Sobre Coolwwwsearch.msconfig (Solucionado)

[Lagrange]

Hola a todos, como veis en el tema tengo este "pequeño" problema, y he seguido todos las pasos que por aqui se postean, y nada de nada. Única solución por ahora usar Firefox.



Aún así me gustaría que me echarais una mano, a ver si lo quito de una vez.

El spybot lo detecta una vez inicio IE o en su defecto Avant Browser, he intentado con hijack desde modo a prueba de fallos, spywareblaster, ad-aware,....y nada.



os pongo lo que me canta csh...:



WShredder v1.53.4 scan only report

Please understand that a CWShredder 'Scan only' report

might not be sufficient to troubleshoot an infected system.

You can use HijackThis for that:

http://www.merijn.org/files/hijackthis.zip

http://www.spywareinfo.com/~merijn/files/hijackthis.zip



Windows XP (5.01.2600 SP2)

Windows dir: C:\WINDOWS

Windows system dir: C:\WINDOWS\system32

AppData folder: C:\Documents and Settings\pc\Datos de programa

Username: pc



Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (792 bytes, A)

Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe

UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,

CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com [*] dword:4

CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com [*] dword:4

CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com [*] dword:4

CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com [*] dword:4

Registry value: DefaultPrefix (should be http://) [] http://

Registry value: WWW Prefix (should be http://) [www] http://

Registry value: Mosaic Prefix (should be http://) [mosaic] http://

Registry value: Home Prefix (should be http://) [home] http://

Found Win.ini file: C:\WINDOWS\win.ini (810 bytes, A)

Found System.ini file: C:\WINDOWS\system.ini (231 bytes, A)



no entiendo que significa cada cosa....y ni mucho menos que c**o me puede hacer el cws.msconfig.



Por favor aqui os espero.

[Lagrange]

Por cierto el hijack me dijo que:



Logfile of HijackThis v1.98.2

Scan saved at 3:04:27, on 02/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\flexlm\Installation Instructions\lmgrd.exe

C:\Archivos de programa\Roxio\GoBack\GBPoll.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\flexlm\Installation Instructions\ESRI.exe

C:\WINDOWS\system32\slserv.exe

C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\htpatch.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\PowerS.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\navapw32.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashmaisv.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinsmNT.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\Roxio\GoBack\GBTray.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\pc\Configuración local\Temp\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1601.0\es\msntb.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ashMaiSv] C:\ARCHIV~1\ALWILS~1\Avast4\ashmaisv.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QD FastAndSafe] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinsmNT.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: GoBack.lnk = C:\Archivos de programa\Roxio\GoBack\GBTray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE

O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Abrir todos los vínculos de esta página... - C:\Archivos de programa\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Añadir a la lista negra de anuncios - C:\Archivos de programa\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Bloquear todas las imágenes del mismo servidor - C:\Archivos de programa\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Buscar - C:\Archivos de programa\Avant Browser\Search.htm

O8 - Extra context menu item: Destacar - C:\Archivos de programa\Avant Browser\Highlight.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Get File Size - res://C:\Archivos de programa\UnH Solutions\Get File Size\GetFileSize.exe/130

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Archivos de programa\UnH Solutions\Get File Size\GetFileSize.exe (HKCU)

O9 - Extra 'Tools' menuitem: Get File Size - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Archivos de programa\UnH Solutions\Get File Size\GetFileSize.exe (HKCU)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .UVR: C:\Archivos de programa\Internet Explorer\Plugins\NPUPano.dll

O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FD970556-5FDE-4211-AE29-61ED5A1C6735}: NameServer = 62.36.225.150 62.37.228.20

[maura63]

Baja la nueva version



CWSHREDDER 2.0



http://www.softpedia.com/public/cat/10/17/10-17-150.shtml



Pasalo en modo seguro y no olvides desactivar restaurar sistema, de lo contrario permanecera el problema.Cuando CWS detecta algo pulsa FIX.



Para ello en el escritorio boton secundario del mousse sobre MI PC, se abrira una ventana pinchamos en la que pone, Propiedades y luego en otra que pone Restaurar, al abrirse marcaremos la casilla desactivar restaurar sistema, aplicamos y aceptamos.



Del mismo modo pasas Spybot y Ad_aware.



Saludos

maura63

[Lagrange]

he hecho lo q me dijisteis, y nada continuo con el problema...



Modo a prueba de fallos, restaurar sistema desc

paso el csw..2.0 y no lo detecta

paso el hijack y me salen cosas q no entiendo

paso spy y no lo detecta

paso ad y no lo detecta



Pero....



Modo normal

paso spy y ahi está

y aun no he entrado con el tema DSO exploits que tmapoco se me van.



¿qué ocurre? ¿puede ser esto?

con el mozilla en procesos pendiente activo adblock y me sale una cosa..

http://pagead2.googleyndication.com/...



csw..2.0:



WShredder v2.0. scan only report

Please understand that a CWShredder 'Scan only' report

might not be sufficient to troubleshoot an infected system.



System Information:

Windows XP (5.01.2600 SP2)

Windows dir: C:\WINDOWS

Windows system dir: C:\WINDOWS\system32

AppData folder: C:\Documents and Settings\pc\Datos de programa

Username: pc



Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (792 bytes, RA)

Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe

UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,

Found Win.ini file: C:\WINDOWS\win.ini (810 bytes, A)

Found System.ini file: C:\WINDOWS\system.ini (231 bytes, A)



- END OF REPORT -



csw 1.53



WShredder v1.53.4 scan only report

Please understand that a CWShredder 'Scan only' report

might not be sufficient to troubleshoot an infected system.

You can use HijackThis for that:

http://www.merijn.org/files/hijackthis.zip

http://www.spywareinfo.com/~merijn/files/hijackthis.zip



Windows XP (5.01.2600 SP2)

Windows dir: C:\WINDOWS

Windows system dir: C:\WINDOWS\system32

AppData folder: C:\Documents and Settings\pc\Datos de programa

Username: pc



Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (792 bytes, RA)

Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe

UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,

CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com [*] dword:4

CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com [*] dword:4

CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com [*] dword:4

CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com [*] dword:4

Registry value: DefaultPrefix (should be http://) [] http://

Registry value: WWW Prefix (should be http://) [www] http://

Registry value: Mosaic Prefix (should be http://) [mosaic] http://

Registry value: Home Prefix (should be http://) [home] http://

Found Win.ini file: C:\WINDOWS\win.ini (810 bytes, A)

Found System.ini file: C:\WINDOWS\system.ini (231 bytes, A)



hijack

Logfile of HijackThis v1.98.2

Scan saved at 12:37:26, on 02/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\flexlm\Installation Instructions\lmgrd.exe

C:\Archivos de programa\Roxio\GoBack\GBPoll.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\flexlm\Installation Instructions\ESRI.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\htpatch.exe

C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\PowerS.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\navapw32.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\WINDOWS\system32\wscntfy.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashmaisv.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinsmNT.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\Roxio\GoBack\GBTray.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\arcgis\arcexe83\bin\ArcMap.exe

C:\arcgis\arcexe83\Bin\AppRot.exe

C:\arcgis\arcexe83\Bin\AppLockMgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\pc\Configuración local\Temp\CWShredder.exe

C:\Documents and Settings\pc\Configuración local\Temp\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ashMaiSv] C:\ARCHIV~1\ALWILS~1\Avast4\ashmaisv.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QD FastAndSafe] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinsmNT.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: GoBack.lnk = C:\Archivos de programa\Roxio\GoBack\GBTray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Norton System Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE

O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Abrir todos los vínculos de esta página... - C:\Archivos de programa\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Añadir a la lista negra de anuncios - C:\Archivos de programa\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Bloquear todas las imágenes del mismo servidor - C:\Archivos de programa\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Buscar - C:\Archivos de programa\Avant Browser\Search.htm

O8 - Extra context menu item: Destacar - C:\Archivos de programa\Avant Browser\Highlight.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Get File Size - res://C:\Archivos de programa\UnH Solutions\Get File Size\GetFileSize.exe/130

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Archivos de programa\UnH Solutions\Get File Size\GetFileSize.exe (HKCU)

O9 - Extra 'Tools' menuitem: Get File Size - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Archivos de programa\UnH Solutions\Get File Size\GetFileSize.exe (HKCU)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .UVR: C:\Archivos de programa\Internet Explorer\Plugins\NPUPano.dll

O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FD970556-5FDE-4211-AE29-61ED5A1C6735}: NameServer = 62.36.225.150 62.37.228.20

[Lagrange]

Pues eso, despues de instalar la version beta de spybot el dso exploit ha desaparecido, pero con el coolwwwsearch.msconfig ocurre algo raro, me explico:



arranco a prueba de errores y no lo detecta NADIE.

arranco normal y lo detecta spybot, pero lo mejor es q me lo corrige. a la media hora lo vuelvo a pasar y no esta, pero luego vuelve a aparecer por arte de magia, y lo vuelvo a corregir. Que hace que vuelva a aparecer? algun programa escondido?



Podriais decirme que problemas me puede causa esta variante?

[msc hotline sat]

O bien tienes algun residente que no eliminas, y que te vuelve a crear el CWS o bien es que entras en alguna página de Internet que te lo vuelve a instalar.



Sugiero que veas, tras eliminar el bicho, de estar un par de horas sin conectarte a Internet, a ver si se reproduce, en cuyo caso sabriamos que es porque no se ha eliminado del todo, que te ha quedado un residente que lo ha vuelto a instalar.



En este casp es debido a que no lo eliminas )porque np lo detectas) cuando arrancas en modo seguro, que es como realmente deberías poder hacerlo. Y veo una explicacion a ello. Tienes un bicho que no detectas, y su ejecucion en el inicio normal, crea otro que si que detectas, pero eliminando este "hijo", no matas a su " madre", que es la que no detectas y se mantiene viva.



Si la detectaras, deberias tambien hacerlo arrancando en modo seguro, y asi poder eliminarla.



Si es el caso, hasta que no la detectes arrancando en modo seguro y la elimines en dicho modo, la mantendrás en el equipo.



Veré de informarme si hay alguna novedad al respecto.



saludos



ms, 3-11-2004

[msc hotline sat]

AL respecto, con el Google se obtienen dos grandes criterios, el de ser una falsa alarma del spybot, y el de la informacion que sigue:


[quote]
CWS.Msconfig

Variant 31: - CWS.Msconfig - Payload plus one

Approx date first sighted: February 5, 2004 (also a nice example of how frustrating these things can be to people)

Log reference: http://forums.spywareinfo.com/index.php?showtopic=31324

Symptoms: IE pages being hijacked to http://www.31234.com on system startup and when changing homepage back, continuous errors about an invalid Registry script in temp2.txt, extra item in right-click menu of webpages named '??????'

Cleverness: 2/10

Manual removal difficulty: Involves a process killer, some Registry editing and restoring a Windows system file from CD

Identifying lines in HijackThis log:



Running processes:

C:\WINDOWS\SYSTEM\MSCONFIG.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.31234.com/www/homepage.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.31234.com/www/homepage.html

O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\SYSTEM\msconfig.exe

O4 - HKCU\..\Run: [msconfig] C:\WINDOWS\SYSTEM\msconfig.exe

O8 - Extra context menu item: ?????? - C:\WINDOWS\system32\openme.htm





This variant uses the filename msconfig.exe which overwrites the real Windows file in Windows 98/98SE/ME. The temp2.txt file it drops is actually a Registry script, but since it's in the wrong format, Windows 9x/ME will throw up an error about an invalid Registry script. Windows 2000/XP will import it without complaining, creating the '??????' item in the IE right-click menu. The msconfig.exe file will always stay in memory, reinstalling the hijack every 5 seconds. Killing the process, deleting the file and restoring the IE homepages/search pages fixes this hijack.



The real Windows file msconfig.exe can be download here, if you can't restore it from your Windows Setup CD for some reason.




[/quote]

El link que ofrecen para la descarga del MSCONFIG.EXE real es:



http://www.spywareinfo.com/~merijn/winfiles.html



Podría ser que se tratara de dicha suplantacion



Sugiero mover el fichero MSCONFIG del disco duro a un disquete y copiar en su lugar el que bajen de dicho link, escogiendo el MSCONFIG.EXE de los varios ejecutables que ofrece para sustitucion de otros ficheros que son afectados por otras variantes.



Si con ello se resuelve el problema, rogamos nos envie una copia del fichero que movio al disquete, a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, para contestar como respuesta a este Tema, y asi poder controlar este bicho.



saludos



ms, 3-11-2004

[Lagrange]

se me olvidó comentar lo último:



Arranco en modo seguro y me cargué dso Exploits satisfactoriamente. No me encontró nada respecto cws. los dsw ni hj me encontraron nada.



Luego en modo normal hice pruebas. al iniciar sistema no aparecia. Probe a iniciar programas, el msn 7 no dio problemas, el emule tampoco, mozilla evidentemente tampoco, pero cuando abri el explorer y pase el spybot me apareció. lo reparó, y no volvia a aparecer (¿puedo estar seguro en esta sesión?). Arranque avant browser y volvio aparecer y spy lo volvio a reparar.



Hoy voy a desistalar avantbrowser a ver que tal.



Aun así como puedo saber donde se aloja la mama de csw.msconfig?

que tipo de archivo es esta mama?

[msc hotline sat]

Se ha leido los post de respuesta precedentes ?



saludos



ms, 3-11-2004

[maura63]

Lo que te indica Msc en su post es que saques de tu ordenador el msconfig a un diskette y bajes de la pagina que te ofrece Spywareinform el original MSCONFIG.EXE y lo copies en el lugar del otro.



Del que extraigas de tu ordenador envialo a zonavirus@satinfo.es para que lo revisen.



Saludos

maura63

[msc hotline sat]

En Tema aparte, que se ha bloqueado, Lagranje ha contestado:





--------------------------------------------------------------------------------



si q lo he hecho.



y no he encontrado nada al respecto de buscar a la madre del cordero





_______________





Pues creo que se indica que puede tener el MSCONFIG reemplazado, y que lo mueva a un disquete y pruebe con el que le ofrecen en el link, y en caso de solucionar el problema, nos envie el MSCONFIG raro que copio al disquete, por poder ser fichero no original cuya ejecucion le provoque todo el desaguisado, como se explica al respecto.



saludos



ms, 3-11-2004

[Lagrange]

lo hago en modo a prueba de fallos?

supongo que si.



muchas gracias de antemano por vuestra ayuda y lo siento por lo del tema fuera de este post, me raye y no me di cuenta que era nuevo tema y no publicar respuesta.



Aún así he visto q en algunos casos le echais un vistazo a los logs de hijackthis y compañia por si hubiera algo raro, ¿podriais echarle un vistazo a los mios? estan al principio. Gracias



Venga que este p**o CSW no se resista!!!!!

[Lagrange]

en la pagina q me enlazais para bajarme el msconfig original puedo bajarme el msconfig de SP1, pero yo ya tengo instalado el SP2, ¿que hago? lo desinstalo? Me aconsejais que lo vuelva a instalar despues?

[msc hotline sat]

Pues mejor busca el MSCONFIG de otra máquina con igual sistema operativo en la qye haya instalado dicho SP2



Pero si de entrada quieres enviarnos el MSCONFIG que tienes instalado, hazlo y miramos si es correcto.



saludos



ms, 3-11-2004

[Lagrange]

Hola a todos de nuevo,



Primero decir q el problema del coolwwwsearch.msconfig esta solucionado. Finalmente se debia a un error de lectura del spybot, ya q tomaba las entradas del explorador Avant browser (modifcador de IE y no buscador propio como opera) como modificaciones de CWS. Desinstalado el buscador se acabo el problema, no ha vuelto a aparecer.



Pero ahora tengo otras dudas, debidas a los firewall (si hay otro foro indicarmelo pq no lo he visto):

Tengo el de Panda (la última versión) y no se si es del todo fiable, hasta ahora tenia ZOne Alarm, pero me ha caducado. Por supuesto te4ngo el de SP2. ¿cual dejo enchufao? Ultimamente tengo muchos intentos de entrada, q ZA bloqueaba, pero estos firewalls no me docen nada de bloqueos.

¿Es normal sufrir tanto acoso?

¿Busco otra vez un ZA?



Muchas gracias.

[maura63]

Puedes descargar la version gratuita de ZA de aqui



ZONE ALARM 5.1.033 EN INGLES





http://www.vsantivirus.com/otros.htm#otr



Estar conectado a internet es sufrir el ataque de intrusos por eso se utilizan los antivirus y cortafuegos.



Damos como solucionado el problema y cerramos.



Saludos

maura63