Pagina inicio/res://zkpgb.dll/index.html#96676(solucionado)

[Lalos]

Bueno estoy tratando de solucionar este tema del constante cambio de la página de inicio de Internet Explorer y necesito saber si alguien conoce este caso o se le ocurre algo.



SO: Windos XP Service Pack 1



Ya pase en el modo seguro y despues de desactivar restaurar el sistema:



CWShredder, EliStarA, spyBotsd y Ad-aware 6.181 con sus actualizaciones.



No consigo eliminar el problema. La página de inicio a la que me lleva cada vez que inicio el explorador es:



res://zkpgb.dll/index.html#96676



Incluso ad-aware encuentra en el registro los cambios a la start page y la libreria zkpgb.dll y las elimina, pero igualmente vuelven a estar ahi despues de reabrir el IE o al reiniciar la PC.



Si alguien conoce el caso o se le ocurre algo para hacer voy a estar agradecido.

[Lalos]

Perdonen que no salude por ser nuevo en este foro, pero es el estar horas tratando de solucionar este problema. Saludos a todos y los felicito por la cantidad de informacion que hay y la predisposición.

[maura63]

Pues te saludamos desde este otro lado.



Bajate este programa lo descargas y guardas.



· Hijackthis

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

----------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip



Le haces con el programa un scan, una vez finalizado el scaneo pulsa SAVE y te creara un archivo de texto (logs) haces un copiar y pegar del mismo y lo pegas como respuesta a este mismo tema.



Saludos

maura63

[Lalos]

Bueno aca va.





Logfile of HijackThis v1.97.7

Scan saved at 08:38:13 a.m., on 15/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\QCONSVC.EXE

C:\WINDOWS\system32\javaun32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\tp4serv.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\System32\hkcmd.exe

C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

C:\Archivos de programa\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe

C:\Archivos de programa\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe

C:\Archivos de programa\ThinkPad\ConnectUtilities\QCWLICON.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\Archivos de programa\ThinkPad\Utilities\TpKmapMn.exe

C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\iphx.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\rundll32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zkpgb.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zkpgb.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zkpgb.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zkpgb.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zkpgb.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zkpgb.dll/sp.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 16*;intranet*

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {74D194A2-B849-8F9F-3A6B-22F03A0C0932} - C:\WINDOWS\iplw.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe

O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [QCWLICON] C:\Archivos de programa\ThinkPad\ConnectUtilities\QCWLICON.EXE

O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

O4 - HKLM\..\Run: [BMMLREF] C:\Archivos de programa\ThinkPad\Utilities\BMMLREF.EXE

O4 - HKLM\..\Run: [TPKMAPMN] C:\Archivos de programa\ThinkPad\Utilities\TpKmapMn.exe

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [EZEJMNAP] C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe

O4 - HKLM\..\Run: [StorageGuard] "c:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [addgl.exe] C:\WINDOWS\system32\addgl.exe

O4 - HKLM\..\Run: [mfczk.exe] C:\WINDOWS\system32\mfczk.exe

O4 - HKLM\..\Run: [d3uq32.exe] C:\WINDOWS\system32\d3uq32.exe

O4 - HKLM\..\Run: [iphx.exe] C:\WINDOWS\iphx.exe

O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1044.dll,InstantAccess

O4 - HKCU\..\Run: [Spyware Begone] C:\Documents and Settings\usuario\Escritorio\freescan.exe -FastScan

O4 - HKLM\..\RunOnce: [javaun32.exe] C:\WINDOWS\system32\javaun32.exe

O4 - HKLM\..\RunOnce: [atlhc32.exe] C:\WINDOWS\atlhc32.exe

O4 - HKLM\..\RunOnce: [ipzk.exe] C:\WINDOWS\system32\ipzk.exe

O4 - HKLM\..\RunOnce: [apirb.exe] C:\WINDOWS\apirb.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia (HKLM)

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_ES_XP.cab

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe

O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMSERVICE_1044_pack_XP.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_ES_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{34CA0ABB-57AE-416A-AFCB-4518A08629A7}: NameServer = 16.1.1.10





Gracias.

[msc hotline sat]

Está claro que la páfina de inicio en cuestión se carga en todas las claves tipo R1 en las que interviene el Internet Exploirer.



Arrancando en modo seguro y lanzando el ELISTARA.EXE E indicando que se quiere borrar la pagina de inicio y cambiarla por otra que indiquemos cuando lo pida, se cambiaran dichas entradas, pero si un reinicio posterior las vuelve a ca,biar, la cuestion es detectar el marrano que lo produce.



Si tras procesar de la forma indicada el ELISTARA.EXE, no logra fijar definitivamente dicha pagina de inicio, bea de detectar dicho marrano con otros antispyware, de los de la lista:



https://foros.zonavirus.com/viewtopic.php?t=36



y si lo consigue con alguno, nos lndica como respuesta a este Tema, para conocimiento del foro.



Aparte, por si pidoera ser causa de cualquiera de los siguientes ficheros que carga en el inicio, envienoslos a zonavirus@satinfo.es , anexados a un mail cuyo texto sea un copiar y pegar de este post y los estudiaremos, conestandole como respuesta a este Tema



C:\WINDOWS\System32\QCONSVC.EXE

C:\WINDOWS\system32\javaun32.exe

C:\WINDOWS\System32\TP4SERV.EXE

C:\WINDOWS\system32\HKCMD.EXE

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\WINDOWS\iphx.exe



saludos



ms, 15-07-2004

[maura63]

Tambien en modo seguro selecciona estos registros con HJT despues de pasar el scan y pulsa [color=red]fix[/color]





R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zkpgb.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zkpgb.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zkpgb.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zkpgb.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zkpgb.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zkpgb.dll/sp.html#96676



Pero manda muestras como dice el amigo Msc.



Saludos

maura63

[msc hotline sat]

Maura63: Lo que indicas es lo que haría automaticamente al pedir al ELISTARA.EXE que elimine la pagina de inicio, y además insertará en dichas claves la nueva direccion.



Pero el problema es si se le reproduce, causado por un fichero que cargue una de las claves del inicio



Por ello le pedimos ficheros potencialmente peligrisis para su estudio y, en su caso, eliminacion, de ellos y de sus claves



Si no se resuelve con lo del ELISTARA, nos enviará los ficheros, los estudiaremos e informaremos al respecto como respuesta de este Tema



saludos



ms, 15-07-2004

[msc hotline sat]

Descubierta nueva utilidad con resultados satisfactorios en otros foros, pero CUIDADO: SEGUIR LAS INSTRUCCIONES QUE INDICA AL EJECUTARLA !!!



Bajar la utilidad ABOUTBUSTER.ZIP de:



http://www.downloads.subratam.org/AboutBuster.zip



en varios casos similares lo ha solucionado, y eso que varia el primer nombre de la web y el numero del index.html, pero puede ser la solucion.



Digannos el resultado, para conocimiento del foro.



saludos



ms, 16-07-2004

[Lalos]

Les agradezco mucho el interes que pusieron, pero tuve que masterizar la notebook que era de unos de los dueños de donde trabajo y no pude esperar. No llegue a probar la herramienta que encontraron en otro foro, si el resto de las opciones pero inevitablemente volvia a tener el problema. Muchas gracias a todos.

[cañera]

sentimos que tuvieras que tomar esa alternativa.

ya sabes donde encontrarnos siempre que nos necesites.

solucionado el tema,lo cerramos.