res://wqcns.dll/index.html#96676 (Solucionado)

Samuel C.Q. · Mensaje por **Samuel C.Q.** » 04 Jul 2004, 21:29

Esta es la página que se abre cada vez que inicio el explorer. Cuando la elimino, vuelve a aparecer cambiando el nombre del dll. Ya he pasado ad aware, spybot, pestpatrol, cwsherreder, etc. Os pongo lo que me sale con el hijack a ver si me podeis ayudar:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wqcns.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqcns.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqcns.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wqcns.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wqcns.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wqcns.dll/sp.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {EAE8D257-169A-5EC7-BC0B-100C147C4302} - C:\WINDOWS\syssc32.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [msma32.exe] C:\WINDOWS\system32\msma32.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\RunOnce: [javazi.exe] C:\WINDOWS\system32\javazi.exe

O4 - HKLM\..\RunOnce: [d3xk.exe] C:\WINDOWS\d3xk.exe

O4 - HKLM\..\RunOnce: [iefn32.exe] C:\WINDOWS\system32\iefn32.exe

O4 - HKLM\..\RunOnce: [sysnc.exe] C:\WINDOWS\system32\sysnc.exe

O4 - HKLM\..\RunOnce: [Remove at boot] C:\DeleteAtReboot.bat

O4 - HKLM\..\RunOnce: [ntom.exe] C:\WINDOWS\system32\ntom.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: Referencia (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/sikes/es/win/QuickTimeInstaller.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CD5A25B-B962-4AB4-B325-A4E73F87DDAC}: NameServer = 195.235.113.3,195.235.96.90

Muchas gracias!

Mensaje por **cañera** » 04 Jul 2004, 22:40

elimina esto marcandolos y clicando FIX

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wqcns.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqcns.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqcns.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wqcns.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wqcns.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wqcns.dll/sp.html#96676

mira otra cosa que puedes hacer;

inicio/todos los programas/spybot search & destroit/advanced mode/configuración/la pestaña de security/y clicas en dso/exploit.

cierras y abres el habitual y escaneas el pc.

cuentanos como te fue.

Samuel C.Q. · Mensaje por **Samuel C.Q.** » 04 Jul 2004, 23:06

Ya había eliminado esas entradas que me señalas, pero en cuanto abro el explorer, vuelven a aparecer. Sospecho que tiene que ver algo en esto todos esos ejecutables que aparecen en los 04 de system32, ya que el memcheck de pestpatrol esta constantemente dándome avisos de q son espias en memoria, pero por más que los elimino, vuelven a aparecer.

Por otra parte no localizo lo del ds/exploit del spybot.

A ver que os parece. Muchas gracias

Mensaje por **cañera** » 04 Jul 2004, 23:51

me extraña mucho ese 03 la toolbar de radio que está en system32,normalmente estan en archivos de programa.

pasa el hijacthis en a modo seguro y elimina esas entradas que te dije antes y la de radio.

inicio/mi pc,clicas con botón derecho/propiedades/restaurar sistema,lo desactivas y aceptas.apagas el pc,lo enciendes y pulsas repetidas veces F8 en el menu que te aparece escoges la opción modo seguro.

cuentanos como te fue

Samuel C.Q. · Mensaje por **Samuel C.Q.** » 05 Jul 2004, 00:25

Ya lo hice pero sigue apareciendo. No se si os servirá de ayuda esto: pestpatrol detecta constantemente ejecutables que se alojan en system32 y que son de cws.feads.

Aparte me parecen muy raras esas entradas que te comento arriba de los 04, pero como no se lo que son exactamente no me atrevo a borrarlas.

Un saludo.

Mensaje por **cañera** » 05 Jul 2004, 00:32

mira vamos a hacer una cosa.no las vamos a eliminar por que no sabemos de que son,en google no le encuentro información,los renombramos y miramos que no tengas problemas con ningun programa ni te da error de comienzo,ok?

mira la ruta C:\WINDOWS\system32\dla\tfswctrl.exe

cambias el .EXE por .DLL y asi con todos esos que está en el 04 en el system32,si no te falla nada los podras eliminar.

de paso dinos si se te soluciona el problema.

Mensaje por **maura63** » 05 Jul 2004, 08:14

No estaria de mas que pasara estas utilidades

Eliminación de paginas de inicio en el internet explorer y no restaurables, dialers, etc:

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp

Y puedes probar la nueva version del ELISTARA.EXE, a ver si ya logra eliminar esta variante del StarPage:

https://foros.zonavirus.com/viewtopic.php?p=3565#3565

Descarga, actualiza el CWS y lo pasas en modo a prueba de fallos.

Saudos

maura63

Samuel C.Q. · Mensaje por **Samuel C.Q.** » 06 Jul 2004, 18:22

La última actualización del ad-aware soluciona por fin el problema.

Muchas gracias por vuestra ayuda! :wink:

Mensaje por **maura63** » 06 Jul 2004, 18:27

Pues ya sabes, no olvides tener el Ad-aware junto a Spybot actualizados y pasados.

Una vez limpio instala spywareblaster para impedir que los que detecta te vuelven a entrar.

Solucionado el tema lo cerramos.

Saludos

maura63

res://wqcns.dll/index.html#96676 (Solucionado)

res://wqcns.dll/index.html#96676 (Solucionado)

nada de nada

arreglado