Problemas redireccion a otras webs

Markos · Mensaje por **Markos** » 27 May 2004, 22:12

Hola! Tengo un pequeño - gran problema.

Os cuento, a veces, cuando abro Internet Explorer, y voy a cualquier web, se me redirecciona a web pornos, :? , así, solo. Me he dado cuenta que cuando esto pasa, es porque se ejecutan en el administrador de tareas archivos .dat, con nombres estilo: ebbb.dat o jghp.dat, etc.

Luego ya no me pasa, pero al reiniciar, cuando vuelvo a empezar a navegar, me vuelve a ocurrir. Ya he pasado SpyBot, Ad-Aware y CWShredder y una vez todo limpio, al reiniciar, vuelve a ocurrir. También he pasado Panda On Line, y no tengo virus.

Alguna idea? Si me aconsejais usar Hi-Jack! explicarme como se usa, porque no tengo ni idea.

Un saludo, y gracias!

Daniel · Mensaje por **Daniel** » 28 May 2004, 00:57

Sería bueno que tengas un antivirus residente, lo actualices y lo pases en modo seguro.

Sería bueno tener algunos datos más. ¿qué sistema operativo tenés?

Daniel · Mensaje por **Daniel** » 28 May 2004, 01:05

Mirate estos links suministrados por Maura63

Para eliminación de intrusos con páginas de inicio no restaurables, secuestro del navegador , dialers, etc,

http://www.zonavirus.com/descargas/tren ... redder.asp

Descargalo de uno de los dos sitios, lo guardas en disco, y ejecutalo en modo a prueba de fallos pulsando F8 repetidas veces al encender.

Te recomiendo, como en el post anterior pásalo en modo seguro a como dice Maura63, no sólo el antivirus sino también estos, ya que ya tienes el CWShredder.exe, trata de hacerlo a modo prueba de fallos.

Nos cuentas como sales.

Dios te Bendiga

Markos · Mensaje por **Markos** » 28 May 2004, 01:37

Gracias por las respuestas pero ni CWShredder, ni SpyBot, ni Ad-Aware me solucionan el problema. Aun reiniciando en modo a prueba de fallos se me crean archivos justo cuando me redirecciona:

kjon.dat

ebbb.dat

etc, etc, etc...

Estos archivos se crean en el momento de la redirección, y se están ejecutando en el Administrador de tareas (no son .EXE y lo hacen!).

Se crean en C:\Documents & Settings\Marcos\Configuración Local\Temp

Mi página de inicio sigue estando ahí, el problema es cuando abro otras ventanas, o navego un rato, me redirecciona a http://www.my-daily-pics.com y a otra web por el estilo. Luego pasa cada cierto tiempo, esporádicamente.

Una ayuda por favor!

Mi sistema operativo es Windows XP Home

Mensaje por **flacoroo** » 28 May 2004, 02:15

Son muchas las variantes del StarPage, todas caracterizadas por la instalacion de una pagina de inicio no deseada.

Para su eliminacion, vamos acumulando en nuestras versiones del ELISTARA.EXE las rutinas de control de las muestras recibidas al respecto, y que son implementadas día a día para eliminar las nuevas variantes de este virus

---v1.9---(26 de Mayo del 2004) (Elimina SYSTEM32.EXE
---v2.0---(27 de Mayo del 2004) (para Startpage-DL)

Descargar y ejecutar ELISTARA
http://www.zonavirus.com/descargas/elistara.asp

nos dices como te fue.....

carolxsiempre · Mensaje por **carolxsiempre** » 28 May 2004, 02:42

El hijackthis lo corres le das un scan y para grabar el resultado antes de eliminar algo presionas save log le pones un nombre y pegas el resultado como respuesta a éste post, asi podremos ayudarte mejor.

Saludos

Carolxsiempre

Markos · Mensaje por **Markos** » 28 May 2004, 04:28

Creo que no me habeis entendido, no es la página de inicio. Simplemente es que navego en una página, y de repente, se me cambia a http://www.your-daily-pics.com u otra similar, y en ese mismo momento se está ejecutando un archivo .DAT en el Administrador de Tareas.

Ya he reinstalado Windows XP, con lo que el SO no es, ni el Explorer, tiene que ser Spyware, o similar. Una y otra vez me sale en Spybot el DSO.Exploit aunque me dice que lo borra, vuelve a salir.

Mi log de HiJack!:

Logfile of HijackThis v1.97.7
Scan saved at 4:26:49, on 28/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Marcos\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Archivos de programa\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\RunServices: [Microsoft Update] navmgrd.exe
O4 - Global Startup: Acceso directo a Fecha.lnk = C:\Documents and Settings\Marcos\Mis documentos\FechaImport\Fecha.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37973.4527893519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -

Mensaje por **msc hotline sat** » 28 May 2004, 10:32

Aparte de lo que encuentre Carol en el script que nos has enviado, es posible que se trate de un pop-up que provoque la web que visites.

Prueba de tener el SPYWAREBLASTER residente tras haber eliminado los spywares que detectes con el SPYBOT:

Eliminacion de adwares y spywares
Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

· Spybot - Search & Destroy 1.3
SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.
Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com
http://www.zonavirus.com/descargas/spybot-sd.asp

· SpywareBlaster 3.1
http://www.zonavirus.com/descargas/spywareblaster.asp

saludos

ms, 28-05-2004

Markos · Mensaje por **Markos** » 28 May 2004, 12:48

No son popups de las webs que visito, me ocurre en cualquiera, empieza a cargarla, y de repente se ejecuta un archivo .dat en el administrador de tareas, y se redirecciona a http://www.your-daily-pics.com, y luego a otra más y se cierra el proceso y se autoelimina, así continuamente.

Una ayudita por favor :?

Markos · Mensaje por **Markos** » 28 May 2004, 13:09

Por cierto, los archivos que me crea al editarlos con el editor de MS-Dos o con el Bloc de Notas, sale en "codigo máquina", aunque se lee Kernel32.dll, y cosas así.

Mensaje por **msc hotline sat** » 28 May 2004, 13:29

Si, la web que nos indicas es una de las eroticas que instalan los Starpages y virus similares que tanto abunda.

Podria tratarse del Starpage-DL que describiamos ayer en el apartado de ALERTAS VIRICAS

Mira de enviarnos algunos de estos ficheros .DAT para analizarlos y ver de controlar este virus.

Con el Elistara ya controlamos la varainte DC del StarPage, pero la DL solo la conocemos por referencias.

http://www.zonavirus.com/descargas/elistara.asp

Sea este o el que fuera miraremos de controlarlo cuando recibamos las muestras, que debes emviarl a zonavirus@satinfo.es anexandolas a un mail cuyo texto sea un copiar y pegar de este post, y asi contestaremos como respuesta a este Tema

saludos

ms, 28-05-2004

Markos · Mensaje por **Markos** » 28 May 2004, 13:41

Ahora mismo estoy en mi facultad, en cuanto llegue a mi casa (cuestión de unas horas), les enviaré varios ficheros.

Estoy por formatear, pero con esto que me acaba de decir esperaré.

Gracias de nuevo.

Mensaje por **msc hotline sat** » 28 May 2004, 13:53

Formateando no sabrás qué hacer cuando vuelvas a tener el problema, que tendrás tan pronto entres en la web que te lo ha generado, si se trata de un spyware, o recibas la intrusion por comparticiones administraticvas, o por ports de comunicacion, aparte de ficheros que ejecutes si es un virus, por lo que te aconsejo que lo ataques de frente, y no tires la toalla (debe ser el ultimo recurso)

Cuenta con nosotros que te ayudaremos , pues en este foro hay buenos tecnicos que luchan hasta el final.

saludos

ms, 28-05-2004

Mensaje por **msc hotline sat** » 01 Jun 2004, 13:41

Recibidos los ficheros DAT que nos has enviado.

Pasamos a analizarlos y tras el examen te informaremos

saludos

ms, 1-06-2004

Mensaje por **msc hotline sat** » 02 Jun 2004, 13:15

Efectivamente, en estos ficheros DAT se ocultaban ejecutables troyanos

McAfee pasa a controlar como Rutop Trojan el bicho que contienen estos ficheros, para cuyo control nos ha enviado este EXTRA.DAT con el que se pasa a detectar y eliminar este nuevo troyano

Como siempre, debe seleccionarse el script entre lineas y hacer un copiar y pegar con el bloc de notas, y guardarlo como EXTRA.DAT, y copiar este fichero en la carpeta de los ficheros DAT del antivirus de McAfee, con lo cual será controlado:

__________________________________________

72 178 133 178 77 51 223 198 121 92 253 32 10 63 205 179

13 51 114 88 217 55 125 188 253 35 177 18 10 246 150 22

152 214 40 155 242 50 249 55 15 51 143 22 0 77 30 36

247 27 125 40 217 113 177 114 98 40 128 49 8 51 141 179

12 51 153 126 15 52 141 253 10

6319 256 12503 336 Rutop

__________________________________________

Espero que con ello soluciones el problema.

saludos

ms, 02-06-2004