Autor Tema: Sigo con el about:blank... (Leído 29379 veces)

FatsGordon · « **Respuesta #20 en:** 22 de Marzo de 2005, 09:26:48 pm »

A no desesperar!

Ya lo vamos a agarrar...

Hacé lo siguiente:

Andá a Inicio->Ejecutar, escribí msconfig y apretá Enter. Luego buscá SE.DLL en la lista de Inicio y quitalo sacándole la marca. NO REINICIES AUNQUE TE LO PIDA!!

Con CTRL+ALT+DEL invocá el Administrador de tareas, encontrá y detené el proceso Rundll32.exe, Rundll.exe o cualquier variante de Rundll que encuentres.

Ahora sí buscá SE.DLL y eliminalo. Luego corré el HT y eliminá las entradas de siempre y luego fijate cómo se llama ahora la otra dll y buscala y eliminala.

Luego reiniciá y publicá un nuevo log.

ripley · « **Respuesta #21 en:** 23 de Marzo de 2005, 12:15:42 am »

Hola Fats. Bueno, siguiendo tus instrucciones he podido eliminar la se.dll. Pero al intentar eliminar las entradas de siempre en el HT, ha aparecido otra vez "HijackThis is about to remove a BHO and the corresponding file from your system. Close all Internet windows and all Windows Explorer windows before continuing for the best chance of success", he ido a buscar la otra dll (sigue llamándose ijn.dll) y no me ha dejado eliminarla ("este archivo está en uso, etc").

Al reiniciar ha quedado todo igual. Este es el log:

Logfile of HijackThis v1.99.1
Scan saved at 23:54:19, on 22/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {6D6705D7-F6BE-4125-9040-31929D72CE32} - C:\WINDOWS\SYSTEM\IJN.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [OmgStartup] C:\Archivos de programa\Archivos comunes\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Filter: text/html - {E9DD2AD9-F70F-4A7A-8658-2113F39DEFED} - C:\WINDOWS\SYSTEM\IJN.DLL
O18 - Filter: text/plain - {E9DD2AD9-F70F-4A7A-8658-2113F39DEFED} - C:\WINDOWS\SYSTEM\IJN.DLL

Por cierto, con la ijn.dll he probado a cambiarle el nombre pero, claro, tampoco me deja...

FatsGordon · « **Respuesta #22 en:** 23 de Marzo de 2005, 08:14:19 pm »

Estoy esperando una solución enlatada de otro foro, pero podemos empezar a atacar el problema por otro lado... En principio probá de bajarte e instalar como te dije el SpywareBlaster ( http://www.javacoolsoftware.com/downloads.html ), el SpywareGuard (misma página) y el a2 ( http://www.emsisoft.org/en/software/free/ ).

Por otro lado...

Bajate el About:Buster 4.0 de http://www.majorgeeks.com/download4289.html . Creo que tenés que correrlo dos veces para limpiar todo.

Bajate también DelDomains.inf ( http://www.mvps.org/winhelp2002/DelDomains.inf ), hacele click derecho y apretá Instalar. Esto va a eliminar todos los Sitios de confianza.

Bajate el BackDoor.Agent.B.Removal.Tool de http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html , seguí las instrucciones de Symantec para correrlo y guardá el log para verlo después.

Reiniciá la máquina y corré el CWShredder usando la opción Fix en vez de Scan only. Reiniciá y volvé a generar un log de HT, y de paso pegá el de Symantec.

ripley · « **Respuesta #23 en:** 25 de Marzo de 2005, 02:35:35 am »

Hola Fats. Bueno, ya estoy aquí con la relacion de todos los procesos.
Me bajé otra vez el spywareblaster, lo instalé y, al abrirlo, me apareció otra vez el mensaje: "This program has been damaged, possibly by a bad sector of the hard drive or a virus. Please reinstall it". Me bajé el spywareguard y el a2 y los instalé. También bajé y instalé el Aboutbuster, el DelDomains y el Backdoor.Agent.B. Removal. Tool. Cuando los tuve todos instalados, deshabilité Restaurar Sistema y reinicié en modo seguro.

Hice un scan con el a2 y me encontró esto:

Nom del fitxer   Diagnosi
c:\WINDOWS\Downloaded Program Files\CONFLICT.1\sp.exe   Trojan.Win32.Spooner.f
c:\WINDOWS\Downloaded Program Files\sp.exe   Trojan.Win32.Spooner.f
c:\WINDOWS\Downloaded Program Files\CONFLICT.2\sp.exe   Trojan.Win32.Spooner.f
c:\Mis documentos\Eduard\Internet\MAILS\vueltecita.bat   not-virus:Joke.Win32.Train
c:\Archivos de programa\Archivos comunes\rrlllpea\tpahfenl\nbltnejf.exe   Backdoor.Agent.ay
c:\Archivos de programa\Archivos comunes\rrlllpea\rlfhdnacrp\fdlrnfljd.exe   Backdoor.Agent.ay
c:\BDE\bdeviewer.exe   Trojan.Win32.Krepper.y

Los eliminé todos (menos el joke) sin ningún problema.

Ejecuté el About Buster y empezaron a salir continuamente mensajes tipo así:

BROWSER HIJACK ALERT - BROWSER PAGE CHANGED
On 21:13:57 03/24/2005 a browser page change was detected.
Registry Location: HKCU\Software\Microsoft\Internet Explorer\Main\
Value Name: Start Page
Old Value: http://www.daboweb.com/
New Value: about:blank
User Action Taken: RESTORE OLD VALUE

Cliqué con el botón derecho a DelDomains.inf y le di a instalar. Quizás hizo alguna cosa pero yo no me enteré, pues no apareció ningúna acción o mensaje especial. De hecho sólo aparecían los mensajes de

BROWSER HIJACK ALERT - BROWSER PAGE CHANGED
On 21:13:57 03/24/2005 a browser page change was detected.
Registry Location: HKCU\Software\Microsoft\Internet Explorer\Main\
Value Name: Start Page
Old Value: http://www.daboweb.com/
New Value: about:blank
User Action Taken: RESTORE OLD VALUE

Etc…

Pasé el Backdoor.Agent.B. Removal. Tool. y no encontró nada:

Symantec Backdoor.Agent.B Removal Tool 1.0.1.2

Backdoor.Agent.B has not been found on your computer. Symantec Backdoor.Agent.B Removal Tool 1.0.1.2

Backdoor.Agent.B has not been found on your computer.

Reinicié en modo seguro y pasé el CWShredder, que eliminó el de siempre: CWS HiddenDll y luego hice un scan con Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:51:11, on 24/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [OmgStartup] C:\Archivos de programa\Archivos comunes\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Eliminé las entradas habituales y esta vez no me dio problemas y las eliminó todas. Me fui a Temp y eliminé sin problemas el SE.DLL. Me fui a System para eliminar el IJN.DLL y ya no estaba! :!: :!: Eliminé también los temporales de Internet, las Cookies y todo lo que había en la carpeta TEMP. El nuevo log de HT es este:

Logfile of HijackThis v1.99.1
Scan saved at 0:45:19, on 25/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\SGMAIN.EXE
C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\SGBHP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daboweb.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [OmgStartup] C:\Archivos de programa\Archivos comunes\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - HKCU\..\RunServices: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Para asegurarme bloqueé la pagina de inicio de Internet con el Anti-Secuestrador IE. También le he pasado el AdAware (sólo encontró uno y creo que se referia al programa que bloqueaba la página de inicio de Internet), el Spybot, que encontró, una vez más, el DSO Exploit:

DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

También pasé el CWShredder (ya no encontró ningún CWS Hidden Dll), otra vez el About Buster y otra vez también el a2.

También le pasé el Ccleaner y tengo una duda: en la tercera pestaña, la de Registro, me encontró 2 entradas de Active X/COM con los datos CmdLineExt y 15 entradas de Active X/COM con los datos In Proc Server 32/ C:/ Windows/ System/ IJN.DLL. Como el botón no es "Eliminar" sinó "Reparar problemas" he pensado que igual lo restauraba y volvería otra vez al principio, así que no lo he tocado. Qué hago con esas entradas?

Finalmente, he quitado la marca a deshabilitar Restaurar Sistema y he reiniciado ya en modo normal. De momento no hay señales del SE.DLL, ni del IJN.DLL, aunque no me fío. He ido a Ejecutar/ msconfig y en la pestaña Inicio continúa el Sp sin marca. También he ido a Regedit (sólo a mirar) y he visto que en HKEY LOCAL MACHINE / SOFTWARE / Microsoft/ Windows / Current Version / Run aún está el Se.dll. Pero ahí no he tocado nada porque eso es chino para mí.

En fin, toda esta novela la he escrito en el Word de mi PC. Ahora viene la prueba: conectarme a Internet para copiarlo y poner este mensaje en el foro. Espero que no se me instale la mierda del About: blank otra vez...

Bueno, qué opinas?

FatsGordon · « **Respuesta #24 en:** 28 de Marzo de 2005, 11:00:32 pm »

Bueno, parece que tuvimos algun éxito con lo que intentaste... Por las dudas escribo bajito, a ver si me escucha tu máquina y se rebela... :lol: :lol:

Por favor, mantenenos al tanto de lo que suceda, y en lo posible tratá de navegar por sitios seguros...

El log del HT se ve perfectamente normal, espero que siga así. Me llama la atención lo del SpywareBlaster... Es muy extraño. ¿Te fijaste por ejemplo en Google si alguien más tuvo ese problema y cómo lo solucionaron?

Comentanos cómo anda todo...

ripley · « **Respuesta #25 en:** 29 de Marzo de 2005, 01:54:14 pm »

Hola Fats. Hoy he vuelto al trabajo y aprovecho para enviar este mensaje; en casa ya no me puedo conectar. Bueno, en efecto, me conecté a Internet y volvió otra vez el se.dll, se me cambió la página de inicio a aboutblank, etc...

Esta vez el otro archivo dll que se instaló en Windows / System era cnke.dll, en vez del ijn.dll. Repetí las operaciones de la última limpieza y pude eliminar el se.dll y el cnke.dll Creo que con las herramientas y programas que tengo ahora al menos puedo eliminarlo (aunque pienso que el spywareblaster me ayudaría mucho y me jode no poderlo utilizar; he buscado en google problemas como los que me presenta a mí a la hora de abrir spywareblaster y no he encontrado nada... :x ).

Pero lo que está claro que aún no puedo hacer es evitar que vuelva todo cada vez que me conecto a Internet. He estado leyendo y buscando en muchas páginas y deduzco que quizás lo que hay que hacer es eliminar toda presencia del sp o del se.dll en msconfig / Inicio y en regedit. Puede ser? Cómo lo hago? Qué pasos debo seguir?

Tengo la sensación que estoy cerca del final, sólo me falta saber qué hay que hacer para erradicarlo del todo y que no vuelva cuando me conecto a Internet.

Una vez más, gracias por la paciencia y la ayuda.

FatsGordon · « **Respuesta #26 en:** 29 de Marzo de 2005, 05:18:44 pm »

Bajate el Registrar Lite de http://www.resplendence.com/reglite , que es un editor del registro de Windows más completo que el Regedit. Abrilo y hacé una búsqueda del se.dll y del otro, y comentame en qué líneas del registro aparecen (fijate que tenés una barra de direcciones, copiá lo que allí aparece y el contenido, y pegalo acá).

Con respecto al msconfig eso es simplemente para sacar la tarea rundll32.exe y evitar que no se pueda eliminar la biblioteca.

Sería interesante poder extractar de todo esto un método, aunque más no sea rudimentario, como para poder ayudar a otros. Si no es mucho pedir, tal vez podrías ir anotando en una libreta paso a paso lo que vas haciendo, y is tenemos éxito te lo publicamos (de tu autoría, obviamente), como el método Ripley para la eliminación del about:blank en su versión SE.DLL ... ¿Qué te parece? :D

ripley · « **Respuesta #27 en:** 31 de Marzo de 2005, 02:25:51 pm »

Bueno, ya estoy aquí. Aquí está el resultado de la búsqueda que hice con Reglite (espero que sea esto lo que me pedías). Busqué por se.dll y por cnke.dll, pero también busqué por ijn.dll, sp.exe y sp.html y por about blank. Bueno, esto es lo que encontré:

Keyname:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-\\sp

Value name:

Sp

Type:

REG_SZ

Size:

43

Value:

rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

Keyname:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-

Value name:

(default)

Type:

REG_SZ

Size:

1

Value:

Keyname:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Value name:

(default)

Type:

REG_SZ

Size:

1

Value:

Keyname:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Value name:

000

Type:

REG_SZ

Size:

12

Value:

doubleclick

Keyname:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Value name:

001

Type:

REG_SZ

Size:

8

Value:

Ijn.dll

Keyname:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Value name:

002

Type:

REG_SZ

Size:

9

Value:

cnke.dll

Keyname:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Value name:

003

Type:

REG_SZ

Size:

7

Value:

Se.dll

Keyname:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Value name:

004

Type:

REG_SZ

Size:

11

Value:

search bar

Keyname:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Value name:

005

Type:

REG_SZ

Size:

12

Value:

about blank

Keyname:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Value name:

006

Type:

REG_SZ

Size:

7

Value:

sp.exe

Keyname:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Value name:

007

Type:

REG_SZ

Size:

3

Value:

sp

Keyname:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Value name:

008

Type:

REG_SZ

Size:

8

Value:

sp.html

Keyname:

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{537931B4-7A02-4206-8B69-1B1E14BEB319}\InProcServer32

Value name:

(default)

Type:

REG_SZ

Size:

27

Value:

C:\WINDOWS\SYSTEM\CNKE.DLL

(De esta encontré varias, donde todo era lo mismo menos el nombre exacto de keyname)

Keyname:

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{537931B4-7A02-4206-8B69-1B1E14BEB319}\InProcServer32

Value name:

ThreadingModel

Type:

REG_SZ

Size:

10

Value:

Apartment

Keyname:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall

Value name:

(default)

Type:

REG_SZ

Size:

1

Value:

Keyname:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall

Value name:

DisplayName

Type:

REG_SZ

Size:

27

Value:

Search Assistant Uninstall

Keyname:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall

Value name:

UninstallString

Type:

REG_SZ

Size:

42

Value:

regsvr32 /s /u C:\WINDOWS\SYSTEM\CNKE.DLL

Keyname:

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{65CCFA40-2301-4F76-9FAD-78BDFB6FE66A}\InProcServer32

Value name:

(default)

Type:

REG_SZ

Size:

26

Value:

C:\WINDOWS\SYSTEM\IJN.DLL

(De esta encontré varias, donde todo era lo mismo menos el nombre exacto de keyname)

Keyname:

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{65CCFA40-2301-4F76-9FAD-78BDFB6FE66A}\InProcServer32

Value name:

ThreadingModel

Type:

REG_SZ

Size:

10

Value:

Apartment

Se supone que si elimino estas entradas acabaré con la posibilidad que tiene de regenerarse todo cuando me conecto a Internet? Desaparecerá "sp" de msconfig /Inicio, aunqué ya no esté marcada? En fin, estoy ansioso. :roll: Espero instrucciones

En cuanto a lo que me comentas de hacer una guía de los pasos que he seguido para eliminar el se.dll y publicarlo, me parece una idea estupenda. Aunque sólo sirva para que una sola persona se libre fácilmente de este calvario, ya lo vale. :lol:

Iré haciendo una recopilación. Es lo mínimo que puedo hacer después de la ayuda que he recibido. :wink:

FatsGordon · « **Respuesta #28 en:** 31 de Marzo de 2005, 05:24:41 pm »

A mi me parece que muchas de esas entradas del registro se pueden eliminar, pero preferiría que algun experto/a me lo confirme. Incluso me parece que las que tienen un signo menos es porque están deshabilitadas (el caso de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- por ejemplo).

ripley · « **Respuesta #29 en:** 01 de Abril de 2005, 12:23:10 pm »

Vale, espero confirmación pues.

Gracias

Noticias:

Autor Tema: Sigo con el about:blank... (Leído 29379 veces)