Troyano StartPage.FH

Hola amigos, tengo desde hace unos dias el troyano StartPage.FH y no he podido eliminarlo. Uso Windows 98 y he probado con todos los metodos que han aparecido en esto foro y no me ha servido de nada. Debe haber aguna forma para eliminarlo definitivamente del Windows 98. Les agradecería si alguien sabe que me ayude. Felicitaciones por la página esta muy buena.

Feliz Navidad y Prospero Año nuevo.

LUCARARO

Mira los pasos de este post para eliminar el StartPage.fh manual y de forma automatica para todos los windows.

http://www.infospyware.org/viewtopic.php?t=12

Salu2

Hola elpiedra ya he probado con EliStarA.exe en prueba a modo de fallos, le he pasado el Panda ActiveScan, el Spybot, el Ad-ware, he eliminado la entradas del registro donde me muestra que esta el StartPage.FH. Hago todo eso y parece que lo elimina y cuando menos pienso vuelve y me aprece. Debe haber alguna forma para quitarlo definitivamente de Windows 98, pero cual?

Gracias.

Bueno esos pasos funcionan para todos los Windows "comprobado" tal vez no tenes el StartPage sino algún otro malware.

Si tenes el SpyBot desinstálalo momentáneamente porque este guarda los cambios en los registros y puede que te este instalando el troyano nuevamente y instala tambien SpywareBlaster

Salu2

Hola elpiedra le cuento que he seguido sus intrucciones para eliminar el StartPage.FH, pero los procesos enumero acontinuación no me aparecen en mi Windows 98 Segunda Edición, para poder eliminarlos.

1. HKEY_CURRENT_USER\software\microsoft\windows
\currentversion\run\ieengine

2. HKEY_CURRENT_USER\software\microsoft\windows
\currentversion\run\spywareguard\

3. HKEY_CURRENT_USER\software\microsoft\windows
\currentversion\run\windows internet protocol

4. HKEY_LOCAL_MACHINE\software\microsoft\windows
\currentversion\run\iefeatures

5. HKEY_LOCAL_MACHINE\software\microsoft\windows
\currentversion\run\soundmx

6. HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Internet Explorer\Main
Search Page = %tempdir%\sp.html
donde %tempdir% es el directorio temporal de Windows.


Lo único que me aperció fue el fichero .dll -> trojan.win32.startpage.fh.dll y lo eliminé.

Después le pasé un programa llamado CWShredder.exe en prueba a modos de fallos. También le pasé el EliStarA.exe y el Ad-Aware SE. Luego Eliminé cookies, temporales y el historial de internet. Y por último con el Windows Update actualize 21 actualizaciones críticas y le pase el PandaActiveScan.

Todo parecía indicar que lo habia eliminado pero cuando entre hoy para decirle lo que habia hecho volvio y me aparecio en la carpeta c:\windows\temp la página sp.html y cuando abro el explorador parace de nuevo la página Search for....

La verdad no se que mas hacer, si de pronto hay otra solución le agradería.

De antemano muchas gracias.

LUCARARO.

Descargate el Hijackthis y pega su log

Aca tenes los pasos a seguir.
http://www.infospyware.org/viewtopic.php?t=25

Salu2

Hola de nuevo elpiedra este es el resulatdo del log de Hijackthis.exe

************************************************** **
Logfile of HijackThis v1.99.0
Scan saved at 05:30:57 p.m., on 17/12/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\MIS DOCUMENTOS\APLICACIONES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {D81E38C1-4162-11D9-8709-44456300E32C} - (no file)
O2 - BHO: (no name) - {0F016817-4244-11D9-8709-444592CAEE4F} - (no file)
O2 - BHO: (no name) - {850549A5-43B8-11D9-8709-4445E47D0A64} - (no file)
O2 - BHO: (no name) - {3F74E886-5012-11D9-8709-4445D6C82C92} - C:\WINDOWS\SYSTEM\NEOAE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1601.0\ES-LA\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Filter: text/html - {3F74E885-5012-11D9-8709-4445261AB2E5} - C:\WINDOWS\SYSTEM\NEOAE.DLL
O18 - Filter: text/plain - {3F74E885-5012-11D9-8709-4445261AB2E5} - C:\WINDOWS\SYSTEM\NEOAE.DLL

************************************************** ******

Ojala tengamos suerte.

saludos.

LUCARARO

1- Inicia el PC pulsando F8 y entra en modo a prueba de fallos

2- Marca y dale FIX a estas entradas

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F1 - win.ini: load=ptsnoop.exe

O2 - BHO: (no name) - {D81E38C1-4162-11D9-8709-44456300E32C} -
(no file)

O2 - BHO: (no name) - {0F016817-4244-11D9-8709-444592CAEE4F} -
(no file)

O2 - BHO: (no name) - {850549A5-43B8-11D9-8709-4445E47D0A64} -
(no file)

O2 - BHO: (no name) - {3F74E886-5012-11D9-8709-4445D6C82C92} - C:\WINDOWS\SYSTEM\NEOAE.DLL

O18 - Filter: text/html - {3F74E885-5012-11D9-8709-4445261AB2E5} - C:\WINDOWS\SYSTEM\NEOAE.DLL

O18 - Filter: text/plain - {3F74E885-5012-11D9-8709-4445261AB2E5} - C:\WINDOWS\SYSTEM\NEOAE.DLL

3- Elimina cookies y temporales de internet.

4- Pone una pagina de inicio de forma manual y reinicia en modo normal.

5- Pasale nuevamente el HJT a ver si no quedo ninguna de estas entradas.

Salu2

Hola elpiedra, gracias por la ayuda voy a probar y le cuento que paso.....

Saludos.

Lucararo

Hola elpiedra le cuento que al fin pude eliminar el dichoso StartPage.FH gracias a su ayuda. He navegado sin ningún problema. Tengo una pregunta si sigo bajando de internet archivos puede ser que el troyano vuelva aparecer en mi computador? Claro que ya actualize el windows que tenia 21 actulizaciones criticas. No se si eso sea suficiente. Muchas gracias nuevamente.

Feliz Navidad
Lucararo

Ya con solo estar conectado a internet con el IE tu PC esta expuesta a este o cualquier otro tipo de malware. Te recomendaría que te instales algún buen navegador mas rápido y seguro como Firefox 1.0 en español instala también un buen firewall.

SAludos y felicidades.