123Mania ¡UUUFFF! (solucionado)

[PitiMini]

Hola, soy nueva en este foro. Un saludo a tod@s.



En realidad no se si es un virus, pero toca mucho las narices!! Os agradecería si me pudiésis ayudar.

Y si es un tema ya tratado, también os agradecería que me digáis dónde, porque no lo he encontrado.



Cuando mi navegador (Internet Explorer) no encuentra una página, salta a http://www.123mania.+com, disparándose pop-ups con contenido pornográfico, de descargas de mp3...



¿Cómo puedo eliminarlo? ¡No puedooorrrr!



Gracias

[msc hotline sat]

se tratan de spywares y adwares que podrá eliminar bajando un antispyware como el SpyBot y lanzandolo, y lo que detecte, eliminelo.



Ademàs, para paginas de inicio troyanas, si se le rresisten, utilice el CWSHREDDER, el cual tras ejecutarlo, indiquele FIX para resolver el problema



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



_________________________________________



· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp



saludos



ms, 8-06-2004

[PitiMini]

Muchas gracias por la respuesta tan rápida :wink:



Pasé el Ad-aware 6.0 y no detectó nada,

Pasé el Spybot S&D 1.2 y no detectó nada.

Estos dos suelo pasarlos a menudo.



He actualizado a Spybot S&D 1.3 ¡y me ha corregido bastantes!

He pasado también el Cwshredder (vaya nombrecito!), y no ha encontrado nada.



[b]... Y me sigue saliendo el 123Mania...[/b] :( :(



Además, como tengo instalado el Sygate Personal Firewall, me pide autorización para permitir que mshta.exe se conecte a http://www.123mania.+com, que deniego.



¿Alguna sugerencia? ¿puedo borrar el mshta.exe a pelo?

[msc hotline sat]

Prueba de ejecutar el ELISTARA:EXE, indicando que elimine la pagina de inicio cuando te lo pregunta:



https://foros.zonavirus.com/viewtopic.php?f=5&t=860



Si no lo consigues con esto, convendrá que nos envies el fichero system32.dll que encuentres en tu ordenador, que posiblemente será un gusano, el cual estudiaemnos para combatirlo.



Envianoslo como anexado a un mail cuyo texto sea un copiar y pègar de este posy, y te contestaremos como respuesta de este Tema.



Aparte, mientras tanto, selecciona el script entre líneas y haz un copiar y pegar con el bloc de notas y guardalo como PAGINA.REG y luego haz doble click sobre dicho fichero, aceptando guardar los cambios en el registro.



__________________________________________



REGEDIT4



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"System"=-

[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]

[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]

[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]



__________________________________________





Tras ello, elimina el fichero system32.dll de donde lo hayas encontrado, y reinicia el ordenador



Luego cambie la pagina de inicio, a ver si ya se la mantiene.



saludos



ms, 8-06-2004

[Kurumi]

buenas, a mi tambien hara como eso de dos dias me pasa lo del puñetero 123mania, y la verdad esque me tiene hasta las narizes, no me deja ver ni mi correo!!! asi que busque un poco por la red a ver que soluciones habia, y encontre esta, solo que como entiendo mas bien poco de estas cosas, me quede atascada en el paso 2, no encuentro ninguna carpeta de nombre HKEY... bueno, pongo lo que encontre, tengo windons 98, quizas estas instrucciones sean para el XP o el millenium.

Gracias por adelantado n_n





-------------------------------------------------------

0. Cierra todas las ventanas que tengas abiertas del Internet Explorer



1. Vamos a WINDOWSDownloaded Program Files y damos click derecho sobre lo siguientes archivos:



HTML Class

SrchHook Class



y damos click en QUITAR.



Si no aparecen ,no importa, sigamos con el siguiente paso.





2. Ahora Vamos a:



HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Quitar la entrada: LoadHTML





3. Ahora ve a:



HKEY_CLASSES_ROOTAutoSearch.SrchHook borra la clave AutoSearch.SrchHook

HKEY_CLASSES_ROOTAutoSearch.SrchHook.1 borra la clave AutoSearch.SrchHook.1

HKEY_CLASSES_ROOTAutoSearch.URLAutoSearch borra la clave AutoSearch.URLAutoSearch

HKEY_CLASSES_ROOTAutoSearch.URLAutoSearch.1 borra la clave AutoSearch.URLAutoSearch.1



4. Ahora a:



HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks



Y borra los valores que hayan ahi, solo deja el valor (predeterminado) no mas,

lo demas lo borras.



Una vez hecho esto, ya no saldra mas 123mania cuando intentas buscar algo en el

Internet Explorer. Aunque todavia no se ha quitado completamente.



=======================================================================



5. Ahora vamos a buscar los siguientes archivos en el registro, uno por uno,

y borra todas las claves donde aparezcan, solo borras las claves que son

de esta forma > por ejemplo > {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9}



mshtmpre.dll

msapasrc.dll

MSA32CHK.dll



NOTA:

En HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAboutURLs

solo borra los valores donde se nombre a la libreria mshtmpre.dll





6. Ahora ve a Windows/System32 y borra el archivo msapasrc.dll (si no se deja borrar, vamos al paso 7)



7. REINICIA WINDOWS



8. Ahora hay que borrar las librerias y archivos que copio esa porqueria de 123mania.



Borra el archivo mshtmpre.dll del directorio WINDOWSSYSTEM32

Borra el archivo msapasrc.dll del directorio WINDOWSSYSTEM32 (lo borramos si no se dejo borrar en el paso 6.)

Borra el archivo MSA32CHK.dll del directorio WINDOWSSYSTEM32 (si no aparece no importa)





LISTO, ADIOS 123MANIA COME m***da!!!!!!



AHORA TE RECOMENDAMOS QUE NUNCA ENTRES A ESTOS SITIOS:



http://www.123mania.com

http://www.escritorioactivo.com

http://www.juegosasaco.com

http://www.tumessenger.com

http://www.soloperversion.com

[msc hotline sat]

Pues aparque la solucion que había encontrado, que es para usuarios mas avanzados con dominio del REGEDIT, y vea si mi anterior port en el que simplemente debe seleccionar, crear, pegar y guardar un scrupt u ejecutarlo, o bajar un fichero de esta web y ejecutarlo, le es factible hacerlo.



Lo que le indicaban de hacer manualmente en el regustro, lo hacemos automaticamente conm el ELISTARA.EXE, y para el virus especifico indicado, cabe utilizar el script que le dabamos entre lineas, simplemente seleccionandolo (boton hizquierdo desplazado sobre las claves entre líneas, luego Copiar (CTRL-C, abrir el Bloc de Notas y Pegar (CTRL-V) y por último guardar como (ALT-A) y guardar como PAGINA.REG y hacer doble click sobre este fichero creado y aceptar los cambios.



Veamos si lo hace sin problemas, y sino, diganos donde se ha encallado y le ayudaremos



saludos



ms, 8-06-2004

[PitiMini]

Hola..

Ni por estas, [b]msc[/b]. ¡Vaya bicho!



Te cuento:

-el ELISTARA.EXE, me da tras ejecutarlo: 'No encontrado troyano StartPage'



- no hay ningún system32.dll en mi PC (al menos, el 'buscar' no lo encuentra.)



- Lo de PAGINA.REG, y reiniciar, tampoco ha funcionado. Vuelvo a 123Mania :evil: :evil:



Hace unos días intenté lo que cuenta [b]Kurumi[/b], pero en mi registro no aparecen:

HKEY_CLASSES_ROOTAutoSearch.SrchHook

HKEY_CLASSES_ROOTAutoSearch.SrchHook.1



Aunque sí aparecen:

HKEY_CLASSES_ROOTAutoSearch[b]1[/b].SrchHook

HKEY_CLASSES_ROOTAutoSearch[b]1[/b].SrchHook.1



La verdad es que me da algo de miedo eliminarlas del registro si estar segura de que son esas...



Ah! no es la página de inicio la que se cambia, sino la que aparece cuando el navegador no encuentra una página.

[msc hotline sat]

Está claro que hay mas de un spyware que coloca esta página de inicio, y que las soluciones valen especificamente para cada uno, no en general.



Lanza un HIJACKTHIS y haz un copiar y pegar del log y pegalo en tu proximo post de respuesta. Veremos las ejecuciones en el inicio, los residentes y las claves al respecto para ver de que variante se trata y tratar de eliminarla:



· Hijackthis

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

----------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip



Aparte, mirad de lanzar el SPYBIT y el CWSHREDDER, actualizandolos y habiendo arrancando en modo seguro, pulsando repetidamente F8 al arrancar y escogiendo dicha opcion.



saludos



ms, 9-06-2004

[PitiMini]

Ahí va eso:



Logfile of HijackThis v1.97.7

Scan saved at 10:48:44, on 09/06/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Archivos de programa\Sygate\SPF\smc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARCHIV~1\Navnt\defwatch.exe

C:\WINNT\System32\svchost.exe

C:\ARCHIV~1\Navnt\rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\ARCHIV~1\Navnt\vpexrt.exe

C:\ARCHIV~1\Navnt\vptray.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\ATnotes\ATnotes.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\mshta.exe

C:\WINNT\system32\mshta.exe

C:\descargas\EliminaStartPage\hijackthis\HijackThis.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

[color=red]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.123mania.com/0C0A/ie.asp[/color]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: SrchHook Class - {15651C7C-E812-44a2-A9AC-B467A2233E7D} - C:\WINNT\system32\GIDCAI32.dll

O2 - BHO: (no name) - %7b53707962-6F74-2D53-2644-206D7942484F%7d - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {622CC208-B014-4FE0-801B-874A5E5E403A} - C:\WINNT\system32\GIDCAI32.dll

O2 - BHO: (no name) - {9C5B2F29-1F46-4639-A6B4-828942301D3E} - C:\WINNT\system32\SIPSPI32.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\Navnt\vptray.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [LoadSIPS] rundll32.exe C:\WINNT\system32\SIPSPI32.dll,SIPSPI32

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: ATnotes.lnk = C:\Archivos de programa\ATnotes\ATnotes.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

[color=blue]O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: MessengerPlus (HKCU)

O9 - Extra 'Tools' menuitem: MessengerPlus (HKCU)

O9 - Extra button: StartMessenger (HKCU)

O9 - Extra 'Tools' menuitem: StartMessenger (HKCU)

O9 - Extra button: SuperEmoticonos (HKCU)

O9 - Extra 'Tools' menuitem: SuperEmoticonos (HKCU)

O9 - Extra button: NuevoCorreo (HKCU)

O9 - Extra 'Tools' menuitem: NuevoCorreo (HKCU)[/color]O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab

O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - [color=blue]http://acceso.masminutos.com/software.cab[/color]

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {37E2B4AC-9129-4C99-BF1F-90AC154772F0} (MatrixRg Class) - [color=blue]http://www.kidsmk.com/matrixreg.cab[/color]

O16 - DPF: {582788CA-7014-4904-A4EE-6FB6108AFE8E} - [color=red]http://www.123mania.com/asrcware.cab[/color]

O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - [color=blue]http://formacionivap.gva.es/GCIVAP/Portal/resources/msddsc.cab[/color]

O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB34} (Sony SNC-RZ30 Image Viewer) - http://213.201.38.222/home/SonySncRz30View.cab

O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} (Matrix Class) - [color=blue]http://prsdvb.com/laaplicacion.cab[/color]

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - [color=darkred]http://www.123mania.com/softhtml.cab[/color]

O17 - HKLM\System\CCS\Services\Tcpip\..\{CF817721-9CE3-4CEE-AE01-A16CD52001BD}: NameServer = 62.42.230.135,62.42.230.136



Huy! lo que ha salido. Te he puesto colorines. Las web el azul, no se lo que pintan, la verdad, y los botones añadidos tampoco.



En rojo he marcado la pesadilla 123Mania...

[msc hotline sat]

Está claro que la clave que le instala la página de inicio es:



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.123mania.com/0C0A/ie.asp



Para lo cual procederemoa a eliminar dicha entrada, si bien ello debería haberselo hecho las utilidades al respecto.



Por lo menos, nuestra utilidad ELISTARA.EXEm contempla dicha clave, y la tiene que eliminar si lo ejecuta y cuando le pide si quiere limpiar la página de inicio, le dice Vd que SÍ.



Ya se le ofreció anteriormente, pero quizás no la utilizó o no le dijo que SÍ a eliminar la página de inicio. Repitalo en cualquier caso.



Si se le resistiera, prueben de arrancar en modo seguro y además deshabilitar la restauracion de sistema y lanzar el CWSHREDDER y el SPYBOT,



saludos



ms, 9-06-2004

[PitiMini]

Hooola de nuevo.

Nada, que no:



Ejecuto ELISTARA.EXE y, efectivamente, [b]elimina[/b] la entrada del registro HKLM\Software\Microsoft\Internet Explorer\Search adicional a la predeterminada.



De todas formas, he actualizado el Spybot S&D (1.3, como me digiste), y el cwshredder.

Arranco en modo prueba de fallos, los paso, y ninguno me detecta ningún bichejo.



Arranco en modo normal Windows, y sigue sin estar la entrada del registro.



Arranco cualquier programa, y no está la entrada del registro.



Arranco el Explorer, sin conectarme a ninguna página y ¡aparece la entrada en el registro!



Si, con el explorer abierto, paso ELISTARA.exe, se elimina la entrada.



Vale, pues una vez abierto el navegador y eliminada la entrada, si me conecto a una página que no existe ¡me sale el 123Mania! (incluso sin entrada de registro) :? :(



Lo que vamos teniendo claro es que la entrada de registro se graba al arrancar el IExplorer.

[msc hotline sat]

Pues envianos el iexplore.exe, que normalmente es de unos 91.136 bytes, a ver si tienes algo raro.



Pero antes de nada, mira de arrancar en modo seguro, con funciones de red y tras eliminar la clave con el ELISTARA, lanza el Internet Explore, a ver si te la crea, sin entrar en ningun sitio. Entinces sabremos si es el mismo Internet Explore, o si es otro residente que arrancando normalmente modifica la clave cuando se abre el I.E.



Dinos algo al respecto



saludos



ms, 9-06-2004

[PitiMini]

Vale, ya lo he hecho:



Inicio a prueba de fallos con conexión a red

paso el ELISTARA, elimina la entrada del registro



arranco navegador

[b]no está la entrada[/b]



conecto a http://www.zonavirus.com

funciona correctamente (es gracioso cómo se os ve!)

[b]no está la entrada[/b]



conecto a página que no existe

redirecciona http://www.123Mania, pero no puede mostrar la página

[b]SÍ está la entrada[/b]



[b]¿te mando el iexplore.exe? ¿con o sin entrada en el registro? ¿a qué cuenta de correo?[/b]



Un abrazo y miles de gracias.



Por cierto, el Sygate personal firewall me pide autorización para que deje a una aplicación HTML llamada [b]mshta.exe [/b](C:\WINNT\SYSTEM32\mshta.exe) se conecte a:

-rgwuio.com

-semcmm.com

-dcfgsd.com

-www.123mania.+com

-kidsmk.com

Todas ellas con la misma IP: 213.27.171.+100, que resulta ser:



% This is the RIPE Whois server.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/ripencc/pub-services/db/copyright.html



inetnum: 213.27.171.0 - 213.27.171.255

netname: FUTURPAGO-ES-NET

descr: FUTURPAGO

country: ES

admin-c: CMSD1-RIPE

tech-c: CMSD1-RIPE

status: ASSIGNED PA

notify: noc.support@colt-telecom.es

notify: abuse-ispes@colt-telecom.es

mnt-by: COLT-ESPANA-MNT

changed: esmadripe@colt-telecom.es 20040527

source: RIPE



route: 213.27.128.0/17

descr: COLT Espana Customer Networks

origin: AS8220

mnt-by: COLT-ESPANA-MNT

changed: esmadripe@colt-telecom.es 20030120

source: RIPE



role: COLT Madrid Service Delivery

address: COLT Telecom Espana SA

address: Telemaco 5

address: 28027

address: Madrid Spain

e-mail: esmadripe@colt-telecom.es

admin-c: IVR3-RIPE

admin-c: FM628-RIPE

admin-c: MSL4-RIPE

admin-c: DS1580-RIPE

admin-c: MGC5-RIPE

admin-c: SAC3-RIPE

tech-c: IVR3-RIPE

tech-c: FM628-RIPE

tech-c: MSL4-RIPE

tech-c: DS1580-RIPE

tech-c: MGC5-RIPE

tech-c: SAC3-RIPE

nic-hdl: CMSD1-RIPE

mnt-by: COLT-ESPANA-MNT

changed: esmadripe@colt-telecom.es 20030213

source: RIPE

[msc hotline sat]

No, no es el EXPLORER.EXE, sino que el MSHTA.EXE ehecyta en el inicio algun fichero *.HTA que contiene las dichosas URL



Empezamos a pisarle el cuello.



Busca en el disco duro *.HTA, quenormalmente hay muy pocos, y dime los que encuentres, y los editarás o abrirás con el bloc de notas y veremos lo que hay dentro...



Luego ya los buscaremos en el registro, cuando sepamos quien es quien



saludos



ms, 9-06-2004

[Kurumi]

bueno, a mi me sigue pasando, creo que me voy a apuntar todo lo que decis para hacerlo paso a paso y tranquilamente. Lo curioso es que a mi la pagina esa del 123mania me aparece en cualquier momento, no solo con las paginas que no se pueden encontrar, si no con unas que siempre funcionan correctamente tales como goggle o yahoo, hasta para ver mi correo de hotmail me sale, la verdad esque ya me empezo a rayar... bueno... gracias de todos modos... voy a empezar a hacerlo otra vez todo paso a paso como indicais ;)

[PitiMini]

[quote="msc hotline sat"]
Empezamos a pisarle el cuello.
[/quote]

Eso, eso ¡¡¡¡ que le coooooorten la cabeza !!!!!



He buscado en C todos los *.HTA, un par de veces, y no tengo ninguno (oooooh)



Sin embargo, tengo el mshta.exe en:

C:\WINNT\$NtServicePackUnistall$

C:\WINNT\ServicePackFiles\i386

C:\WINNT\system32, que es el que intenta conectarse a internet.

[msc hotline sat]

El mshta.exe te intenta leer un fichero HTA que puede tener un script que contenga instrucciones de concetar a Internet y llevarte al huerto, pero el fichero mshta es del sistema operativo de windows.



Puede ser que alguna clave de class invoque la ejecucion de dicho fichero, para no facilitar su eliminacion.



Ante todo, la ejecucion de un script por lectura de un fichero HTA, HTM: HTML o similar, puede ser debida a uyna vulnerabilidad de windows, la cual esté subsanada por algun parche de microsoft que no tengas aplicado.



Por si te faltara algun parche, abre tu navegador Internet Explorer, selcciona Herraminetas y pincha en windowsupdate, que busque las actualizaciones que te faltan y que las instale.



Luego reinicias y pruebas de nuevo.



saludos



ms, 10-06-2004

[PitiMini]

Este se resiste...

Te cuento lo que he hecho y los resultados:



1. Actualizo windows (al final del mensaje te pongo cuáles he instalado)



2. [b]Arranco en modo a prueba de errores[/b], con funciones de red

2.1. ELISTARA.exe: elimina entrada

2.2 CWShredder, no encuentra nada

2.3 Spybot S&D no encuentra nada

2.4 No encuentra ningún *.hta

2.4 Abro IExplorer, no hay entrada de registro

2.5 Abro http://www.zonavirus.com, no hay entrada de registro

2.6 Abro http://www.a.es ¡NO SALE 123MANIA!, sale el 'No puede encontrar página :D

2.7 No hay entrada de registro



3. Más contenta que unas pascuas, arranco W2000 normal

3.1 No hay entrada de registro

3.2 Arranco Iexplorer :cry: [b]sí[/b] hay entrada en el registro

3.3 ELISTARA.exe la elimina (sin cerrar el IExplorer)

3.4 Entro en http://www.zonavirus.com, no hay entrada de registro

3.5 Entro en http://www.a.es, salta a 123Mania, sigue sin haber entrada en el registro.











las [u][b]actualizaciones [/b][/u]que he instalado son:



*[b]Críticas y ServicePack[/b], sólo tenía pendiente esta (suelo actualizar semanalmente):

"Se ha detectado un problema de seguridad que podría permitir a un usuario malintencionado provocar que DirectX, o las aplicaciones que utilicen DirectX, dejen de responder. Puede mejorar la protección del equipo con esta actualización de Microsoft."



*[b]Recomendada[/b]s: (las he puesto por si acaso...)

"W2000: 818043: Actualización recomendada para Windows 2000Tamaño de la descarga: 705 KB, < 1 minuto

Esta actualización de los clientes de seguridad del Protocolo Internet IPSec y L2TP/IPSec permite a IPSec trabajar dentro de los límites de Traducción de direcciones de red (NAT). Un cliente puede conectar con un servidor Windows Server 2003 con IPSec o L2TP/IPSec si el cliente se encuentra detrás de una o más NAT. Los usuarios que utilicen conexiones de red privada virtual (VPN) IPSec o L2TP deben descargar esta actualización"



"Tiempo de ejecución del usuario final de DirectX 9.0b*Tamaño de la descarga: 293 KB, < 1 minuto

DirectX 9.0b incluye actualizaciones de seguridad y de rendimiento. Descargue ahora las actualizaciones más recientes para DirectX. "

[msc hotline sat]

Tal como ya indicabas en anteriores post, parece que al no encontrar la pagina elegida, o ne haber pagina donde acceder, salta a lo que tiene en memoria posiblemente cargado por el registro en el inicio, ejecutado por el mshta.exe de windows sobre el script troyano, pero no damos con el script, lo mas seguro por estar en el registro como una class.



Veamos si arrancando en modo seguro, con funciones de red, y tras lanzar el ELISTARA.EXE y eliminar la pagina de inicio, hagale las marranadas que pueda, a ver si se carga la dichosa página.



En definitiva se trata de saber si al arrancar sin cargar lo programado en el registro, no se activa, y así estar seguros de que se trata de una clave del registro, y trataremos de dar con ella en tal caso.



Diganos algo tras sus pruebas.



Mientras tanto, daremos vyeltas con su HIJACHTHIS , pero hay CLASS que quien sabe lo que hacen...



saludos



ms, 10-06-2004

[PitiMini]

Nada, que ahora arranco a prueba de errores, paso el ELISTARTPAGE, arranco el navegador y, en cuanto la página no existe, ya tengo el 123Mania...



puuuffff

[PitiMini]

Por hacer algo, he estado buscando en el registro la cadena '123Mania', y he encontrado lo siguiente:



*En HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\



:::{582788CA-7014-4904-A4EE-6FB6108AFE8E} tiene estos tres valores:

-Predeterminado (valor no establecido)

-CODEBASE http://www.123Mania. com/asrcware.cab

-INF C:\WINNT\Dowloaded Program Files \msains.inf



:::{D879A0F1-2B3B-4409-8879-FAD6E49E1EA9}/Download Information

-Predeterminado (valor no establecido)

-CODEBASE http://www.123Mania. com/sofhtml.cab

-INF C:\\WINNT\Dowloaded Program Files\mshtmpre.inf



* En HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search, tengo, además de la predeterminada,

-SearchAssistant = http://www.123mania.com/0C0A/ie.asp...

que es la que aparece y desaparece al pasar el ELISTARTPAGE.





[b]otra pista[/b] (eso espero...)

cuando oprimo alt+tab, aparecen huecos. Como si hubiese una ventana abierta, pero sin corresponderle ninguna ventana, ni ningún icono en el alt+tab. El título de esta ventana 'invisible' es:

[b]res://WINNT/SYSTEM32/SIPSPI32.dll/popu........[/b]

[msc hotline sat]

Ergo, sum...



No lo tienes en el registro !!!, pues arrancando en modo seguro no se cargan las claves víricas ni los ficheros de inicio.



Por tanto es algo de lo que ejecutas o que tienes configurado así.



Edita con el bloc de notas el ficheros HOSTS y nos lo pegas en tu proximo post, y envianos el dichoso MSHTA.EXE , y el IEXPLORE.EXE a ver si vemos alguna variacion



Envianoslos a zonavirus@satinfo.es anexados a un mail cuyo texto se un copiar y pegar de este post, y te contestaremos como respuesta a este Tema



saludos



ms, 10-06-2004

[PitiMini]

ya he enviado los dos archivos.

Respecto al fichero HOSTS, el buscar de windows me encuentra cuatro ¿cual quieres?



Seguro que ya te he dado las gracias, pero te lo repito, que eso no cansa: [b]mil gracias[/b]





Ah! mientras miras las tripas de esos archivos, voy a pinchar en todos los enlaces que vea en zonavirus.com...

[msc hotline sat]

el unico que es solo HOSTS



normalmente está es windows\system32\drivers\etx



saludos



10-06-2004

[PitiMini]

Esto es lo que me sale, perla:



# Copyright (c) 1993-1999 Microsoft Corp.

#

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de las direcciones IP a los nombres de

# host. Cada entrada debe permanecer en una línea individual. La dirección IP

# debe ponerse en la primera columna, seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben separarse con al menos un espacio.

#

#

# También pueden insertarse comentarios (como éste) en líneas individuales

# o a continuación del nombre de equipo indicándolos con el símbolo "#"

#

# Por ejemplo:

#

# 102.54.94.97 rhino.acme.com # servidor origen

# 38.25.63.10 x.acme.com # host cliente x



127.0.0.1 localhost

[msc hotline sat]

Correctp el fichero HOSTS.



Y correctas las muestras recibidas, son como los originales.



Puesto el problema en mesa redonda con los 9 tecnicos que estamos en el servicio tecnico, cada cual ha dicho la suya, y en resumen pensamos, a la vista de los hechos, que se trata de una caracteristica de windows, que no conociamos, que si no se encuentra la pagina deseada, coloque la que tenga como mas visitada o en cache, por lo que, para probar esta hipotesis, convendrá entrar en el navegador, HERRAMIENTAS, OPCIONES DE INTERNET y en la parte central, BORRAR LOS TEMPORALES DE INTERNET, con lo que se borrará el cachém

y por otra parte, igualmente en HERRAMIENTAS, OPCIONES DE INTERNET, entrar en PROGRAMAS y pulsar en RESTABLECER CONFIGURACION WEB



Si había entrado muchas veces en esta web y la tenóa en caché, puede ser que windows hiciera el resto...



Pruebelo y diganos algo.



saludos



ms, 10-06-2004

[PitiMini]

Pos no...



No es el windows, aunque estoy de acuerdo en que el principal dolor de cabeza de los usuarios es el propio windows...



He eliminado los ficheros temporales y también, de paso, el historial, y restablecido la configuración web de la pestaña 'Programas'.



No se me ocurre que mirar más...

Ya te dige que a prueba de fallos volvía a aparecer el 123mania ¿verdad?



¿Hemos pasado algo por alto?



Si el mshta es normal ¿pq quiere conectarse a 123mania de vez en cuando y por las buenas?



Un saludo a los nueve, nueve mil gracias!

[PitiMini]

Se me ocurre lo siguiente:



* las ventanas 'fantasmas' (al oprimir alt+tab, aparecen 'huecos' que señalan a res://C:\\WINNT\System32\[b]SIPSPI.dll[/b]\popu...

Estas ventanas 'fantasma se activan cuando el Sygate me avisa de que mshta intenta conectarse a una IP idéntica a la de 123mania.



* En el log de hijackthis, aparece:

R3 - URLSearchHook: SrchHook Class - {15651C7C-E812-44a2-A9AC-B467A2233E7D} - C:\WINNT\system32\[b]GIDCAI32.dll[/b] , lo que me hace sospechar de esta dll.



*En el mismo log, tengo como BHO (Browser Helper Objects), dos del Spybot, uno del acrobat, la barra google -que la puse yo-, y precisamente [b]GIDCAI32.dll[/b] y \[b]SIPSPI.dll[/b]





Por esto, se me ocurre eliminar con el hijackthis las entradas que contengan [b]123Mania[/b], [b]GIDCAI32.dll[/b] y \[b]SIPSPI.dll[/b].



Si miramos el log, os marco en rojo las que borraría, una vez borradas las marcadas en rojo, si puedo volver a arrancar el PC :roll: , comprobaría si lo he borrado de verdad, y después quitaría la que marco en azul.



Aun no he borrado ¿voy a hacer alguna estupidez? ¿es posible que se arregle de esta forma?





Mil besos.



Logfile of HijackThis v1.97.7

Scan saved at 10:48:44, on 09/06/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Archivos de programa\Sygate\SPF\smc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARCHIV~1\Navnt\defwatch.exe

C:\WINNT\System32\svchost.exe

C:\ARCHIV~1\Navnt\rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\ARCHIV~1\Navnt\vpexrt.exe

C:\ARCHIV~1\Navnt\vptray.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\ATnotes\ATnotes.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\mshta.exe

C:\WINNT\system32\mshta.exe

C:\descargas\EliminaStartPage\hijackthis\HijackThis.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

[color=red]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = <http://www.123mania.com/0C0A/ie.asp> [/color]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

[color=red]R3 - URLSearchHook: SrchHook Class - {15651C7C-E812-44a2-A9AC-B467A2233E7D} - C:\WINNT\system32\GIDCAI32.dll [/color]

O2 - BHO: (no name) - %7b53707962-6F74-2D53-2644-206D7942484F%7d - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

[color=red]O2 - BHO: (no name) - {622CC208-B014-4FE0-801B-874A5E5E403A} - C:\WINNT\system32\GIDCAI32.dll

O2 - BHO: (no name) - {9C5B2F29-1F46-4639-A6B4-828942301D3E} - C:\WINNT\system32\SIPSPI32.dll [/color]

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\Navnt\vptray.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

[color=red]O4 - HKLM\..\Run: [LoadSIPS] rundll32.exe C:\WINNT\system32\SIPSPI32.dll,SIPSPI32 [/color]

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: ATnotes.lnk = C:\Archivos de programa\ATnotes\ATnotes.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - <res://c:\archivos> de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - <res://c:\archivos> de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - <res://c:\archivos> de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - <res://c:\archivos> de programa\google\GoogleToolbar2.dll/cmsimilar.html

[color=blue]O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: MessengerPlus (HKCU)

O9 - Extra 'Tools' menuitem: MessengerPlus (HKCU)

O9 - Extra button: StartMessenger (HKCU)

O9 - Extra 'Tools' menuitem: StartMessenger (HKCU)

O9 - Extra button: SuperEmoticonos (HKCU)

O9 - Extra 'Tools' menuitem: SuperEmoticonos (HKCU)

O9 - Extra button: NuevoCorreo (HKCU)

O9 - Extra 'Tools' menuitem: NuevoCorreo (HKCU)O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - <http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB>[/color]

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - <http://office.microsoft.com/templates/ieawsdc.cab>

[color=blue]O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab[/color]

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - <http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab>

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - <http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB>

[color=blue]O16 - DPF: {37E2B4AC-9129-4C99-BF1F-90AC154772F0} (MatrixRg Class) - http://www.kidsmk.com/matrixreg.cab [/color]

[color=red]O16 - DPF: {582788CA-7014-4904-A4EE-6FB6108AFE8E} - http://www.123mania.com/asrcware.cab [/color]

[color=blue]O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - http://formacionivap.gva.es/GCIVAP/Portal/resources/msddsc.cab [/color]

[color=blue]O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB34} (Sony SNC-RZ30 Image Viewer) - <http://213.201.38.222/home/SonySncRz30View.cab>[/color]

[color=blue]O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} (Matrix Class) - http://prsdvb.com/laaplicacion.cab [/color]O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - <http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab>

[color=red]O16 - DPF: {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - http://www.123mania.com/softhtml.cab [/color]

O17 - HKLM\System\CCS\Services\Tcpip\..\{CF817721-9CE3-4CEE-AE01-A16CD52001BD}: NameServer = 62.42.230.135,62.42.230.136

[msc hotline sat]

Ya he explicado nuestra hipotesis del porqué podía ser



En todo esto que ha hecho, ha ejecutado elm ELISTARA y borrado la página de inicio con él. Es que si partimos de una base mala, lo que se haga a continuacion, no sirve.



Si no hubiera partido de una página de inicio limpia, con el ELISTARA, hagalo, y luego lo demás.



Y si con ello no se soluciona, pediremos ayuda a foreros tan competentes como Carolxsiempre, Drazhaz, Maura63, Flacoroo, Araceli, por supuesto ADMIN, y si estuvieran por ahí DonSata, GreatMamut y Jaime (ADMIN, dile que nos eche una mano si lo tienes por ahí), pues D'Artagnan empieza a pensar en el "Mosqueteros, a mí"



Y para esto estamos en un foro, donde las experiencias de todos y cada uno sirven a todos.



A ver quien se luce un poco y aporta la solucion...



saludos



ms, 10-06-2004

[PitiMini]

Upsss, perdona, se nos han cruzado los posts.

Mira el anterior al tuyo, por favor, a ver qué te parece.





...Y sí, siempre empiezo con página de inicio (de búsqueda, mejor, la de inicio la tengo siempre en blanco) limpia con el ELISTARA.



Un besazo para todos, y para esos mosqueteros: ¡¡¡todos para uno, y uno para todos!!! :lol: