Ventanitas y barritas varias en el IE

Bravenap · #1 (**permalink**) 05/10/2004, 13:00

Muy buenas.

Vamos a ver. Llevo ya bastante tiempo con un bicho pegado a la espalda del cual no consigo deshacerme de ninguna manera. El caso es que cuando navego con el Internet Explorer suelen aparecer restos de ese bicho en la ventana. Para ser más claros, dos ejemplos:

http://personales.ya.com/pyrus/spyware1.jpg
http://personales.ya.com/pyrus/spyware2.jpg

Si miro el código fuente de las ventanitas siempre aparece la dirección:

http:// www. heretofind .com

La pongo así para que ningún incauto le de por acceder.

Pues bien, he pasado lo siguiente:

Ad-Aware 6
Ad-Aware SE
SpywareBlaster
Spybot - Search & Destroy
Panda ActiveScan
NOD32
Norton Antivirus

Este último me bloquea un troyano cuando he accedido a la página en cuestión. En el registro tampoco aparece ninguna referencia a esa página, por lo que creo que el HiJack This (¿se llama así?) no servidría de nada.

Alguien me puede indicar un insecticida efectivo. Ah, y que mate también las larvas.

Un saludo y gracias.

xcorpion · #2 (**permalink**) 05/10/2004, 13:26

Tienes actualizado el Spybot - Search & Destroy?, yo tenia un problema parecido, buscaba y buscaba pero no aparecia, hasta que lo actualice, lo busque y lo elimine. Tambien es importante correr el programa en al inicio de windows antes de que se cargue por completo, o en modo a prueba de fallos(errores) asi te aseguras que no se carga ningun archivo del spyware en cuestion.

Bravenap · #3 (**permalink**) 05/10/2004, 14:43

Gracias por contestar.

Pues yo creo que sí lo tengo actualizado. De todas formas probaré de nuevo a actualizarlo y a ejecutarlo en "prueba de fallos".

Gracias.

Un saludo.

elpiedra · #4 (**permalink**) 05/10/2004, 14:49

Bueno lo que tenes exactamente es una de las variantes del CoolWebSearch famoso spyware.

Para eliminarlo podes usar el CWShredder 1.59.1 (este en el tutorial de spywares)

Si este no lo saca por ser una variante mas nueva (es que tiene tiempo sin actualizar) podes sacarlo con el HijackThis.

Claro que con el HijackThis no te va a mostrar el nombre de la pagina sino seria muy fácil de sacarlo y cualquier programa antispyware lo tendría que hacer automáticamente no crees..... bue es un poco mas complicado pero proba primero con el CWShredder y también como dijo xcorpion con el SpyBot actualizado.

La ultima actualización de Spybot fue el jueves 30 de septiembre.

Si con estos no lo sacas pásale el HJT y poste el log.

Salu2
El Piedra

Bravenap · #5 (**permalink**) 05/10/2004, 15:14

Acabo de actualizar el Spybot y lo he pasado, pero no resultó. Voy a probar con CWShredder.

Gracias y hasta ahora.

Bravenap · #6 (**permalink**) 05/10/2004, 15:23

Pues he bajado el CWShredder y lo he actualizado. Lo he ejecutado y... nada de nada.

Por cierto, aquí hay otra de las patas del bicho
http://personales.ya.com/pyrus/spyware3.jpg

Ahora voy con HijackThis.

Bravenap · #7 (**permalink**) 05/10/2004, 15:28

Toma chorizo:

Código:

Logfile of HijackThis v1.98.2
Scan saved at 23:28:58, on 05/10/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\NavNT\vptray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Archivos de programa\Storage Bank\shwicon.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\cisvc.exe
C:\Archivos de programa\NavNT\defwatch.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\System32\cidaemon.exe
D:\eMule\emule.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\inetsrv\DavCData.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Miguel hijo\Escritorio\SOFTWARE\Seguridad\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8BF646BB-9F1A-437D-B2BA-1E0675F05BCA} - C:\WINDOWS\mrhop.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\NavNT\vptray.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ShowIcon_The Company_Storage Bank v1.02] "C:\Archivos de programa\Storage Bank\shwicon.exe" -t"The Company\Storage Bank v1.02"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra button: Corel Network monitor worker - {D856E50A-92AB-466A-8C0F-A7175940F34C} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {D856E50A-92AB-466A-8C0F-A7175940F34C} - (no file)
O9 - Extra button: Corel Network monitor worker - {D856E50A-92AB-466A-8C0F-A7175940F34C} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {D856E50A-92AB-466A-8C0F-A7175940F34C} - (no file) (HKCU)
O12 - Plugin for .IVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
O12 - Plugin for .UVR: C:\Archivos de programa\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...a-y-Pachi.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094906145870
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AE4CEC9D-C836-4579-829B-4C345101B3B9} (GVista Terrain Renderer) - http://sitna.cfnavarra.es/3d/PlugIn/gvista2709.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

elpiedra · #8 (**permalink**) 05/10/2004, 15:57

Primero que nada y antes de empezar a limpiar tu pc seria bueno que actualizaras tu sistema ya que veo que no tenes ni el SP1

Me equivoque el parásito que tenes no es el CoolWebSearch sino una de las variantes del StartPage

1- Después de actualizar, hay que apagar el Restaurar Sistema de las propiedades de mi PC

2- Bajate el programa EliStarA.exe y pásaselo a ver si te lo saca automáticamente.

3- Si no puede con todo los programas cerrados le tiras el HJT, marca y dale Fix a esta casilla:

O2 - BHO: (no name) - {8BF646BB-9F1A-437D-B2BA-1E0675F05BCA} - C:\WINDOWS\mrhop.dll (file missing)

Despues de eliminar esto tenes que ir al Regedit y apretando F3 buscar y borrar estas entradas

HKEY_CLASSES_ROOT\clsid\{16f163a1-00ed-4186-956d-159cf2de0fad}
HKEY_CLASSES_ROOT\clsid\{7ef588b5-3ac3-4a9f-9c76-21b6547e59f6}
HKEY_CLASSES_ROOT\clsid\{9978b2e8-29f0-4c85-abc6-a322b1cde8f5}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9978b2e 8-29f0-4c85-abc6-a322b1cde8f5}
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\browser helper objects\{16f163a1-00ed-4186-956d-159cf2de0fad}
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\browser helper objects\{7ef588b5-3ac3-4a9f-9c76-21b6547e59f6}
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\browser helper objects\{9978b2e8-29f0-4c85-abc6-a322b1cde8f5}

4 -Busca y elimina estos archivos y reinicia el sistema.
\mrhop.dll
\system32\mfplay.dll

Salu2
El Piedra

Bravenap · #9 (**permalink**) 05/10/2004, 16:07

Uff... yo creía que sí tenía el SP1. De hecho, hace poco más de una semana actualicé al SP2, que por cierto, menudo lío el tema del Update...

Por cierto, ya que estamos te comento que después de pasarle todas las aplicaciones que he comentado antes no para de saltarme el NOD32 detectando un troyano Dialer.NAH en WINDOWS\questmon.dll. No sé si tendrá algo que ver, pero por más que le doy a eliminar en el NOD32 sigue j__endo.

Bueno, me voy a imprimir tus buenas indicaciones y con calma voy a seguirlas, a ver si ya...

Gracias y un saludo.