Autor Tema: Algunas dudas. (Leído 7053 veces)

Midomar3D · « **en:** 15 de Junio de 2004, 06:25:59 pm »

Ayer tarde me encontre con las consecuencias que provocan los siguientes archivos cnbabe.dll, cnmib.dll, unins.exe y BabeIE.exe y me llevarón por la calle la amargura hasta que el ad-ware me los identifico y elimino. Despues de esta experiencia me han surgido algunas dudas y quisiera que me las aclareis si es posible.

- ¿Como y por donde se han colado estos dichosos archivos en mi pc? Tengo el Norton Personal Firewall activado y no me lo detecto.

- ¿ Porque si estuve navegando desde las 15:30 hasta las 17:00 en este foro sin ningún problema, a las 19:00 cuando inicie de nuevo el ordenador me encuentro con los dichosos efectos de la pagina en blanco? ¿Pueden estar sin activarse desde el sabado?

- ¿ Este tipo de programas afecta a la transferencia por ftp? Despues de limpiar todo, no consegui subir unos archivos por ftp a mi sitio web y todo me se notaba más relentizado.

Saludos. :wink:

Erebus · « **Respuesta #1 en:** 15 de Junio de 2004, 06:46:39 pm »

Cita de: Midomar3D

Ayer tarde me encontre con las consecuencias que provocan los siguientes archivos cnbabe.dll, cnmib.dll, unins.exe y BabeIE.exe y me llevarón por la calle la amargura hasta que el ad-ware me los identifico y elimino. Despues de esta experiencia me han surgido algunas dudas y quisiera que me las aclareis si es posible.

Los archivos en cuestión son parte del programa BabeIE, que es un spyware conocido. Según lo que he leido, se instala como una barra en el IE.

Cita de: Midomar3D

- ¿Como y por donde se han colado estos dichosos archivos en mi pc? Tengo el Norton Personal Firewall activado y no me lo detecto.

No entiendo que tiene que ver un firewall con esto.

Usualmente, programas como este son instalados como BHO (Browser Helper Objects) del Internet Explorer cuando un control ActiveX o complemento solicita instalación. (La ventanita donde te pregunta si quieres instalar tal o cual programa).

Al no ser aplicaciones en todo el sentido de la palabra sino extensiones del navegador es muy dificil que el firewall detecte la salida o entrada de datos a este programa (lo que es su función), ya que usa para ello una aplicación permitida que es el IE.

Esos son los riesgos de continuar usando el Internet Explorer.

Cita de: Midomar3D

- ¿ Porque si estuve navegando desde las 15:30 hasta las 17:00 en este foro sin ningún problema, a las 19:00 cuando inicie de nuevo el ordenador me encuentro con los dichosos efectos de la pagina en blanco? ¿Pueden estar sin activarse desde el sabado?

Porque tu navegador tenía que reiniciarse para que vieras los efectos.

Cita de: Midomar3D

- ¿ Este tipo de programas afecta a la transferencia por ftp? Despues de limpiar todo, no consegui subir unos archivos por ftp a mi sitio web y todo me se notaba más relentizado.

No lo creo. Pero si estas usando el IE para subir archivos a tu sitio web y el IE se vio afectado por este complemento malicioso, es muy probable que aun queden efectos secundarios... Hace mucho tiempo que no uso el IE, asi que no te puedo ayudar a restaurarlo.

Saludos
Erebus

PD. Usa un navegador distinto de IE, te ahorraras disgustos y sustos... has eso por tu paz mental.

FatsGordon · « **Respuesta #2 en:** 15 de Junio de 2004, 07:14:53 pm »

Erebus tiene razón, Midomar.

Por favor, bajate el HijackThis de http://www.spywareinfo.com/~merijn/files/HijackThis.exe , ponelo en una carpeta propia, como por ejemplo C:\HijackThis, y abrilo. Apretá Scan, luego Save log, luego Aceptar y por último, en el Bloc de notas que te aparece seleccioná todo, copialo y pegalo en este mismo hilo. Vamos a eliminar el BHO.

Muchas gracias!

Midomar3D · « **Respuesta #3 en:** 15 de Junio de 2004, 10:45:56 pm »

Gracias por las aclaraciones, pues me han sido de gran utilidad para saber como he sido afectado. El tema es que yo no suelo usar el ie sino el mozilla firefox, pero este sabado pasado estuvo uno de mis sobrinos en mi casa y siempre que viene se conecta con el ie en las paginas de juegos online, asi que tendré que darle un toque de atención.

De nuevo, muchas gracias. :wink:

Midomar3D · « **Respuesta #4 en:** 15 de Junio de 2004, 10:50:25 pm »

Log del HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 22:48:20, on 15/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Alcor Micro Corp\Sunkist\Sunkist.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\ARCHIV~1\INCRED~1\bin\IMAPP.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Archivos de programa\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Sunkist] C:\Archivos de programa\Alcor Micro Corp\Sunkist\Sunkist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\ARCHIV~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: TurboDownload (HKLM)
O9 - Extra button: Whois (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38141.7688310185
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

FatsGordon · « **Respuesta #5 en:** 15 de Junio de 2004, 10:50:57 pm »

Igualmente haceme caso y bajate el HT. Publicá el log y veremos qué tenés.

Midomar3D · « **Respuesta #6 en:** 15 de Junio de 2004, 11:18:08 pm »

Nos debemos haber cruzado, el log lo tienes en el post de más arriba.

destroyer · « **Respuesta #7 en:** 15 de Junio de 2004, 11:24:38 pm »

:D antelación..... :wink:

FatsGordon · « **Respuesta #8 en:** 15 de Junio de 2004, 11:56:28 pm »

:D

Primero, actualizá todo a sus respectivos Service Packs 1, tanto el XP como el IE. Lo mismo con los parches, critical updates y otras yerbas (menú Herramientas->Windows update en Internet Explorer).

Luego:

Abrí el Bloc de notas y copiá/pegá lo que está abajo en negrita. Guardalo en C:\ como URLRepair.reg (Cambiá el "Guardar como tipo" a "Todos los archivos (*.*)").

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"=""

Buscalo en C:\ y hacele doble click (ejecutalo). Te va a preguntar algo. Decile que sí. Te va a responder que fue exitoso.

A continuación cerrá todos los programas que estén abiertos y todas las ventanas de navegador, y abrí el HijackThis. Presioná Scan y poné una marca en SOLO las siguientes entradas:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

Los O16 son los Downloaded Program Files o DPF, y son componentes ActiveX. Si te interesa por algún motivo alguno de ellos, no lo marques.

Reiniciá la máquina y publicá un nuevo log del HT.

Midomar3D · « **Respuesta #9 en:** 16 de Junio de 2004, 12:01:06 am »

Gracias amigo por tú ayuda, ahora he de marchar a la cama que hay que madrugar, mañana intentaré hacer lo que me indicas, eso si, si me da tiempo antes del partido de España. :lol: :wink:

Noticias:

Autor Tema: Algunas dudas. (Leído 7053 veces)

Midomar3D

Algunas dudas.

Erebus

Re: Algunas dudas.

FatsGordon

Algunas dudas.

Midomar3D

Algunas dudas.

Midomar3D

Algunas dudas.

FatsGordon

Algunas dudas.

Midomar3D

Algunas dudas.

destroyer

Algunas dudas.

FatsGordon

Algunas dudas.

Midomar3D

Algunas dudas.