Secuestro del navegador:startpage... y ahora Windows en coma

[viladaide]

Hola!



Ya sé que es un tema viejo, pero con las soluciones que hay por ahi no consigo nada.



Antes de nada, tengo windows xp y mcAfee. El McAfee me encuentra el troyano startpageDU pero no lo puede eliminar.



Lo primero que hice fue ejecutar EliStarA.exe. Encontró el virus y me mandó reiniciar. Al reiniciar me dice que Satinfo ha encontrado un virus y que vuelva a reiniciar (tambien me dice que introduzca la pagina de inicio del explorador). Y cada vez que reinicio me vuelve a decir lo mismo: que vuelva a reinciar.



Le he pasado el Spyboot y el CWSHREDDER y he vuelto a ejecutar el EliStarA.exe y lo mismo.



Aqui os mando el resultado del HijackThis.exe:



Logfile of HijackThis v1.97.7

Scan saved at 19:52:41, on 21/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe

C:\Archivos de programa\McAfee\McAfee Firewall\CPD.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe

C:\Archivos de programa\Classic PhoneTools\CapFax.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

C:\WINDOWS\sllights.exe

C:\Archivos de programa\Dassault Systemes\B12\intel_a\code\bin\CATSTART.exe

C:\Archivos de programa\Dassault Systemes\B12\intel_a\code\bin\CNEXT.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\VsMain.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\AlogServ.exe

C:\Documents and Settings\Manu\Mis documentos\hijackthis\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {663F123A-AA00-4B80-8927-C063DEF153C8} - C:\WINDOWS\System32\lnbpcaa.dll (file missing)

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Archivos de programa\McAfee\McAfee VirusScan\VSCShellExtension.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [McAfee Guardian] "C:\Archivos de programa\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU

O4 - HKLM\..\Run: [CapFax] C:\Archivos de programa\Classic PhoneTools\CapFax.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Lotus Organizer EasyClip.lnk = E:\Lotus\organize\EasyClip.exe

O4 - Global Startup: Lotus QuickStart.lnk = ?

O4 - Global Startup: Lotus SmartCenter.lnk = E:\Lotus\smartctr\smartctr.exe

O4 - Global Startup: Lotus SuiteStart.lnk = F:\lotus\smartctr\suitest.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DD6DE8C7-5952-4E10-A1FE-4425983B9DF0}: NameServer = 80.58.34.33 80.58.4.97



A ver si me podeis ayudar porque esto es muy latoso



Gracias

[carolxsiempre]

Si tienes windows xp ó ME, antes que nada desactiva la restauración del sistema, vas a mi pc/botón derecho/propiedades y marcas la casilla de desactivar el sistema.



Bueno si mcafee te lo detecta y no lo elimina, prueba correrlo en modo a prueba de fallos de ésta forma los procesos activos no permaneceran en uso y podrá eliminarlo.



Borra las siguientes entradas del hijackthis

C:\WINDOWS\system32\slserv.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {663F123A-AA00-4B80-8927-C063DEF153C8} - C:\WINDOWS\System32\lnbpcaa.dll (file missing)



Una vez borrado abres el iexplore, vas a herramientas, opciones de internet y cambias la página de inicio por la que prefieras, reinicias y nos comentas si vuelve a cambiarse.



Saludos

Carolxsiempre

[viladaide]

Ahora tengo un problema grave.



Antes de nada, quité la opción de Restaurar Sistema



He borrado las entradas que me dijisteis del Hijackthis y después he reiniciado en modo a prueba de fallos usando el msconfig y dandole en la pestaña boot (creo). Luego he ejecutado el elistarA en modo a prueba de fallos y he reiniciado otra vez.



Pues ahora el equipo no es capaz de cargar windows. Se enciende y aparece la pantalla de windows xp sobre fondo negro unos pocos segundos y despues se reinicia y vuelta a empezar.



Que puedo hacer!

[viladaide]

Ya he estado probando TODAS las formas de inicio posible (modo seguro, ultima config buena conocida, restauración...) y siempre pasa lo mismo: Parece que quiere abrir, pero de repente se corta y se reinicia. Siempre se corta durante la pantalla de fondo negro y con el logo de windows XP (bueno, en algunos modos de encendido, ni eso).



A ver si me podeis ayudar porque no queria tener que formatear. Tengo algunas cosillas importantes.



Gracias

[maura63]

Prueba a encender con disco de inicio de W98 , inserta el cd del XP para instalarlo, cuando detecte la particion le das a reparar [color=red](INSTALAR NO)[/color].



Dando a reparar no perderas todos los programas instalados.



Saludos

maura63

[carolxsiempre]

Hola, podrías decirnos que le cambiaste en el msconfig, aunque reparando si algún archivo ha sido dañado se reparará.





Saludos

Carolxsiempre

[viladaide]

Le cambié lo que pone en este foro para iniciar a prueba de fallos. Y la primera vez reinició bien en modo a prueba de fallos, así que no creo que sea eso.



La reparación de windows tampoco funciona. Me empiezo a temer que sea cosa del disco duro. Con el disco de inicio tampoco me deja hacer gran cosa en msdos asi que me temo que voy a formatear, si no teneis alguna idea mejor.



Gracias

[viladaide]

Estoy intentando salvar algunos ficheros de la unidad C.



Con el disco de inicio de w98 no puedo hacer nada (creo que por el tema de la FAT)



Con el cd de windows xp, después de intertar reparar (que no hace nada), se queda en ms-dos, pero no puedo entrar en Documents and Settings aunque si en otros directorios. Tampoco sé cambiar de unidad.



A ver si me podeis ayudar

[carolxsiempre]

Luego que le das reparar, si reinicias, no te deja entrar?



Saludos

Carolxsiempre

[viladaide]

Al reparar no hace nada. Primero me reconoce la instalación en C. Después me pide la contraseña de administrador. Y al final, después de medio segundo de darle a enter, se queda en ms-dos esperando ordenes: C:\Windows



Hay alguna posibilidad de que pueda salvar algun fichero de C?



Gracias

[admin]

bueno por pasos, si no te da ningun error ....





Arranqua pulsa F8 para acceder a la consola de recuperación.



Luego selecciona la opción "Modo seguro con el símbolo del sistema". Allí, escribe [code]Scanreg /restore[/code] pulsa intro y verás una pantalla con todas las copias del registro que se han hecho.



Selecciona la última (cuando tu pc estaba bien) y reinicia.





Si por casualidad tienes un fichero truncado(roto) , arranca en consola y prueba


[code]chkdsk C:[/code]

[viladaide]

Voy a volver a intentarlo, pero ayer no me dejaba arrancar en ninguna de las opciones del menu F8.



Ya os cuento dentro de un rato



PD: Y lo de chkdsk c: ya lo habia hecho desde dos usando el cd de windows xp y me dijo que la unidad parecia funcionar correctamente

[viladaide]

Nada: coma profundo.



No se inicia en ninguno de los modos del menu F8: Siempre se vuelve a reiniciar solo.



Por cierto, no me aparece el menu consola: ¿Como se arranca "en consola"?

[viladaide]

Parece que hay esperanza!



Cuando ya iba a instalar xp otra vez, me daba otra vez (más adelante que la primera) la opción de reparar: y parece que ahora reparó algo:



Ahora se inicia en modo a prueba de errores pero antes de aparecer los iconos y con el fondo en negro, sale una ventana que dice algo así:



El programa de instalacion no puede ejecutarse en modo seguro. El equipo se va a reiniciar



Intentando iniciar en modo seguro con simbolo del sistema o con la ultima configuración buena conocida, vuelve a abrirse en modo a prueba de errores y con la misma ventana.



También mientras se inicia windows, aparece la pantalla durante unos segundos con fondo azul claro y dos bandas más oscuras, estilo cinemascope, que dice que se esta iniciando el programa de instalación de windows xp



¿Se os ocurre algo que hacer?



Gracias

[admin]

en chr.., te ha dao algun error de fichero truncado y reparando???





en modo consola se puede arrancar con F8 (si puedes) o con el cd de instalacion del xp, arrancando el cd de boot

[viladaide]

EL chkdsk no me dió ningun error ni nada: decia que la unidad parecia funcionar correctamente.



Creo que ya sé lo que pasa ahora. La reparación me dice que se va a reiniciar para después continuar. Pero al reiniciar, como xp estaba a modo a prueba de errores, se reinicia asi. Entonces la reparación dice que no puede seguir ejecutandose porque se reinicio a prueba de errores.



¿se quitar el modo a prueba de errores de alguna forma reiniciando desde la consola de recuperación? Es el unico sitio donde puedo hacer algo

[viladaide]

Bueno, se acabó.



He salvado la información de C: conectando el disco duro como esclavo en otro PC. Y ya he formateado todo. Gracias por vuestra ayuda.



Y el startpage ya no está... :wink:

[maura63]

Pus zanjado el tema lo cerramos.



Saludos

maura63

[carolxsiempre]

Bueno ya que haz formateado solo resta que vayas a http://www.windowsupdate.com y bajes todos los parches críticos que te encuentre.



Saludos

Carolxsiempre