Redireciona about:blank a smartsearch Ayuda, desesperado.

[xachillo]

Hola a todos, espero que me podais ayudar resulta que he probado con los programas habituales. Mi antivirus antes de que me pasara lo de la pagina me detecto varios virus, pero ahora ya no me detecta ninguno. He ido al archivo hosts y me aparece un dirreción que no tiene porque estar ahi. Lo cambio pero despues de abrir el explorer con la pagina que quiero me vuelve a poner la pagina de smartsearch y me cambia el archivo hosts aun poniendolo en solo lectura, como si el programa o plugin estuviera integrado en el explorer. Por cierto el problema más grave es que no me deja hacer nada en paginas donde hay seguridad, como la de hotmail o en la de la seguridad social. Os dejo el log que crea el hijackthis. Espero que me podais ayudar.



Logfile of HijackThis v1.97.7

Scan saved at 20:00:42, on 16/06/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

D:\WINNT\System32\smss.exe

D:\WINNT\SYSTEM32\winlogon.exe

D:\WINNT\system32\services.exe

D:\WINNT\system32\lsass.exe

D:\WINNT\system32\svchost.exe

D:\WINNT\system32\spoolsv.exe

D:\WINNT\System32\svchost.exe

D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

D:\WINNT\System32\nvsvc32.exe

D:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv50.exe

D:\WINNT\system32\regsvc.exe

D:\WINNT\system32\MSTask.exe

D:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

D:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

D:\WINNT\system32\stisvc.exe

D:\WINNT\System32\WBEM\WinMgmt.exe

D:\WINNT\system32\svchost.exe

D:\WINNT\Explorer.EXE

D:\ARCHIV~1\A4Tech\Keyboard\Ikeymain.exe

D:\ARCHIV~1\A4Tech\Mouse\Amoumain.exe

D:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

D:\WINNT\system32\ctfmon.exe

D:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

D:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

D:\Mis documentos\AULA6\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 213.159.117.235 auto.search.msn.com

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [iKeyWorks] D:\ARCHIV~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [WheelMouse] D:\ARCHIV~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [zSPGuard] d:\archivos de programa\pjw\spguard\spguard.exe /s /r

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [APVXDWIN] "D:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Global Startup: Acrobat Assistant.lnk = D:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O12 - Plugin for .servlet[1]: D:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{70EFCA7D-F1DA-4000-A1D3-F0AA4F0FC24D}: NameServer = 62.81.0.33,62.81.16.129

O17 - HKLM\System\CS1\Services\Tcpip\..\{70EFCA7D-F1DA-4000-A1D3-F0AA4F0FC24D}: NameServer = 62.81.0.33,62.81.16.129

O17 - HKLM\System\CS2\Services\Tcpip\..\{70EFCA7D-F1DA-4000-A1D3-F0AA4F0FC24D}: NameServer = 62.81.0.33,62.81.16.129

O17 - HKLM\System\CS3\Services\Tcpip\..\{70EFCA7D-F1DA-4000-A1D3-F0AA4F0FC24D}: NameServer = 62.81.0.33,62.81.16.129

O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

[maura63]

Prueba con esta utilidad



Eliminación de paginas de inicio en el internet explorer y no restaurables, dialers, etc:

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp





Saludos

maura63

[msc hotline sat]

Lanza el CWSHREDDER , mejor arrancando a prueba de fallos:



Eliminación de paginas de inicio en el internet explorer y no restaurables, dialers, etc:

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp





saludos



ms, 16-06-2004

[xachillo]

Pero ya he probado con ese programa, con el de lavasoft y otro muy conocido pero como no se el mombre exactamente no lo pongo. Gracias de todas formas.

[msc hotline sat]

Pero lo has hecho arrancando en modo seguro ?



En cualquier caso, bajate y ejecuta el ELISTARA.EXE, y aunque no detecte nada, cuando pregunte si quieres eliminar la pagina de inicio, dile que sí, y prueba de cambiarla en el siguiente reinicio



https://foros.zonavirus.com/viewtopic.php?f=5&t=860



saludos



ms, 16-06-2004

[xachillo]

Pero efectivamente si que he probado en modo a prueba de fallos y nada, comentar que he probado con las directivas del windows 2000, pero nada sigue cambiando la pagina. Probare con la herramienta que me comentas, gracias.



Un saludo

[cañera]

prueba con el x-cleaner de la misma manera en a modo prueba de errores;

X-Cleaner Freeware Version 2.0

X-Cleaner es una potente aplicación que es capaz de eliminar todo tipo de software y restos de programas o cualquier otra cosa que pueda poner en peligro tu privacidad. A pesar de llamarse Freeware Version, se trata de una versión reducida del programa completo.

Sitio 1 - Descargar X-Cleaner

http://www.aluriasoftware.com/tools/xcleaner_free.exe]

----------------------------------------------------------------

Sitio 2 - ] Descargar X-Cleaner desde zonavirus.com

http://www.zonavirus.com/descargas/xcleaner_free.exe



cuentanos como te fue.

[maura63]

Usa las utilidades , pero aparte comprueba que tienes CWSHREDDER actualizado, para ello cuando lo abras pulsa sobre "UPDATE".



Saludos

maura63

[xachillo]

Sigo en la misma despues de ejecutar los programas que anteriormente me mencionasteis.



Un saludo, sigo esperando una posible solución pero cada vez veo más cerca el formateo.

[msc hotline sat]

En atencion a los problemas del cambio a pagina about:blank , hemos desarrollado la utilidad ELIBLANK.EXE que vamos a subir a esta web en minutos.



Si encuentra el bicho, lo elimina y pone como pagina de inicio la del Google.es, para diferenciarla de la about:blank y sino, propone cambiarla igualmente, a voluntad.



Mira en Alertas... que voy a subir esta utilidad.



Ya nos dirás como te ha ido



saludos



ms, 17-06-2004

[xachillo]

Me podriais indicar donde se encuentra la seción de alertas.

[maura63]

En el partado sexto de la pagina principal del foro



Saludos

maura63

[maura63]

Aunque espera un poco por si todavia no la ha podido subir MSC.



Saludos

maura63

[msc hotline sat]

Toma el link, no hace falta que vatas a Alertas:



https://foros.zonavirus.com/viewtopic.php?p=5523#5523



saludos



ms, 17-06-2004

[xachillo]

Eternamente agradecido, a la tarde la pruebo y os comento.



Un saludo.

[xachillo]

Hola siento comunicar que he probado la herramienta que habeis dejado a la mañana y no me funciona. Comentaros que he probado de nuevo con el cwshredder y me ha vuelto a detectar el CWS.Svchost32, que supustamente lo ha eliminado, pero la primera vez que se lo pase tambien me lo habia detectado y eliminado. Se lo he vuelto a pasar y ya me indica que no lo encuentra. Tambien comentar que pase el search & destroy y siempre que cambia la pagina me detecta common hijacker host redireccionado auto.search.msn.com=213.159.117.235

Por cierto cuando le indico al explorer que use la pagina en blanco de donde coge esa pagina? Si lo sabeis me lo podriais indicar? para ver si encuentro alguna forma.



Un saludo y gracias.

[msc hotline sat]

Estamos haciendo una utilidad ELICWS.EXE para todos los CWS, incluso los que no detecta el CWSHREDDER, pero aparte de este programa puedes probar el ELIBLANK,EXE que hemos hecho hoy:



https://foros.zonavirus.com/viewtopic.php?t=1279



pruebala.



saludos



ms, 17-06-2004

[xachillo]

Ya lo he probado y na. Que no doy quitado la pagina de inicio. A ver si con esa herramienta. Tardara mucho?



Un saludo

[msc hotline sat]

Prueba la ELIBLANK 1.1 y la ELISTARA 2.2 que acabamos de subir



Y sí, la ELICWS.EXE se va a ir haciendo acumulando unos 30 CWS, y esto tardará un poco. Es que el mundo no se hizo en una hora ! y tenemos que ir haciendo muchas mas cosas, y atender a 100.000 asociados con sus problemas, que para esto nos pagan..., y de eso se beneficia este foro. Tiempo al tiempo



Baja las nuevas versiones de dichas utilidades y pruebalas.



saludos



ms, 17-06-2004

[blackcigala]

:( Hace una semana o dos que estoy exactamente igual. He probado todo lo habido y por haber y no hay manera de kitar la maldita redirección hacia about:blank con la página de smartsearch. Además últimamente se me abren pop-ups de vez en cuando con mensajes del tipo "spyware detected! click here to download spyware protection"... :?



Tras consultar varios rincones de internet he acabado en este thread... He seguido vuestros consejos pero no hay manera. También he utilizado EliBlank y no funciona: sustituye la página una sola vez. Es decir, que al ejecutarlo me dice que no se ha encontrado nada pero que si kiero cambiar la pagina de inicio. Si le doy a aceptar y abro el explorer, me aparece google correctamente, pero si abro otro la redirección reaparece. :x Parece como si el spyware estuviera de plug-in en el explorer...



Por si sirve de ayuda, el día 30 de junio tuve problemas con una web de sospechosos contenidos. Fue a partir de entonces que empecé a tener síntomas de infección. Quizá se trate de una nueva variante desconocida de coolwwwsearch :?:



Bueno no os canso más. Gracias por adelantado, leer el post ya debe ser bastante pesado :) Saludos.



P.D: El log del Hijack This!
[quote]Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\HCOUNT.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVSCHED.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [SpyHunter] C:\ARCHIVOS DE PROGRAMA\ENIGMA SOFTWARE GROUP\SPYHUNTER\SPYHUNTER.exe

O4 - HKLM\..\RunServices: [HiberMonitor] HCount.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330994.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab[/quote]

[xachillo]

Hola:



Nada comentarte que sigo con el problema, que no doy quitado la pagina, no se si has visitado la pagina http://www.spywareinfo.com, esta inglés, pero sus foros son de lo más interesantes. Si puedes hechale un ojo, si no se lo has hechado antes, espero que si encuentras la solución no te olvides de mi :D .



Un saludo y suerte.

[msc hotline sat]

Todos los troyanos que implantan una pgaina de inicio, vienen a hacer lo mismo pero cambiando la clave, el gusano y la pagina de inicio, pero son tantos que vamops por partes, primero la gama de los StarPage que iremos acumulando el el ELISTARA.EXE



https://foros.zonavirus.com/viewtopic.php?f=5&t=860



Luego seguimos con algunos que ponen la pagina de inicio serch..., con el ELISEARA.EXE



https://foros.zonavirus.com/viewtopic.php?t=1069



Hemos seguido con los que ponen pagina en blanco a traves de about:blank, con el ELIBLANK.EXE:



https://foros.zonavirus.com/viewtopic.php?t=1279



y ahora estamos acumulando uno a uno todos los demás conocidos de COOLBWESEARCH (CW), con el ELICWS.EXE, que subiremos a esta web cuando lo tengamos acabado, pero que de entrada puedes ver algunos de los que incluiremos, descritos en:



http://www.spywareinfo.com/~merijn/cwschronicles.html



Prueba las utilidades arriba indicadas, aparte del CWSHREDDER y SPYBOT, p aplica a mano las indicaciones que te ofrecen en el último link, si es el caso, mientras no esté disponible la ELICWS.EXE



saludos



ms, 21-06-2004

[xachillo]

He encontrado un mensaje intersante, a mi no me a funcionado pero a lo mejor a alguien le puede solucionar su problema http://alerta-antivirus.red.es/foros/read.php?f=10&i=8997&t=8997#reply_8997



Un saludo

[coquitoo303]

hasta ayer yo tenia el mismo problema, intente solucionarlo con todo lo que esta escrito en este foro y en otros que encontre por ahi, al ultimo y cansado hice lo siguiente: fui a http://www.microsoft.com y busque la ultima actualizacion del INTERNET EXPLORER la instale en mi Pc y de pronto desaparecio (hasta ahora sigo bien), proba a ver si a vos te sirve de algo.

NOTA: yo tengo WINDOWS MILLENIUM instalado en la Pc y tenia la version 5.50 del INTERNET EXPLORER (la actualize a version 6.00).

Avisame si te sirve de algo. Chau

[maura63]

coquitoo303 comprueba que tienes la 6.0 SP1 + los parches correspondientes, vuelve a conectar en windowsupdate y compruebalo.



Si el afectado no da datos de las versiones de windows IE .. etc suponemos que tiene la ultima version, pero capaz de que no se asi.



Por eso decimos que al exponer el problema se den todo lujo de detalles y lo principal es sistema operativo, version IE etc...



Saludos

maura63

[admin]

Como podras observar en las noticias de zonavirus hay una noticia, mas bien la primera que hace referencia al spyhunter





[b]Anti-Spywares que agregan Spyware y no debe instalarlos[/b]

http://www.zonavirus.com/Detalle_Noticia.asp?noticia=473





Sobre el log de Hijack This, selecciona ypulsa fix, en modo seguro y reinicia



[color=red]O4 - HKLM\..\Run: [SpyHunter] C:\ARCHIVOS DE PROGRAMA\ENIGMA SOFTWARE GROUP\SPYHUNTER\SPYHUNTER.exe

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330994.exe [/color]

[WILL]

HOLA AMIGOS:



AL FIN PUDE ELIMINAR EL BICHO QUE REDIRECCIONA A LA PAGINA about:blank a smartsearch............



SE TRATA DE UNA DLL " ibhajaa.dll" DEL TIPO "StartPage-DU" POSICIONADO EN:



C:\WINNT\system32\ibhajaa.dll

EN EL CASO DE WIN2000



INTENTE POR TODOS LOS MEDIOS ELIMINARLA MANUALMENTE Y CON FIXTOOLS Y NADA, YA ESTABA DECIDIDO A BORRAR MI WINDOWS E INSTALAR DE NUEVO. HASTA QUE INSTALE MCAFEE 7.1.0 ENTERPRISE

Y LO ELIMINO DE INMEDIATO DESPUES DE ACTUALIZARLO.

DESPUES DE REINICIAR EL COMPUTADOR DESAPARECIO POR COMPLETO LA MOLESTA PAGINA ........



SALUDOS Y SUERTE...........

[maura63]

Pues nos alegramos de que lo pudieras solucionar el problema y nos hayas aportado la solucion al mismo.



Procedemos a cerrar el tema.



Saludos

maura63

[msc hotline sat]

Solo añadir que la dll indicada no aparece ser conocida al respecto, y que especialmente el SrartPage.DU no la usa: http://vil.nai.com/vil/content/v_126244.htm

por lo que entendemos que fue una variante que creaba y utilizaba nombre aleatorio para la DLL, como la variante G, si bien esta ya esta controlada por el ELISTARA.EXE.

Eso de las letras y de los nombres de virus es para volverse loco, pudiendo ser tamvien la variante GV, etc.



saludos



ms, 25-06-2004



nota: semantiene cerrado el tema. Ha sido una nota para el histórico de la web.