Autor Tema: Ayuda con un possible browser hijack (Leído 6704 veces)

odio_los_virus · « **en:** 22 de Agosto de 2004, 10:53:10 am »

Hola a todos!
A ver si alguien me puede echar una mano. Resulta que paso el ad-aware actualizado y me sale un aviso de un posible secuestro del navegador relacionado con la página de inicio about:blank. Lo elimino, vuelvo a pasar el ad-aware y desaparece el aviso. Mi problema es que cuando vuelvo a abrir el internet explorer, me ha cambiado mi página de inicio, yo tenía puesta la página en blanco, así que supongo que el cambio tiene que ver con lo que he hecho con el adware. El caso es que si pongo otra vez la página en blanco como página de inicio y paso de nuevo el adware, me vuelve a aparecer el aviso de posible secuestro del navegador.
No sé si se me habrá entendido, pero resumiendo mi duda es que no sé si tengo el navegador secuestrado porque el aviso sólo sale cuando la página de inicio del internet explorer es about:blank, y soy yo la que pone esa página, no se pone sola, de hecho nunca he tenido problemas con la página de inicio, siempre aparece la que yo elijo.
Lo gracioso del tema es que ya no uso el internet explorer sino el firefox.

Después de todo este rollo aquí dejo el log que me sale al pasar el adware:

Lavasoft Ad-aware Personal Build 6.181
Logfile creado:domingo, 22 de agosto de 2004 9:40:07
Created with Ad-aware Personal, free for private use.
Usando archivo de referencia:01R338 19.08.2004
______________________________________________________

Ad-aware Settings
=========================
Juego : Activar escaneo en profundidad
Juego : Modo seguro (siempre pide una confirmación)
Juego : Escanear procesos activos
Juego : Escanear registro
Juego : Escanear registro a fondo
Juego : Escanear Favorito de IE para los sitios prohibidos
Juego : Escanear dentro de los archivos
Juego : Scan my Hosts file

22-08-2004 9:40:07 - Scan started. (Custom mode)

Listando procesos activos
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ThreadCreationTime : 21-08-2004 23:46:50
BasePriority : Normal

#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 21-08-2004 23:47:01
BasePriority : High

#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 21-08-2004 23:47:01
BasePriority : Normal
FileSize : 99 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
Copyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
CompanyName : Microsoft Corporation
FileDescription : Aplicaci
InternalName : services.exe
OriginalFilename : services.exe
ProductName : Sistema operativo Microsoft
Created on : 07/12/2003 22:14:59
Last accessed : 21/08/2004 22:00:00
Last modified : 24/08/2001 10:00:00

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 21-08-2004 23:47:01
BasePriority : Normal
FileSize : 11 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
OriginalFilename : lsass.exe
ProductName : Microsoft
Created on : 07/12/2003 22:13:03
Last accessed : 21/08/2004 22:00:00
Last modified : 09/09/2002 11:51:32

#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 21-08-2004 23:47:02
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 07/12/2003 22:15:37
Last accessed : 21/08/2004 22:00:00
Last modified : 24/08/2001 10:00:00

#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 21-08-2004 23:47:02
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 07/12/2003 22:15:37
Last accessed : 21/08/2004 22:00:00
Last modified : 24/08/2001 10:00:00

#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 21-08-2004 23:47:07
BasePriority : Normal
FileSize : 50 KB
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 07/12/2003 22:15:27
Last accessed : 21/08/2004 22:00:00
Last modified : 24/08/2001 10:00:00

#:8 [outpost.exe]
FilePath : C:\ARCHIV~1\AGNITUM\OUTPOS~1\
ThreadCreationTime : 21-08-2004 23:47:09
BasePriority : Normal
FileSize : 85 KB
FileVersion : 2.1.314
ProductVersion : 2.1
Copyright : (C) Agnitum, 1999-2003
CompanyName : Agnitum
FileDescription : Outpost Firewall main module
InternalName : Outpost Firewall
OriginalFilename : outpost.exe
ProductName : Outpost Firewall
Created on : 24/06/2004 17:59:22
Last accessed : 21/08/2004 22:00:00
Last modified : 09/04/2004 15:18:20

#:9 [snmp.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 21-08-2004 23:47:10
BasePriority : Normal
FileSize : 29 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : Servicio SNMP
InternalName : snmp.exe
OriginalFilename : snmp.exe
ProductName : Sistema operativo Microsoft
Created on : 25/04/2004 10:45:30
Last accessed : 21/08/2004 22:00:00
Last modified : 09/09/2002 13:51:38

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 21-08-2004 23:47:10
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 07/12/2003 22:15:37
Last accessed : 21/08/2004 22:00:00
Last modified : 24/08/2001 10:00:00

#:11 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 21-08-2004 23:47:16
BasePriority : Normal
FileSize : 983 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft
Created on : 07/12/2003 22:12:24
Last accessed : 21/08/2004 22:00:00
Last modified : 09/09/2002 11:51:28

#:12 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 21-08-2004 23:48:15
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 07/12/2003 22:17:35
Last accessed : 21/08/2004 22:00:00
Last modified : 09/09/2002 11:51:26

#:13 [javaw.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 21-08-2004 23:59:05
BasePriority : Normal
FileSize : 28 KB
Created on : 27/06/2004 12:51:29
Last accessed : 21/08/2004 22:00:00
Last modified : 22/02/2004 20:52:44

#:14 [ad-aware.exe]
FilePath : C:\ARCHIV~1\LAVASOFT\AD-AWA~1\
ThreadCreationTime : 22-08-2004 7:39:13
BasePriority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 15/08/2004 21:33:36
Last accessed : 21/08/2004 22:00:00
Last modified : 12/07/2003 19:00:20

#:15 [firefox.exe]
FilePath : C:\Archivos de programa\Mozilla Firefox\
ThreadCreationTime : 22-08-2004 7:39:46
BasePriority : Normal
FileSize : 6424 KB
FileVersion : 0.9
ProductVersion : 1.7: 2004062622
Copyright : Mozilla
CompanyName : Mozilla
FileDescription : Firefox
InternalName : Firefox
OriginalFilename : firefox.exe
ProductName : Firefox
Created on : 04/08/2004 20:51:13
Last accessed : 21/08/2004 22:00:00
Last modified : 26/06/2004 21:19:00

Resultados Escaneo de la memoria:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 0

Inicio escaneo del Registro
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Resultados Escaneo del registro:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 0

Inicio escaneo profundo del Registro
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "about:blank"
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Start Page
Fecha : "about:blank"

Resultados Escaneo Profundo del registro:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 1
Objetos encontrados hasta ahora: 1

Escaneando y examinando archivos en profundidad (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Resultados Escaneo del disco: C:\
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 1

Scanning Hosts file(C:\WINDOWS\System32\drivers\etc\hosts)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Hosts file scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
1 entries scanned.
Nuevos objetos:0
Objetos encontrados hasta ahora: 1

Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 1

10:00:49 Escaneo completo

Resumen Del escaneo
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total tiempo escaneo:00:20:41:545
Objetos Escaneados:104444
Objetos identificados:1
Objetos ignorados:0
Nuevos objetos:1

Gracias de antemano por vuestra respuesta

Dabo · « **Respuesta #1 en:** 23 de Agosto de 2004, 12:03:18 am »

una pregunta amiga ademas de darte la bienvenida, tu la pagina de about:blank (en blanco) quieres mantenerla ??? porque comentas que a veces la pones tu lo digo.

de todos modos es lo unico que aparece

ya espero tu respuesta :wink:

odio_los_virus · « **Respuesta #2 en:** 23 de Agosto de 2004, 12:23:23 am »

Sí, la página en blanco la pongo yo porque me resulta más cómodo cuando abro el explorador.

choche · « **Respuesta #3 en:** 23 de Agosto de 2004, 01:32:32 am »

Citar

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Yo diria q tienes el coolwebsearch, prueba el CWShredder a ver si te lo quita.

Dabo · « **Respuesta #4 en:** 23 de Agosto de 2004, 01:36:24 am »

llegó choche :lol: :lol: :lol:

refuerzos :wink:

odio_los_virus · « **Respuesta #5 en:** 23 de Agosto de 2004, 05:28:57 pm »

Hola!
Estoy tratando de bajar el programa que me habeis dicho (CWSheredder) pero el enlace que he encontrado en otro post (http://www.spywareinfo.com/~merijn) no me funciona. ¿Sabeís otro sitio de donde pueda bajarlo?

Dabo · « **Respuesta #6 en:** 23 de Agosto de 2004, 09:57:31 pm »

http://www.spywareinfo.com/~merijn/junk/CWShredder.exe

ahi lo tienes :wink:

odio_los_virus · « **Respuesta #7 en:** 23 de Agosto de 2004, 11:38:29 pm »

Gracias por el enlace pero sigo teniendo un problema: ejecuto el programa y me da dos errores, le doy a omitir y lo único que pasa es que se ve la pantalla del "MS-DOS" y el cursor moviéndose de forma aleatoria sin parar.
No sé, parezco tontita pero no sé que estoy haciendo mal. ¿Alguna sugerencia?
El error dice algo así: "La CPU NTVDM ha encontrado una instrucción no permitida. CS:06a3 IP:028a OP: 63 65 6e 74 65"

odio_los_virus · « **Respuesta #8 en:** 24 de Agosto de 2004, 09:06:49 pm »

Creo que el problema es que el enlace no funciona porque el "programa" que me descarga ocupa 2K. ¿Algún otro sitio de dónde sacar el programa?

Dabo · « **Respuesta #9 en:** 24 de Agosto de 2004, 10:49:29 pm »

pues la verdad amigo es que ahora no veo otro link, puede ser que este saturado, espera un par de dias :wink:

Noticias:

Autor Tema: Ayuda con un possible browser hijack (Leído 6704 veces)