El Startpage dichoso

crispin · Mensaje por **crispin** » 27 Jul 2004, 16:53

Como podéis ver por el cuerpo del mensaje mi problema es el startpage dichoso. He leido unos cuantos mensajes sobre este tema y he aplicado las soluciones que proponeis:

- ElistarA

- CWShredder

- Antivirus on-line

- Arranque en modo seguro

- Adware

- Spyboot

Aparentemente desaparece, el panda on-line en modo seguro con conexion y sin restaurar el sistema lo elimina.

Pero al día siguiente e invariablemente a las 16:15 horas (eso lo he comprobado) aparece un nuevo mensaje del antivirus que tengo instalado (Bit Defender) avisándome de que estoy infectado por el starpage de turno. Este es un mensaje típico de un día cualquiera de mi antivirus:

C:\Archivos de programa\SOFTWIN\BitDefender Standard Edition\Infected\chdc.dll Infectado con Trojan.StartPage.IS

C:\Documents and Settings\JAVI\Configuración local\Archivos temporales de Internet\Content.IE5\0T63GHAN\m[1].bin Infectado con Trojan.StartPage.IS

Los nombres de los archivos cambian todos los días, no siempre es el mismo dll

A continuación os pongo el log del HijackThis por si me podéis orientar sobre quién es el intruso causante de las infecciones diarias y cómo eliminarlo:

Logfile of HijackThis v1.97.7

Scan saved at 16:40:54, on 27/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\gtwatch.exe

C:\Archivos de programa\Softwin\BitDefender Standard Edition\bdswitch.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\BitTorrent\btdownloadgui.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Softwin\BitDefender Standard Edition\vsserv.exe

c:\archiv~1\softwin\bitdef~1\bdmcon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Programas\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {16664845-0E00-11D2-8059-000000000000} - C:\Archivos de programa\Archivos comunes\ReGet Shared\Catcher.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Archivos de programa\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg

O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\ARCHIV~1\Softwin\BITDEF~1\bdnagent.exe

O4 - HKLM\..\Run: [BDSwitchAgent] C:\Archivos de programa\Softwin\BitDefender Standard Edition\bdswitch.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe

O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\A12U16K\WATCH.exe

O8 - Extra context menu item: Descargar con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Descargar todo con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_All.htm

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37707.3580555556

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D6376DD2-C2BD-49B2-A1B1-138F869633F3} (ASPRO Installer Class) - http://www.pandasoftware.com/ActiveScanpro/as5/ASPROinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ACFC6876-FD41-422C-A5C6-CE95D8543A7E}: NameServer = 194.224.52.4,194.224.52.6

Pues eso es todo, perdonad este pedazo de mensaje y muchas gracias anticipadas.

Saludetes,

Crispín

Mensaje por **msc hotline sat** » 27 Jul 2004, 16:59

Tras eliminarlo con las utilidades que ya indicasm pero arrancando en modo seguro, descarga el spywareblaster e instalalo, para tratar de evitar la nueva entrada del troyano.

Si no evitas su entrada, es posible que lo vuelvas a ingresar tras haberlo eliminado.

Y si un día puedes, tras eliminarlo, no entres en ninguna página, a ver si te la cambia o si es por haber omgresado nuevamente el bicho al navegar.

saludos

ms, 27-07-204

Mensaje por **msc hotline sat** » 27 Jul 2004, 17:11

Vas a ser el primero en ensayar una nueva utilidad, que hemos hecho para protegernos del DSO EXPLOIT, pero que puede ser beneficiosa para reducir la facilidad de entrada de troyanos:

http://www.zonavirus.com/descargas/antidso.exe

Este ANTIDSO.EXE no elimina ni lipia troyanos, solo aumenta o disminuye el riesgo de entrada en el Data Source Object, a ver si ìede reducir la entrada de los troyanos de las páginas de inicio. Pruebalo y nos dices algo.

Esta utilidad todavía no está publicada, pero ya está disponible si quereis probarla.

Cin ella se puede aumentar o reducir el grado de seguridad indicada

saludos

ms, 27-07-2004

crispin · Mensaje por **crispin** » 31 Jul 2004, 17:42

Hola,

Ante todo gracias por los consejos. He utilizado las dos utilidades que me habéis recomendado:

- spywareblaster

- antidso

Aparentemente el virus desaparece, pero en cuanto me conecto a internet salta la alarma del antivirus avisándome del trojan de turno.

C:\Documents and Settings\JAVI\Configuración local\Archivos temporales de Internet\Content.IE5\O4T9YTXV\m[1].bin Infectado con Trojan.StartPage.IS

C:\Documents and Settings\JAVI\Configuración local\Archivos temporales de Internet\Content.IE5\O4T9YTXV\m[1].bin La desinfección ha fallado

C:\Documents and Settings\JAVI\Configuración local\Archivos temporales de Internet\Content.IE5\O4T9YTXV\m[1].bin Trasladado

C:\WINDOWS\system32\jddoi.dll Infectado con Trojan.StartPage.IS

C:\WINDOWS\system32\jddoi.dll La desinfección ha fallado

C:\WINDOWS\system32\jddoi.dll Trasladado

El antivirus detecta los virus de turno, intenta elimanrlos, no puede y los traslada a un archivo de cuarentena.

Imagino que el virus aprovecha alguno de los muchos agujeros del explorer y vuelve a aparecer. Aunque imagino que no es peligroso sí que es un coñado y me gustaría romper esta rutina. Si tenéis algún consejo os lo agradecería o si alguien ha topado con un starpage pelmazo como este y lo ha eliminado me gustaría saber cómo lo ha conseguido.

Gracias de nuevo y un saludo,

Crispin

Mensaje por **cañera** » 31 Jul 2004, 17:53

mira los tienes en temporales,bajate este programa y limpia el pc;

http://www.softonic.com/ie/33440/Garbage_Sweeper

una vez terminado pasale el antivirus actualizado haber si detecta algo.

cuentanos como te fue.