65.54.244.250 reemplaza al www. en el internet explorer

johnedwan · Mensaje por **johnedwan** » 01 Sep 2004, 23:07

Hola, resulta que cada que inicio el internet explorer me aparece al inicio de la barra los numeros 65.54.244.250, resulta que leyendo el un foro de Panda antivirus, me recomendaron eliminar el archivo setdbg.exe, que se supone, es el origen de este troyano, asi que lo elimine. Ahora cuando intento abrir alguna aplicacion, me pone que Windows no puede encontrar este archivo, no se que hacer, he intentado restaurar el sistema, pero nada. Solo me queda formatear el disco duro, pero antes queria saber si alguno de vosotros podria ayudarme. Cualquier ayuda os la agradezco.

carolxsiempre · Mensaje por **carolxsiempre** » 01 Sep 2004, 23:42

Supongo que te libraste de la pagina de inicio, ahora bien ve a inicio/ejecutar/regedit ve al menú edición y escoges la opción de buscar alli aparecera una ventana escribes setdbg.exe y le dices buscar y borras las entradas encontradas con ese nombre, luego reinicias y nos comentas si solucionaste el problema.

Saludos

Carolxsiempre

Mensaje por **msc hotline sat** » 02 Sep 2004, 10:03

Lástima que no hubiera leido la informacion de TREND, que le indica que además de borrar el gusano deben restuararse algunas claves del registro, pues sino no puede ejecutar luego ningun EXE. COM, PIF, HTA y BAT, al no tener ya dicho fichero gusano, que es llamado en la ejecucion de cada uno de ellos:

http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=TROJ_STARTPAG.AF

pues especialmente deben restaurarse las siguientes claves en la forma que indican:

[quote="TREND MICRO"]

Addressing Registry Shell Spawning

This procedure prevents the malware from executing whenever a user opens files with certain extension names. It should restore the registry to its original settings.

Click Start>Run.

In the Open input box, type:

command /c copy %WinDir%\regedit.exe regedit.com | regedit.com

Press Enter.

In the left panel, double-click the following:

HKEY_CLASSES_ROOT>exefile>shell>open>command

In the right panel, locate the registry entry:

Default

Check whether its value is the path and file name of the malware file.

If the value is the malware file, right-click Default and select Modify to change its value.

In the Value data input box, delete the existing value and type the default value:

"%1"%*

Repeat this procedure for the following registry keys:

HKEY_CLASSES_ROOT\comfile\shell\open\command

HKEY_CLASSES_ROOT\piffile\shell\open\command

HKEY_CLASSES_ROOT\htafile\shell\open\command

HKEY_CLASSES_ROOT\batfile\shell\open\command

Close Registry Editor.

Click Start>Run, then type:

command /c del regedit.com

Press Enter.
[/quote]

Todo ello lo hace nuestra utilidad ELIRESTR.VBS, la cual puede probar bajandola de:

http://www.zonavirus.com/descargas/EliRestr.vbs

Tras ejecutarlo, pruebe de nuevo ejecutar cualquier EXE, y si no ha podido restaurar la pagina de inicio, como sea que lo que le infectí era el StarPage.AF, ejecute el ELISTARA.EXE e indique que quiere cambiar la pagina de inicio, tras lo cual le pedirá cual quiere poner.

https://foros.zonavirus.com/viewtopic.php?f=5&t=860

NOTA : Si se guardí una copia del fichero gusano SETDBG-EXE le agradeceríam,os nos enviara una muestra del mismo abexabdola a un mail dirigido a zonavirus@satinfo.es en cuyo texto hiciera un copiar y pegar de este post, para saber a qué atenernos. Si ya no lo tuviera, envienos una copia del SVCHOST.EXE que tenga en la carpeta C:\WINDOWS, que tambien es el gusano. Tras ello borrelo. /No se confunda con el fichero del mismo nombre existente en C:WINDOWS\SYSTEM32 , que es original del sistema operativo.

Se lo pedimos porque no tenemos muestra de este engendrom y toda la informacion que tenemos es teorica, mientras que con las muestras obtenemos el comprortamiento real.

So tiene algin otro problema al respecto, indiquenoslo como respuesta de este Tema, gracias.

saludos

ms, 2-09-2004