Secuestro de mi navegador

Tema en 'Seguridad informática' comenzado por castlecat, 11/11/04.

Estado del tema:
No está abierto para más respuestas.
  1. castlecat

    castlecat Nuevo Miembro Miembro

    Hola. Tengo el problema que tantas veces veo repetido en vuestro foro sobre el secuestro del navegador. Os agradecería mucho que me ayudaseis a solucionarlo, porque aunque lo he intentado siguiendo las indicaciones dadas a otros usuarios no lo he conseguido. Adjunto el log de HijackThis. Muchas gracias de antemano por vuestra ayuda.



    Logfile of HijackThis v1.98.2

    Scan saved at 19:56:47, on 11/11/2004

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 (6.00.2600.0000)



    Running processes:

    D:\WINDOWS\System32\smss.exe

    D:\WINDOWS\system32\winlogon.exe

    D:\WINDOWS\system32\services.exe

    D:\WINDOWS\system32\lsass.exe

    D:\WINDOWS\system32\svchost.exe

    D:\WINDOWS\System32\svchost.exe

    D:\WINDOWS\system32\LEXBCES.EXE

    D:\WINDOWS\system32\spoolsv.exe

    D:\WINDOWS\system32\LEXPPS.EXE

    D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

    D:\OfficeScan\ntrtscan.exe

    D:\WINDOWS\System32\svchost.exe

    D:\OfficeScan\tmlisten.exe

    D:\WINDOWS\system32\ZoneLabs\vsmon.exe

    D:\WINDOWS\Explorer.EXE

    D:\WINDOWS\System32\pcssfrrx.exe

    D:\OfficeScan\ofcdog.exe

    D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    D:\WINDOWS\SOUNDMAN.EXE

    D:\Archivos de programa\Ahead\InCD\InCD.exe

    D:\Archivos de programa\Classic PhoneTools\CapFax.EXE

    D:\OfficeScan\pccntmon.exe

    D:\WINDOWS\System32\LXSUPMON.EXE

    D:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

    D:\WINDOWS\System32\ctfmon.exe

    D:\Archivos de programa\Messenger\msmsgs.exe

    D:\Archivos de programa\ATI Multimedia\RemCtrl\ATIX10.exe

    D:\Archivos de programa\ATI Multimedia\main\launchpd.exe

    D:\WINDOWS\System32\rundll32.exe

    D:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

    D:\OfficeScan\pccntupd.exe

    D:\WINDOWS\System32\wuauclt.exe

    D:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\HIJACKTHIS\HijackThis.exe



    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,,pcssfrrx.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: (no name) - {8CE7AC0F-CC7D-4AE8-BD59-97BB47C3DAF0} - D:\WINDOWS\System32\edljfd.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

    O4 - HKLM\..\Run: [ATIPTA] D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [codfxrun] "D:\Archivos de programa\ATI Multimedia\codfx.exe"

    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

    O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [InCD] D:\Archivos de programa\Ahead\InCD\InCD.exe

    O4 - HKLM\..\Run: [CapFax] D:\Archivos de programa\Classic PhoneTools\CapFax.EXE

    O4 - HKLM\..\Run: [OfficeScanNT Monitor] "D:\OfficeScan\pccntmon.exe"

    O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN

    O4 - HKLM\..\Run: [OpwareSE2] "D:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [ATI Remote Control] D:\Archivos de programa\ATI Multimedia\RemCtrl\ATIX10.exe

    O4 - HKCU\..\Run: [ATI Launchpad] "D:\Archivos de programa\ATI Multimedia\main\launchpd.exe"

    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

    O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

    O4 - Global Startup: ZoneAlarm.lnk = D:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - D:\Archivos de programa\ATI Multimedia\TV\EXPLBAR.DLL

    O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-pillamusica9\entrar.html

    O17 - HKLM\System\CCS\Services\Tcpip\..\{BF63549C-103B-4D10-AC9C-1F764EE739BE}: NameServer = 212.59.199.2 212.59.199.6

    O18 - Filter: text/html - {FC24DD71-3A5F-4169-9EB0-A914B6B8FF6C} - D:\WINDOWS\System32\edljfd.dll

    O18 - Filter: text/plain - {FC24DD71-3A5F-4169-9EB0-A914B6B8FF6C} - D:\WINDOWS\System32\edljfd.dll
     
  2. alnitak

    alnitak Nuevo Miembro Miembro



    Hola



    Si dispones de un punto de restauración anterior a los problemas puedes intentar usarlo y después tomar otro log, si no dispones de un punto de restauración sigue las siguientes instrucciones:



    Baja este remover:



    https://beta.activeupdate.trendmicro.com/fi...gentv1.0007.zip



    y bajate el disk cleaner.



    http://www.trucoswindows.net/detalles-110-...ner_151190.html



    Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:



    Mostrar archivos ocultos



    Desactiva la opción de restaurar el sistema:



    Como activar/desactivar restaurar el sistema



    Reinicia el sistema en modo seguro:



    Como reiniciar a prueba de fallos



    Ejecuta el HijackThis.



    Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)



    Corre el HijackThis, dale a Scan , cheka las casillas de las siguientes entradas y dale a fix:



    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank



    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,,pcssfrrx.exe



    O2 - BHO: (no name) - {8CE7AC0F-CC7D-4AE8-BD59-97BB47C3DAF0} - D:\WINDOWS\System32\edljfd.dll



    O18 - Filter: text/html - {FC24DD71-3A5F-4169-9EB0-A914B6B8FF6C} - D:\WINDOWS\System32\edljfd.dll

    O18 - Filter: text/plain - {FC24DD71-3A5F-4169-9EB0-A914B6B8FF6C} - D:\WINDOWS\System32\edljfd.dll



    Cierra el HijackThis, elimina los archivos temporales y cookies con el el Disk Cleaner:



    Lo ejecutas, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.



    Elimina estos archivos si existen:



    D:\WINDOWS\System32\edljfd.dll



    Renombra este archivo de .exe a .bak



    pcssfrrx.exe



    Ejecuta el remover que te has bajado a ver si encuentra algo



    Reinicia normalmente y reactiva la opción de restaurar el sistema.



    Instala la ultima versión de Ad Aware, actualízalo y escanéate para que termine de limpiar.



    Actualiza tu sistema a través del Windows Update



    Toma otro log después de seguir todas las instrucciones



     
  3. castlecat

    castlecat Nuevo Miembro Miembro

    ¡Fantástico! El problema ha desaparecido y ya no me elimina la página de inicio del navegador. Sin embargo, hay algo que no me queda claro: tras hacer un chequeo y limpieza con el Ad-Aware en el nuevo chequeo ya no detecta ninguna anomalía, pero sin embargo cuando realizo un chequeo con el Spy&Boot localiza como problemas 5 entradas de DSO Exploit:



    HKEY_USERS\S-1-5-18\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3



    HKEY_USERS\S-1-5-21\1708537768-1604221776-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones...



    HKEY_USERS\S-1-5-20\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3



    HKEY_USERS\S-1-5-19\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3



    HKEY_USERS\DEFAULT\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004\!=W=3



    Aunque cada vez que realizo el chequeo selecciono la opción de borrarlas vuelven a aparecer en el siguiente. ¿Tiene alguna importancia?



    Muchísimas gracias por tu ayuda. Te envío el log de HijackThis:



    Logfile of HijackThis v1.98.2

    Scan saved at 1:51:08, on 13/11/2004

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 (6.00.2600.0000)



    Running processes:

    D:\WINDOWS\System32\smss.exe

    D:\WINDOWS\system32\winlogon.exe

    D:\WINDOWS\system32\services.exe

    D:\WINDOWS\system32\lsass.exe

    D:\WINDOWS\system32\svchost.exe

    D:\WINDOWS\System32\svchost.exe

    D:\WINDOWS\Explorer.EXE

    D:\WINDOWS\system32\LEXBCES.EXE

    D:\WINDOWS\system32\spoolsv.exe

    D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

    D:\OfficeScan\ntrtscan.exe

    D:\WINDOWS\system32\LEXPPS.EXE

    D:\WINDOWS\System32\svchost.exe

    D:\OfficeScan\tmlisten.exe

    D:\WINDOWS\system32\ZoneLabs\vsmon.exe

    D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    D:\OfficeScan\ofcdog.exe

    D:\WINDOWS\SOUNDMAN.EXE

    D:\Archivos de programa\Ahead\InCD\InCD.exe

    D:\Archivos de programa\Classic PhoneTools\CapFax.EXE

    D:\OfficeScan\pccntmon.exe

    D:\WINDOWS\System32\LXSUPMON.EXE

    D:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

    D:\WINDOWS\System32\ctfmon.exe

    D:\Archivos de programa\Messenger\msmsgs.exe

    D:\Archivos de programa\ATI Multimedia\RemCtrl\ATIX10.exe

    D:\Archivos de programa\ATI Multimedia\main\launchpd.exe

    D:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

    D:\WINDOWS\System32\rundll32.exe

    D:\OfficeScan\pccntupd.exe

    D:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

    C:\HIJACKTHIS\HijackThis.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.as.com/

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

    O4 - HKLM\..\Run: [ATIPTA] D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [codfxrun] "D:\Archivos de programa\ATI Multimedia\codfx.exe"

    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

    O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [InCD] D:\Archivos de programa\Ahead\InCD\InCD.exe

    O4 - HKLM\..\Run: [CapFax] D:\Archivos de programa\Classic PhoneTools\CapFax.EXE

    O4 - HKLM\..\Run: [OfficeScanNT Monitor] "D:\OfficeScan\pccntmon.exe"

    O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN

    O4 - HKLM\..\Run: [OpwareSE2] "D:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [ATI Remote Control] D:\Archivos de programa\ATI Multimedia\RemCtrl\ATIX10.exe

    O4 - HKCU\..\Run: [ATI Launchpad] "D:\Archivos de programa\ATI Multimedia\main\launchpd.exe"

    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

    O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

    O4 - Global Startup: ZoneAlarm.lnk = D:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - D:\Archivos de programa\ATI Multimedia\TV\EXPLBAR.DLL

    O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-pillamusica9\entrar.html
     
  4. Arwing

    Arwing Guest

    Hola, marca ésta otra entrada:



    O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-pillamusica9\entrar.html



    Por lo demás tu log está limpio. Acerca del DSO Exploit, parece ser que sólo SpyBot lo detecta en todas las máquinas, de hecho es el único que lo detecta. Pero yo no he sabido de ningún malware o atacante que aproveche este "exploit". Así que no le tomes importancia.



    Arwing
     
  5. alnitak

    alnitak Nuevo Miembro Miembro

    Para acabar con el reporte del dso exploit puedes bajarte la herramienta que sale en esta pagina:



    http://www.nsclean.com/dsostop.html



    En realidad no hace ninguna falta, Microsoft lo ha parcheado hace un siglo y es mas bien una de las tantas falsas alarmas de SpyBot
     
  6. castlecat

    castlecat Nuevo Miembro Miembro

    Muchísimas gracias por vuestra ayuda. Sois geniales.

    Hasta pronto.
     
Estado del tema:
No está abierto para más respuestas.

Comparte esta página