ejecutable llamado "ntme32.exe" no lo se con certeza, pero tengo sospechas bajo este archivo...

[darkpred]

parece ser que en efecto nuestro enemigo es el "ntme32.exe" y veo que no es tan simple como pensaba.

es capaz de pasar por todos los bloqueos active x k puse y aparte me bloqueo la utilidad de poder controlar lo k se descarga de internet (active x) dejando la pc abierta a cualquier ataque de spybots



ya habia podido eliminar el ejecutable ntme32.exe y lo tenia en papelera, pero me entro el miedo y decidi restaurarlo. todo lo que habia solucionado se volvio a poner...



este parece ser un espia peligroso

[darkpred]

encontre otro proceso del hijacker digno de mencionar



cada que se ejecuta un pop-up, se cambia la página de inicio a la pagina prediseñada por el hijacker...

[darkpred]

parece ser que todo el problema se encuentra en el dll llamado



"apiyy.dll" no lo se con certeza, pero este ya se volvio un porblema mayo, deberian de hablar de esto.



msc hotline sat, por favor de redirección a este thread cuando pregunten por "only the best" hijaker, creo k estoy encontrando la solucion

[darkpred]

only the best



encontre este codigo de ejecución en el dll apiyy, el cual creo k es el causante del problema, lo vi con notepad:



KERNEL32.DLL ADVAPI32.dll ATL.DLL ole32.dll OLEAUT32.dll SHELL32.dll SHLWAPI.dll USER32.dll WININET.dll LoadLibraryA GetProcAddress RegOpenKeyA CLSIDFromString SHGetSpecialFolderPathA SHDeleteKeyA IsWindow InternetOpenA hÚÖ@ d $ @ X @Q PQ  T ÀT àT ðT q ￾ “ ¥ ¹ ¼ IEPlugin.DLL DllCanUnloadNow DllGetClassObject DllRegisterServer DllUnregisterServer _f _key

[darkpred]

como no lo puedo poner aki, puedes ver la guia para limpiar el problema aki:



https://foros.zonavirus.com/viewtopic.php?t=1395

[msc hotline sat]

Darkpred repetía por tercera vez el mismo post en este foro a continuacion, el cual se ha eliminado y se ofrece el link de uno de ellos:



https://foros.zonavirus.com/viewtopic.php?t=1395



Como sea que reiteradamente ha incumplido la normativa de no repetir Temas, se le desactiva del foro, conforme a las normas de utilizacion:



https://foros.zonavirus.com/viewtopic.php?t=530



Además, pase que pueda en un Tema participarr con mas de un post, pero en este mismo había abierto 8 Temas uno detras de otro, para el mismo asunto, lo cual no es adecuado, sino, en el mismo, o en dos o tres, decirlo todo, o maxime en varios si hay interlocucion, pero no monologo!



Se te agradece la colaboracion prestada Darkpred, y se procede a tu desconexion.