Redireccionamiento al utilizar buscadores (SOLUCIONADO)

capicua · Mensaje por **capicua** » 13 Jun 2007, 19:38

Hola, veo que es un tema recurrente lo de los redireccionamientos; en mi caso, al utilizar cualquier buscador, se me redireccionan las páginas seleccionadas a otras de publicidad "varaiada" (apareciendo en la transición entre la página seleccionada y la que al final aparece una dirección que empieza por http://www.partners.mamma...... o algo así)

Pasando el hijack, los resultados son los siguientes ¿qué debo hacer?

Logfile of HijackThis v1.99.1

Scan saved at 18:17:04, on 13/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\apvxdwin.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\WebProxy.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Outlook Express\MSIMN.EXE

C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Usuario\Escritorio\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\GNETMOUS.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Exif Launcher.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O16 - DPF: {AC2CD8BB-8E60-45B4-B415-1EB1C04E7753} (SAFELAYER FormSign Control) - https://www.bancoherrero.com/neti/java/formSign001.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0DC5D9FA-E017-4D7D-BEAE-4AA55A18417D}: NameServer = 85.255.113.131,85.255.112.74

O17 - HKLM\System\CCS\Services\Tcpip\..\{D1B76206-8157-4782-B6D9-2E87669FE99B}: NameServer = 10.0.204.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.131 85.255.112.74

O17 - HKLM\System\CS1\Services\Tcpip\..\{0DC5D9FA-E017-4D7D-BEAE-4AA55A18417D}: NameServer = 85.255.113.131,85.255.112.74

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.131 85.255.112.74

O17 - HKLM\System\CS2\Services\Tcpip\..\{0DC5D9FA-E017-4D7D-BEAE-4AA55A18417D}: NameServer = 85.255.113.131,85.255.112.74

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.131 85.255.112.74

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimsvc.exe

Mensaje por **msc hotline sat** » 13 Jun 2007, 19:52

Esto es propio del FLUSH o DNS CHANGE, pruebe el ELISTARA

Ademas, como verá con dicha utilidad, está utilizando unos servidores de DNS maliciosos de Ukraina !

[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]

saludos

ms, 13.06.2007

capicua · Mensaje por **capicua** » 13 Jun 2007, 20:42

buf, gracias mil, el Elistara es mano de santo!!

Mensaje por **msc hotline sat** » 13 Jun 2007, 20:47

Ei ! que no se ha acabado todavía, posteenos el contenido de c:\infosat,txt como indicamos, que hemos de cambiar los servidores de DNS y analizar el resultado del informe !

saludos

ms, 13-06-2007

capicua · Mensaje por **capicua** » 13 Jun 2007, 21:15

Perdón por lanzarme a pensar que estaba todo arreglado, soy un poco notavo en estos temas!

Mensaje por **msc hotline sat** » 13 Jun 2007, 22:30

No, los txt y logs deben postearse con un copiar y pegar ...

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

saludos

ms, 13-06-2007

Mensaje por **msc hotline sat** » 13 Jun 2007, 22:32

Pero veo al final "No Detectada Utilidad ELINOTIF.DLL (Necesaria para la Limpieza) "

y ante esto se indica:

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

saludos

ms, 13-06-2007

capicua · Mensaje por **capicua** » 14 Jun 2007, 10:48

He seguido las instrucciones en cuanto al Elinotif y, después de reiniciar y explorar,esto es lo que dice el infosat:

Wed Jun 13 19:04:54 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.131,85.255.112.74

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 13 19:11:07 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.131,85.255.112.74

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 13 19:11:37 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu Jun 14 09:19:50 2007

EliStartPage v14.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.131,85.255.112.74

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.05.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Flush o DNSChanger

Desinstalado EliNotif.dll

Thu Jun 14 09:34:38 2007

EliStartPage v14.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\KDKVF.EXE --> Acceso Denegado.

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.131,85.255.112.74

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jun 14 09:35:54 2007

EliStartPage v14.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 14 Jun 2007, 11:00

Ahora sí que ha eliminado el FLUSH !

Pero queda por cambiar la configuracion de los servidores de DNS:

85.255.113.131 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.74 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas

Preferimos que nos diga que lo ha hecho todo y solucionado el problema, para proceder a cerrar el Tema, no sea que le surja algun problema.

Pendientes de sus noticias, reciba saludos

ms, 14-06-2007

capicua · Mensaje por **capicua** » 14 Jun 2007, 15:16

Realizadas todas las operacines que me indicásteis (cambio de DNS con el CONFGDNS.EXE, revisión con hijack), ya no me aparece nada raro en el logfile.

Gracias otra vez, la verdad que es impresionante vuestra velocidad de respuesta!!

Mensaje por **msc hotline sat** » 14 Jun 2007, 15:53

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms,14 de Junio de 2007

Redireccionamiento al utilizar buscadores (SOLUCIONADO)

Redireccionamiento al utilizar buscadores (SOLUCIONADO)

Gracias!!

aquí va el infosat

A ver si ahora...

Arreglado del todo!!