Cambio en la pagina de inicio de IE

alex1275 · Mensaje por **alex1275** » 12 Sep 2005, 23:09

Hola a todos,

Mi problema es que se me cambia la pagina de inicio de IE por esta C:\WINDOWS\System32\msblank.html

Le he pasado todos los programas que teneis por aqui y no hay manera de solucionarlo. Cuando abro el explorer en la barra de navegacion me sale esa direccion, pero en verdad abre un dialer de DialerPlataform Limited y abajo veo esta direccion http://66.230.175.129/connect.cgi?=2204..

¿Alguna sugerencia?

Gracias.

Mensaje por **flacoroo** » 13 Sep 2005, 16:41

aun que no nos has dicho si usastes el spybot V 1.4 si no es asi bajalo desde esta web y lo actualizas...y despues pones tu computadora en modo seguro, abres una pagina de internet y donde esta el menu VER lo abres y de ahi barras de herramientas y si esta habilitada esa barra deshabilitala y despues vas a panel de control, quitar o instalar programas y la buscas y si esta lo eliminas y despues cierras y pasas el spybot actualizado y borras todo lo que salga....nos dices como te fue....

alex1275 · Mensaje por **alex1275** » 15 Sep 2005, 20:16

Hola, si que le habia pasado el spybot y he hecho lo que me comentas y nada sigue el mismo problema.

Segun el AdWare, Spybot, Viruscan, SpywareGuard, Trojan Remover, etc. no tengo nada raro pero todo el rato me sale la ventanita para instalar ese dialer.

Mensaje por **maura63** » 15 Sep 2005, 20:24

Prueba de arrancar en modo seguro y pasar la utilidades, y lo principal tenerlas actualizadas antes de hacerlo junto al antivirus COSA primordial.

Saludos

maura63

MAGO OSCURO · Mensaje por **MAGO OSCURO** » 15 Sep 2005, 20:26

Vaya pues trata de pasarle el anti-aware de trend micro que muestra en el foro en modo seguro con funciones de red y haber que pasa.

y pues no se si es recomensable si borraras la direccion que mencionas (C:\WINDOWS\System32\msblank.html ) en modo aprueba de errores

y como consejo de usuario a usurio que solo quiere navegar tranquilo en la wed te recomendaria firefox en un buena alternativo o sino hay varios navegadores bueno con buenos comentarios como el matrox ( o como se escriba)

Mensaje por **msc hotline sat** » 15 Sep 2005, 20:26

PRUEBA LA ULTIMA VERSION 10.29 DEL ELISTARA

Controla nuevos Home Search Assistant que pudieran ser los culpables:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

y cuentanos el reultado como respuesta de este Tema, gracias

saludos

15-09-2005

Mensaje por **maura63** » 15 Sep 2005, 20:28

Me deslumbro.....con mago oscuro...

Saludos

maura63

alex1275 · Mensaje por **alex1275** » 15 Sep 2005, 22:54

Con el ELISTARA nada, no encuentra nada, todo correcto.

Os adjunto una impresion de pantalla a ver si alguien reconoce algo.

http://source.fotos.cdtsi.com.ar/a3c4069fbfa926976f48e6cb20c3c591.jpg

Gracias.

Mensaje por **msc hotline sat** » 16 Sep 2005, 12:18

Entrando en esta pagina, ha querido descargar como activeX el fichero gdnes66.exe.

Mira si encuentras este fichero en tu ordenador, y si es el caso, muevelo a cuarentena y nos lo envias a zonavirus@satinfo.es amexado a un mail en cuyo texto indiques las referencia "REF gdnes66" y tras analizarlo te informaremos como respuesta de este Tema

saludos

ms, 16-09-2005

alex1275 · Mensaje por **alex1275** » 19 Sep 2005, 17:50

[quote="msc hotline sat"]Entrando en esta pagina, ha querido descargar como activeX el fichero gdnes66.exe.

Mira si encuentras este fichero en tu ordenador, y si es el caso, muevelo a cuarentena y nos lo envias a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques las referencia "REF gdnes66" y tras analizarlo te informaremos como respuesta de este Tema

saludos

ms, 16-09-2005[/quote]

No, no tengo ese fichero en el Ordenador.

alex1275 · Mensaje por **alex1275** » 19 Sep 2005, 17:55

He subido la imagen a otro servidor, podeis verla en http://www.espinete.com/virus.htm

A ver si alguien me ayuda. :cry:

Mensaje por **msc hotline sat** » 19 Sep 2005, 18:00

Para poder hacer la utilidad de contril y eliminacion necesitamos el fichero para analizarlo y ver las rutinas de infeccion y primero detectarlo, luego eliminar lo hecho y fibaklmente eliminar el fichero, pero con la foro no vemos las tripas...

Mira si tienes el fichero en cuestion, y si no te pediriamos nos postearas un log del HJT para pedirte otros ficheros que tuvieras en proceso relativos al caso.

saludos

ms, 19-09-2005

Mensaje por **msc hotline sat** » 19 Sep 2005, 18:11

Bueno, su pantalla nos ha servido por lo menos para ver la descripcion de McAfee de este Backdoor AZV:

http://vil.nai.com/vil/content/v_100723.htm

[quote]
Trojan Name Risk Assessment

BackDoor-AZV Corporate User : Low

Home User : Low

Trojan Information

Discovery Date: 10/02/2003

Origin: Unknown

Length: Various

Type: Trojan

SubType: Remote Access

Minimum DAT: 4297 (10/08/2003)

Updated DAT: 4418 (01/05/2005)

Minimum Engine: 4.1.60

Description Added: 10/02/2003

Description Modified: 10/14/2004 5:39 AM (PT)

Description Menu

Trojan Characteristics

Symptoms

Method Of Infection

Removal Instructions

Variants / Aliases

Rate This page

Print This Page

Email This Page

Legend

Trojan Characteristics:

-- Update Oct. 14th 2004 --

AVERT has received several field samples with the following subject line: David Beckham Caught With Spanish Girl

The attachment within the email is already detected as BackDoor-AZV in the 4398 Dats. If successfully executed, the trojan will attempt to connect to IRC via port 6667 for remote commands.

-- Update Dec 11th 2003 --

An additional variant of this remote access trojan has been found in the field, which has been packed with the MoleBox packing application. Detection of this is included in the 4309 DAT files.

--

AVERT has identified a few incidents of this remote access trojan being spammed to newsgroups and recommend that users disallow scripts when viewing posts, and use a newsgroup reader which has this option. Alternatively this option can be set for the Internet Zone in the security settings of IE5. AVERT also recommends adding ".HTA" to the extension list for pre 4.5 products. The following URL was known to contain the worm:

http://home.attbi.com/(blocked)/ChristinaAguilera.scr

Since there are multiple versions of this trojan, the icon used may vary. The icon used will typically be misleading or enticing, for example:

Once executed, the trojan creates a mutex to ensure only one instance is running. The name of this mutex varies between variants, for example:

botsmutex

whatthefuck

VidCap32

judge

The trojan copies itself to %SysDir% as WIN32SERVER.SCR or WIN32SERVER.EXE ( variant dependent) and hooks the following Registry key to run itself at startup:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

Run "Winsock32driver" = win32server.scr / win32server.scr

(where %SYSDIR% is C:\windows\system, C:\winnt\system)

Once running, the trojan attempts to connect to an IRC server (using destination port 6666 or 6667). Subsequents commands may be received via IRC, and include the following:

download remote file

act as socks4 proxy

terminate process

read IRC log file

Top of Page

Symptoms

Existence of the abovementioned files and registry keys.

Firewall reports "Generic Host Process for Win32 Services" requesting for access to an unexpected domain (remote port 6666 or 6667), eg:

hackarmy.tk

packets.kicks-ass.org

Top of Page

Method Of Infection

Accessing URLs which leads the trojan to be downloaded onto the system.

Receiving this trojan in HTML emails from newsgroups.

Top of Page

Removal Instructions

All Users:

Use specified engine and DAT files for detection and removal.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations

Top of Page

Variants

Name Type Sub Type Differences

Top of Page

Aliases

Name

Backdoor.Hackerarmy (kasp)

Troj/Hackarmy-A (Sophos)

W32/Rawbot.worm

[/quote]

Vea si en la carpeta de sistema tiene el fichero win32server.scr o con igual nombre pero extension EXE, y si es asi, envienoslo a zonavirus@satinfo.es con la referencia "REF BDAZV"

Tras ello, pruebe de arrancar en modo seguro, desactivar la restauracion de sistema si usa XP y lanzar el antivirus, que deberñia ser capaz de detectarlo y eliminarlo.

Independientemente con la muestra implementaremos en una de nuestras utikidades el contril y eliminacion automatica, posiblemente con el ELISTARA.EXE, en una proixima version que ya le informariamos cual, como respuesta de este Tema

saludos

ms, 19-09-2005