Pagina de inicio en Internet Explorer
-
Bueno, traigo algo nuevo:
He probado con el "CWshredder", el actualizado, no el que está en softonic.
Me ha limpiado un par de cosillas y al reiniciar, he pasado de nuevo el adaware actualizado.
106 "bichitos" entre "malware", "possible hijack attemp", …
Al reiniciar y volver a pasarle el CWshredder y el adaware, no encontró nada.
Restableci la página de inicio a la "about:blank" y todo bien
Ahora, el explorer.exe sigue reiniciandose cuando hago click con el boton derecho sobre algunos iconos (por ejemplo, en el menú inicio, sobre los iconos en la lista de los programas más usados).
He pasado el norton que ahora ya va y no encontró nada.
He pasado el pestpatrol actualizado y nada.
He pasado el panda online y nada.
He pasado el rav y nada.¿Qué puede ser?
Solo me queda probar con la solución que propone GleaM pero ya me imagino que no detectará nada
-
¿Probaste?
-
Nada.
El explorer.exe sigue "reiniciandose".
Probará con el SFC (system file checker) a ver si repara el archivo. -
Podrías probar con el HiJack This. Es complicado, pero podría solucionarte el problema ;). Pero hay que tener cuidado (me lo ha comentado una persona "de confianza"), por lo que te recomiendo un buen "backup" del registro por si las moscas (aunque la probabilidad es pequeña).
El tema está en instalarlo en una carpeta propia y el ejecutarlo bajo un arranque de Windows sin carga, es decir, con una buena desactivación del msconfig de aquello que no necesites para arrancar windows.
Postea tu log y veremos que se pueda averiguar (puedes obtener mucha información en la web de ComputerCops).
Por cierto, ¿has probado a escanearlo con la versión de evaluación del NOD32? Es mejor que los otros dos antivirus que has probado…
Otra opción sería utilizar un programa llamado NT File Monitor para comprobar qué archivos son los que se utilizan al abrir Iexplore o cual entra en ejecución cuando se te cierra. El "Filemon" es una perla, pruébalo.
-
Logfile of HijackThis v1.97.7
Scan saved at 1:05:18, on 18/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\MGE\RunSC.exe
C:\WINDOWS\system32\MGE\PCtl.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\MGE\BIL.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MGE\CILRS232.EXE
C:\Archivos de programa\UDMonitor\ud_mon.exe
C:\Archivos de programa\United Devices\UD.EXE
C:\Archivos de programa\United Devices\ud_7174683.exe
C:\Archivos de programa\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
C:\Archivos de programa\Amsn\bin\wish.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\vsmain.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\AlogServ.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\FlashGet\flashget.exe
C:\Archivos de programa\WinRAR\WinRAR.exeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aida32.hu/registration
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Archivos de programa\Panicware\Pop-Up Stopper Companion\CCHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Archivos de programa\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Archivos de programa\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM..\Run: [MBM 5] "C:\Archivos de programa\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip..{30BF78DF-CAD2-4048-9A71-CB5399FFD632}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip..{30BF78DF-CAD2-4048-9A71-CB5399FFD632}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip..{30BF78DF-CAD2-4048-9A71-CB5399FFD632}: NameServer = 192.168.0.1Este es el log del HIJACK, que por cierto, he tenido que abrirlo con el WINRAR porque el WINZIP se negaba a abrirlo.
Pero si renombraba el archivo a por ejemplo "pepe.zip" sí que me dejaba abrirlo
Por cierto, el norton cada vez que analizo el disco duro en busca de virus me sale con que el archivo hxdefdrv.sys tiene un virus llamado "Backdoor.Hackdefender".
-
Bueno, unas cuantas cosas:
Primero: Elimina ese archivo infectado. (prueba a descargarte la versión de evaluación del NOD32, actualízala y hazle un escaneo al sitema).
Segundo: El Log del HJT tienes es mejor hacer bajo un arranque casi vacío (tienes muchísimas cosas ejecutadas). Entra en MSconfig y deshabilita TODO lo que no sea esencial para el arranque(desconéctate de internet y deshabilita todo lo que puedas: Mcafee, Norton, Flashget, Winrar…). Luego créate un log y postéalo de nuevo.
Tercero: ¿Pasaste el Spybot 1.3 actualizado?
Tampoco veo cosas muy raras. Ya me contarás ;).
PD: ¿El CWshredder lo descargaste de Spywareinfo?
-
He iniciado el sistema en "modo seguro" teniendo el cable de red desconectado.
He pasado el norton 2003 actualizado y borra el archivo infectado, pero cuando reinicio (sigo en modo seguro y sin cable de red), vuelve a aparecer.He buscado en el registro y no aparece dicho archivo.
He buscado en el equipo desde la línea de comandos:dir hx. /s**
y no aparece ninguno.
Mientras estaba en modo seguro y sin cable de red probé también a pasarle el addware de lavasoft y los otros antivirus (mc afee y panda, todos actualizados) y no se encontró nada.
-
No sé si has llegado a hacer todo lo que te comenté, sobre todo lo del NOD32 y lo del nuevo log del HJT, y lo del Spybot (aunque si pasaste el ad-aware…).
-
mira si tienes activado "Restaurar Sistema", si es asi, desactivalo y eliminalo de nuevo con el norton
mira tambien la posible entrada que tenga en el regedit.
Salu2
-
Leyendo esta rama:
http://www.hardlimit.com/forum/showthread.php?s=&threadid=29520
he probado el Spy Sweeper.
Me ha detectado dos bichitos más, y durante el scan, el norton que está residente ha vuelto a eliminar el hxdefdrv.sys (tal y como ha sucedido cuando el pestpatrol o el addware pasaban el scan al equipo.Lo demás aún no lo he hecho. Ahora bajaré el NOD32 a ver que tal.
Lo del HIJACK también lo probaré mañana.PD: El "restaurar sistema" está desactivado.
-
Échate un ojo a éstas ramas de ComputerCops:
http://forums.spywareinfo.com/index.php?showtopic=505
http://forums.spywareinfo.com/index.php?showtopic=647&st=0
Tienes un bichin un tanto "cabrón" llamado HackerDefender100. El proceso de limpieza es algo largo, ármate de paciencia y si necesitas ayuda, nos lo comentas ;).
-
Ahora no funcionan. Dicen que el servidor está de "mantenimiento".
No puedo instalar NOD32. Windows dice que setup.exe ha provocado un error, y va y se cierraPD: Editado para corregir un pequeño gran error de ortografía. :vayatela: :vayatela:
-
Buscando por el google, encontré esta página:
http://www.zonavirus.com/forophp/viewtopic.php?t=607&start=0
donde había una persona a la que le daba el mismo problema.
Al final, he seguido la solución propuesta en la página 2:1-. He actualizado los antivirus y demás a fecha de hoy.
2-. He desconectado el cable de red y he reiniciado el equipo con el cd del windows 98 (tengo windows xp pro pero con FAT32).
3-. He ido a la carpeta del McAfee y he usado dicho comando:SCANMP
/ALL /CLEAN /DEL4-. Tras un buen rato (el disco es de 120 GB de los cuales solo quedan 6 libres
) me ha borrado 4 archivos que contenían el virus (no sé cuales porque no me ha hecho LOG y al mostrar el resumen ha limpiado la pantalla).5-. He reiniciado ahora con windows xp pro y con el cable de red conectado.
6-. He ido a la consola del DOS y he ejecutado:DIR HX. /S**
y no ha encontrado ninguno (antes después de cada reinicio, salia el virus).
7-. He vuelto a reiniciar y a hacer el paso 6 también con éxito.
Ahora ya puedo hacer click con el botón derecho sobre todos los iconos sin que el EXPLORER.EXE se me reinicie.
Además, ahora el instalador del NOD32 no da error en windows (y eso que es el mismo instalador).Espero a ver la evolución estos primeros dias. Lo que suceda lo postearé aqui mismo.
Por lo pronto, agradeceros a tod@s por vuestra ayuda y también por vuestras oraciones a MSDOS
PD: Me voy a instalar el mcafee a los demás equipos, a actualizarlo y a hacer el mismo scan a todos ellos.
-
Me alegro de que la cosa mejore. Una pena lo de spywareinfo… menuda casualidad, te la recomiendo tanto esa como la de ComputerCops en cuanto a Spy, son de lo mejorcito (aunque en inglés).
Yo tengo más fé en el NOD32 que en el McAfee, por lo que un escaneo con él podría darte una segunda opinión que nunca está de más.
El puñetero spy, que coña está dando ultimamente...
