about:blank

[Carlestan]

Hola



Mi problema es que me cambia la página de inicio, llevo como una semana pegándome con el asunto. Me pone página una llamada about:blank Truste Start Page, aunque en la barra de navegación sólo pone about:blank He pasado unos 7 u 8 programas antiadware, y finalmente el hijack del que tanto se habla aquí, aunque no entiendo mucho de lo que pone. A ver si algún alma caritativa me dice que he de hacer con esta ristra y qué borrar:



Logfile of HijackThis v1.99.0

Scan saved at 21:28:43, on 26/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\crypserv.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\wdfmgr.exe

D:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\WINDOWS\system32\svchost.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Archivos de programa\Terra ASDL Plus\CnxDslTb.exe

D:\Archivos de programa\CloneCD\CloneCDTray.exe

D:\Archivos de programa\Microsoft IntelliType Pro\type32.exe

D:\Archivos de programa\Microsoft IntelliPoint\point32.exe

D:\Archivos de programa\iTunes\iTunesHelper.exe

D:\Archivos de programa\QuickTime\qttask.exe

D:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

D:\Archivos de programa\iPod\bin\iPodService.exe

D:\WINDOWS\System32\alg.exe

D:\Archivos de programa\MSN Messenger\msnmsgr.exe

D:\Archivos de programa\eMule\eMule.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

d:\archiv~1\softwin\bitdef~1\bdmcon.exe

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Archivos de programa\WinRAR\WinRAR.exe

D:\DOCUME~1\Spock\CONFIG~1\Temp\Rar$EX00.906\HijackThis.exe

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CnxDslTaskBar] D:\Archivos de programa\Terra ASDL Plus\CnxDslTb.exe

O4 - HKLM\..\Run: [CloneCDTray] "D:\Archivos de programa\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [type32] "D:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [IntelliPoint] "D:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [iTunesHelper] D:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [BDMCon] d:\archiv~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] d:\archiv~1\softwin\bitdef~1\bdnagent.exe

O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @D:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @D:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,84/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096653019160

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,21/mcgdmgr.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{56A61E30-1584-48F2-BB88-20DB782ECACA}: NameServer = 195.235.113.3 195.235.96.90

O23 - Service: BitDefender Scan Server - Unknown - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)

O23 - Service: Servicio del administrador de discos lógicos - Unknown - D:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - D:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - D:\WINDOWS\system32\imapi.exe

O23 - Service: Servicio del iPod - Apple Computer, Inc. - D:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown - D:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - D:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - D:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Instantáneas de volumen - Unknown - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - D:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator - Softwin - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe



Mil Gracias sólo por leerme

[caito]

Cierra todas las aplicaciones .

Con el Hijack arregla estas entradas ( Fix):



O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present> Solo si las restriciones no las has puesto adrede

O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)

No se ve en el log nada grave, si no se soluciona con esto, haz que se vean todos los archivos :

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.



Toma un nuevo log con el Hijack y veremos.

Salu2

Caito

[Carlestan]

Ante todo, gracias por contestar. No sabes como estoy llegando a odiar esa página de inico que me asalta sin piedad.



Despues de seguidas las instrucciones, la cosa sigue igual, y el log resultante es:



Logfile of HijackThis v1.99.0

Scan saved at 8:42:48, on 27/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Archivos de programa\Terra ASDL Plus\CnxDslTb.exe

D:\Archivos de programa\CloneCD\CloneCDTray.exe

D:\Archivos de programa\Microsoft IntelliType Pro\type32.exe

D:\Archivos de programa\Microsoft IntelliPoint\point32.exe

D:\Archivos de programa\iTunes\iTunesHelper.exe

D:\Archivos de programa\QuickTime\qttask.exe

D:\archiv~1\softwin\bitdef~1\bdmcon.exe

D:\WINDOWS\system32\svchost.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

D:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

D:\Archivos de programa\iPod\bin\iPodService.exe

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Archivos de programa\WinRAR\WinRAR.exe

D:\DOCUME~1\Spock\CONFIG~1\Temp\Rar$EX00.782\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CnxDslTaskBar] D:\Archivos de programa\Terra ASDL Plus\CnxDslTb.exe

O4 - HKLM\..\Run: [CloneCDTray] "D:\Archivos de programa\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [type32] "D:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [IntelliPoint] "D:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [iTunesHelper] D:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [BDMCon] d:\archiv~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] d:\archiv~1\softwin\bitdef~1\bdnagent.exe

O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @D:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @D:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,84/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096653019160

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,21/mcgdmgr.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{56A61E30-1584-48F2-BB88-20DB782ECACA}: NameServer = 195.235.113.3 195.235.96.90

O23 - Service: BitDefender Scan Server - Unknown - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - D:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - D:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - D:\WINDOWS\system32\imapi.exe

O23 - Service: Servicio del iPod - Apple Computer, Inc. - D:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown - D:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - D:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - D:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Instantáneas de volumen - Unknown - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - D:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator - Softwin - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe



Gracias de nuevo.

[maura63]

En principio limpio segun lo que veo. Pero no usas antivirus residente. Se ven los antivirus online que has pasado.

Prueba de instalar uno y tenerlo actualizado y residente.Si no puedes costearlo utiliza este

Antivirus GRATIS:

· Grisoft (AVG)
Antivirus gratis, solo para uso particular, solo tendras que entrar un pequeño formulario tu nombre, apellido y correo donde inmediatamente se te enviara el número de serie necesario para el registro del programa
http://www.zonavirus.com/descargas/avg- ... dition.asp

Saludos
maura63

[Carlestan]

Gracias, maura63, pero sí que uso antivirus residente, tengo el bitdefender, que también es gratuito para uso personal

Y la verdad es que no hace nada por evitar que se me cambie la página de inicio.

[maura63]

Perdon, pero no lo habia visto, se paso el bitdefender :lol: :lol:



Tienes en tu log dos entradas no problematicas en principio, pero...



Esta es de un boton en el navegador, si no la conoces o no has puesto eliminala



O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL



Y este servicio no es de windows, y al parecer puede ser usado por algun malware



O23 - Service: Registros y alertas de rendimiento - Unknown - D:\WINDOWS\system32\smlogsvc.exe



Prueba a eliminarlas con hijackthis, comprueba tambien que se muestran todos los archivos y carpetas inlcuidas las ocultas.



Saludos

maura63

[msc hotline sat]

Sin que se vea en el HJT, puedes tener instalada una aplicación como la del HOME SEARCH ASSISTANT que te coloque dicha pagina de inicio y te descargue troyanos, y no se puede desinstalar desde agregar/quitar programas.

Si la ves instalada desde el Panel de control, mira de lanzar el ELISTARA y podrás cambiar la pagina de inicio por la que desees.



saludos

ms, 27-12-2004

[Carlestan]

He probado los consejos de ambos.



Por un lado he fixeado las líneas sospechosas con Hijackthis, pero nada, y por el otro, al ejecutar el HOME SEARCH ASSISTANT no ocurre nada, ni siqiera sale ningún mensaje ni ventana.



He comprobado que el Spy Sweeper me detecta algo llamado CWS-AbutBlank, sin embargo, lo borra y al volver a pasarlo lo vuelve a encontrar, y así sucesivamente. Arrancando en modo seguro parece que en la segunda pasada del Spy Sweeper ya no lo detecta, pero al reiniciar allí ha vuelto a aparecer. (El CWShredder.exe no me detecta nada, y el EliStarA.exe tampoco parece que haga nada: solo me da la opción de borrar la página de inico y poner otra, pero luego vuelve la mala inmediatamente.



Lo más que he logrado es que el Spy Sweeper me ponga mi página de inicio cada vez que aparece la mala, lo cual he comprobado, por los mensajes del Spy Sweeper, que ocurre cada vez que abro una nueva ventana del Internet Explorer. Esto no es más que un parchecillo porque el problema sigue estando por ahí.



En resumen, que no sé que hacer y el troyano este o lo que sea se sigue riendo de mí.

[maura63]

Prueba la nueva version de

CWSHREDDER V 2.12

http://www.zonavirus.com/descargas/tren ... redder.asp

ejecutala en modo seguro.

Saludos
maura63

[Carlestan]

Me temo que esa es la versión que uso. He psado todo lo que tengo en modo seguro: Spybot - Search & Destroy, Ad-Aware SE Personal, Spy Sweeper, EliStarA.exe, CWShredder.exe y AboutBuster.exe, pero nada.

[maura63]

Comprueba que se muestran todos los archivos y no tengas nada oculto.



Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.





Saludos

mara63

[msc hotline sat]

Y revisa la version del CWSHREDDER, que no es probable que uses esta 2.12, pues ayer subimos el link al foro.



Y es muy importante en este caso, ya qie al parecer se trata de un CWS.



No pierdes nada mirandolo, o bajatela del link que indica Maura63, y aseguras el tiro. Te recuerdo que debes lanzarla habiendo arrancandio en modo seguro, y en tal modo una vez lanzado, pulsa en FIX que te aparece en la parte inferior derecha.



saludos



ms, 28-12-2004

[Carlestan]

Comprobado que es la 2.12, que me he vuelto a bajar por si acaso. También comprobado que no tengo archivos ocultos ni en modo normal ni en modo protegido, ni si quiera los del sistema, y se muestran las extensiones de los archivos conocidos.



En fin, tal vez la última opción sea el formateo.

[maura63]

Comprueba en favoritos si tienes algo extraño, mira tambien en agregar o quitar programas.



Saludos

maura63

[msc hotline sat]

Finalmente, nos puedes decir si en agregar/quitar programas figura instalada la aplicacione HOME SEARCH ASSISTANT, independientemente de que te funcionara o no la utilidad, mira si tienes instalado dicho programa y dinoslo.



Si es afirmativo, es la madre del cordero



Y en el servicio tecnico tenemos incidencias a diario del HSA



saludos



ms, 30-12-2004

[Carlestan]

Cómo no sé lo que podía ser extraño en favoritos, dada la cantidad de basura que acumulaba, he borrado todos, pero tampoco arregla el problema.



En cuanto al Home Search asistant, tal vez ese sea el problema finalmente. A ver, creo recordar que al principio de todo esto, cuando pensaba que lo iba a eliminar en cuanto me pusiera en serio (inocente de mí) estuve curioseando con un programilla de esos que te mira todo lo que hay instalado, (creo que el REMOVE 3.11, o tal vez el System Mechanic 5) aunque no salga en agregar/quitar programas, antes incluso de mirar en el propio agregar/quitar programas. Pues bien, creo que ese programilla lo que hizo fue quitarlo de agregar o quitar programas pero no desinstalarla. Ahora no me sale en agregar/quitar ni con ningún otro programa.



Acabo de buscar archivos por el pc y he encontrado dos homesearchassintant.pf o algo parecido en windows/prefetch. Los he borrado pero no podía ser tan facil, sigue cambiándose la página de inico.

[caito]

Encontré esto que quizás te pueda ayudar ( gracias a El piedra ):

"Bueno hoy en dia cada vez son mas y mas complicadas de sacar las barras de herramientas espias. Por lo gral el "Search Assistant" pertenece a un Aware conocido llamado Windows SA (Windows Search Assistant)



Para eliminarlo seguí cuidadosamente los siguientes pasos:



1- Inicia tu Pc pulsando F8 en modo a prueba de fallos



2- Si usas Win me,200,XP. Apaga el "Restaurar Sistema" de las propiedades de MiPC



3- Con Ctrl+Alt+Del en el Task Manager corta estos procesos

"Nombre de la ruta"\windowssa\omniscient.exe

"Nombre de la ruta"\windowssa\wsaupdater.exe



4- En Inicio pone REGEDIT, busca y elimina esta llave

HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion

\run\windows sa,



5- Reinicia la maquina



Ahora para que no aparezcan errores de archivos *.Dll hay que córtales su proceso haciendo esto:



6- Anda a Inicio>ejecutar>y pone lo siguiente:

Regsvr32 /u \windowssa\omniscienthook.dll



Regsvr32 /u \windowssa\libcurl.dll



7- Busca y borra la carpeta \windowssa y todos sus archivos

\windowssa\libcurl.dll

\windowssa\omniscient.exe

\windowssa\omniscienthook.dll

\windowssa\wsaupdater.exe



**Nota** Puede que la carpeta WindowsSA no se encuentre en el directorio raíz y que este dentro de otro carpeta como System32, para eso primero buscala dentro de tu PC, También tienes que habilitar en las herramientas de Explorador de Windows>"Ver todos los archivos y carpetas ocultos"

Cuenta si te sirvió.

Salu2

Caito

[maura63]

Te han vuelto a aparecer en prefetch. Has probado a eliminarlos arrancando en modo seguro :?:



Saludos

maura63

[fircsix]

Si se trata del HomeSearchAssistant eliminalo con la utilidad



http://www.zonavirus.com/descargas/EliHomeA.exe



O bajate el programa de desinstalacion desde internet



http://looking-for.cc/uninstall/HomeSearchAssistant.exe



Saludos.

fircsix

[maura63]

fircsix, si lees en la primera pagina de este post Msc ya ofrecio dicha utilidad y no funciono.



Esto suele pasar al ser los post mas bien largos.



Saludos

maura63

[Carlestan]

Sí que está siendo largo el post, sí, lo cual os agradezco, pero creo que lo mío no tiene remedio.



Del Prefetch ha desaparecido para siempre, pero el problema persiste.



En cuanto al método de caito, me temo que no encuentro ese \windowssa\omniscient.exe por ningún lado.



A mí ya sólo se me ocurre algo que lei en alguna parte de este mismo foro y que ahora no encuentro por cierto. Alguien sugería usar un programa que monitorice los procesos, para ver cual es el que se activa en el momento en que cambia la página de inicio.



Del Administrador de Tareas de Windows no saco nada en claro, y de una cosa llamada Magic Utilities que me he bajado no saco mucho más. Tendría que ser algo que actuara en mucho más tiempo real y que dejara un log actualizado al segundo. Lo mismo ni existe.



En fin, por mí podéis dar el tema por cerrado, mil gracias a todos. De momento me he pasado al Mozilla hasta que me aburra de probar cosas y hasta que me vea con ganas de formatear. Si consigo algo ya os contaré.

[caito]

Yo uso este programa para monitoriar los procesos :

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Salu2

Caito

[Carlestan]

Gracias, lo probaré

[Carlestan]

Pedazo de programila, caito, No sé como he podido vivr sin el hasta ahora. Y además freeware. Hay varios más muy interesantes de esa misma gente.



Después de estudiar detenidamente los procesos activados... no he llegado a ninguna conclusión. Todo parecía normal, al menos desde mis limitados conocimientos. He pensado que tal vez el propio IEXPLORE.EXE tenía alguna modificación que ni el antivirus ni nadie detectaba.



Así que, a la desesperada, le he pedido a un amigo que me mandara por mail su IEXPLORE.EXE, lo he sustituido por el mío (a pesar de qe parecían exactamente iguales al menos en tamaño) y, sorprendentemente, parece que ya no se cambia la página de inicio.



Gracias a todos de nuevo.

[caito]

te agradezco que hayas compartido la solucion en el foro y ya sabes donde encontrarnos.

Salu2

Caito