elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
27 Mayo 2012, 20:41  


Tema destacado: ¡Aprende hacking con práctica! - WarZone, el wargame de elhacker.net

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderadores: skapunky, Novlucker)
| | |-+  PAGINA DE INICIO ERRONEA PERMANENTE		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: PAGINA DE INICIO ERRONEA PERMANENTE  (Leído 9,877 veces)
YeKTa


Desconectado Desconectado

Mensajes: 556



Ver Perfil
Re:PAGINA DE INICIO ERRONEA PERMANENTE
« Respuesta #15 en: 15 Febrero 2004, 04:26 »
Justo pongo el post y me va un enlace del CWShredder xDD
Este programa no desinfecta, no? Le doy a scan only y me sale lo siguiente:


Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer,SearchAssistant
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer,Search
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer,SearchURL
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer,www
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer,Search
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer,SearchURL
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
Infected data: http://www.magicsearch.ws
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page,about:blank
Infected data: http://www.magicsearch.ws
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
Infected data: http://www.magicsearch.ws
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page,about:blank
Infected data: http://www.magicsearch.ws
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
Infected data: http://www.magicsearch.ws/?q=
Infected Registry value:
HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes,www,http://
Infected data: http://www.magicsearch.ws/?q=
Hosts file not present
Found CWS.Control (if filesize is over 50k) file: C:\WINDOWS\control.exe (2159 bytes, A)
CWS.Vrape/CWS.Addclass Registry value: DefaultPrefix [] http://www.magicsearch.ws/?q=
CWS.Vrape/CWS.Addclass Registry value: WWW Prefix [www] http://www.magicsearch.ws/?q=
Registry value: Mosaic Prefix [mosaic] http://
Registry value: Home Prefix [home] http://
Found Win.ini file: C:\WINDOWS\win.ini (7861 bytes, A)
Found line in Win.ini: load=
Found line in Win.ini: run=
Found System.ini file: C:\WINDOWS\system.ini (2324 bytes, A)
Found line in System.ini: shell=Explorer.exe

- END OF REPORT -


Pero no veo ninguna opcion para desinfectar   :'( que debo hacer ???
En línea
Alnitak
Carpe Diem


Desconectado Desconectado

Mensajes: 692



Ver Perfil WWW
Re:PAGINA DE INICIO ERRONEA PERMANENTE
« Respuesta #16 en: 15 Febrero 2004, 14:27 »
Tiene 3 botones:
Scan Only(solo escaneo) -- Check for update(busca por actualizaciones) -- Fix(repara).

Yo nunca me he infectado así que no he tenido manera de comprobar que funcione pero vamos que así a logica debe ser el boton Fix el que hay que pisar :P y de toda manera una vez que tengas las entradas de registro infectadas puedes borrarlas manualmente,

Pd:
Me hace mucha gracia tu nick: "anonima" ya que en tu firma pones el enlace a tu pagina donde tienes hasta fotos  ;D
En línea
-(¯`(*)Al Nitak(*)´¯)-» --[Deus Meumque Jus]--»
YeKTa


Desconectado Desconectado

Mensajes: 556



Ver Perfil
Re:PAGINA DE INICIO ERRONEA PERMANENTE
« Respuesta #17 en: 15 Febrero 2004, 18:57 »
 ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D

Ya esta solucionado, muchas gracias!!

Ah! El nick Anonima es para poner algo, antes tenia el que habras visto en mi pagina pero al poner mensajes aki, salia mi nick en google y no keria que pasase eso :P
En línea
Bline

Desconectado Desconectado

Mensajes: 91


The fantasy world is to the other side of the hill


Ver Perfil WWW
Re: PAGINA DE INICIO ERRONEA PERMANENTE
« Respuesta #18 en: 9 Abril 2004, 02:02 »
Será que yo soy la excepcion k confirma la regla <-- (alguien ha entendido alguna vez éste dicho?) ala, a lo que iba, a mi me pasa con el about:blank y ya he probao 20000 curar, pero ninguna sin resultado, he probado con un tutorial k encontre en vsantivirus, con el adware, con el hijackthis o como sea ese hasta con el cwshredder... pero no hay forma, x aki dejo el reconocimiento que me hizo el hijackthis ok? si alguien tiene la solucion, por favor, dejadla por aquí vale?

Citar
Logfile of HijackThis v1.97.7
Scan saved at 1:03:35, on 08/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton Internet Security\NISUM.EXE
C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TWAIN_32\Vivid\VIVID.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Bline\CONFIG~1\Temp\HijackThis.exe
C:\Archivos de programa\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ehai.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ehai.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ehai.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ehai.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ehai.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ehai.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: load=C:\WINDOWS\TWAIN_32\Vivid\VIVID.EXE
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DB61BDFA-A5B3-4B82-AA3F-D6A7B1B75E27} - C:\WINDOWS\System32\ehai.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38085.1038541667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by2fd.bay2.hotmail.msn.com/activex/HMAtchmt.ocx

Espero respuestas rapidas y concretas a ser posible ^^. Gracias, thank you, merci...
En línea
Alnitak
Carpe Diem


Desconectado Desconectado

Mensajes: 692



Ver Perfil WWW
Re: PAGINA DE INICIO ERRONEA PERMANENTE
« Respuesta #19 en: 9 Abril 2004, 02:57 »
Me voy a commover  :'( :'( por fin alguien que me pone un log y no pretende que adivine  :D

Weno, fijate por en esto:
C:\WINDOWS\System32\ehai.dll

Ese ehai.dll no se de donde sale, no es ningun archivo de Windows XP y a no ser que hayas instalado algun programa que desconozco me parece que debes estar infectado por algun adware que te ha cambiado tanto la pagina de inicio como todos los demas parametros del explorador.

Lamentablemente al buscar en google no doy con ninguna informacion util, lo cual me hace suponer que ha de tratarse de algun adware recien salido del horno.

Revertir los cambios manualmente llega a ser contraproducente en la mayoría de los casos, ya que al no revertir todos los cambios y borrar por ejemplo el ehai.dll con toda probabilidad dañarás tu conexion o al menos tu navegador, habrá entonces que esperar a que las varias marcas anti-adware saquen una actualizacion de sus productos para remover este, o que en la red se publique informacion de lo que hace para poderlo remover manualmente.

Mientras puedes ir probando otro navegador mas seguro, rapido, bonito....y mas todo pues como lo es Opera que de estos males no sufre y seguro te hará olvidar el pesimo Internet Explorer.
En línea
-(¯`(*)Al Nitak(*)´¯)-» --[Deus Meumque Jus]--»
Bline

Desconectado Desconectado

Mensajes: 91


The fantasy world is to the other side of the hill


Ver Perfil WWW
Re: PAGINA DE INICIO ERRONEA PERMANENTE
« Respuesta #20 en: 9 Abril 2004, 10:53 »
Weeee... bueno Alnitak, antes que nada gracias por responder, como pusist en el post, no he borrado el ehai.dll, pero si lo abri con el WordPad... y me lleve una sorpresa, es como un codigo html con javas;
Citar
<table border=0 cellpadding=2 cellspacing=0 width=100%>
<tr bgcolor="#e0e0e0"><td>
&nbsp;<a href="javascript:go('shopping')"><b>Shopping</b></a>
</td></tr>
<tr bgcolor="#eeeeee"><td><br>
<font style="line-height:12pt;">
&nbsp;<a href="javascript:go('books')">Books</a><br>
&nbsp;<a href="javascript:go('chat')">Chat</a><br>
&nbsp;<a href="javascript:go('computers')">Computers</a><br>
&nbsp;<a href="javascript:go('electronics')">Electronics</a><br>
&nbsp;<a href="javascript:go('gift')">Gifts</a><br>
&nbsp;<a href="javascript:go('toys')">Toys</a><br>
<br></td></tr>
</table>
<br>
etc etc... Pero el final de este documento no lo entiendo, es como si estubier programado en vasic, o en c y como todo bbuen programa está cifrado, y otra pregunta (joer, de aki ak te conectes... son 6 horas de diferencia XD) de donde me bajo el opera??? me han dixo muxisimas personas que es bueno, pero jamas he tenido que recurrir a el, por lo tanto no lo tengo  ;) Bueno men, hasta luego.

----------------------------------------------------------------------
Esto... el archivo dll ese lo único que hace es que al aparecer el about:blank se vea una página de un explorador, con el html que puse antes y más... crei que el problema habia desistido cuando hice una copia de seguridad del dll y bborre el original, y fincionó durante 2 minutos pero luego volvió a persistir el about:blank veamos, estoy intentando pillarme el opera y ponerlo como explorador predeterminado, espero tener algo más de suerte :P aun asi me gustaria arreglar el problema con el explorer :(
« Última modificación: 9 Abril 2004, 11:59 por Bline » En línea
Alnitak
Carpe Diem


Desconectado Desconectado

Mensajes: 692



Ver Perfil WWW
Re: PAGINA DE INICIO ERRONEA PERMANENTE
« Respuesta #21 en: 9 Abril 2004, 16:04 »
Opera te lo bajas : aqui

Es freeware con algo de propaganda, para quitarle la propaganda debes meterle un serial que no te costatá ni 5 minutos encontrar  :P

Yo uso Opera y hasta la fecha no se lo que significa estar infectado por en adware.

No logras nada al borrar el dll porque con toda probabilidad el adware se está ejecutando y lo vuelve a crear, de los procesos que veo en el log el que me parece sospechoso es este:

C:\WINDOWS\TWAIN_32\Vivid\VIVID.EXE

Buscalo y dale col boton derecho>>propiedades a ver que coloca, segun lo que te coloque lo respaldas, terminas el proceso y lo borras a ver que sucede.
En línea
-(¯`(*)Al Nitak(*)´¯)-» --[Deus Meumque Jus]--»
Songoku
Supersayan y
CoAdmin
***
Desconectado Desconectado

Mensajes: 13.569


Supersayan


Ver Perfil WWW
Re: PAGINA DE INICIO ERRONEA PERMANENTE
« Respuesta #22 en: 9 Abril 2004, 19:09 »
En la web de mi firma lo tienes con el serial y la traduccion al español, ademas la ultima version libre del bug que afectava a todas las demas. Tal vez tambien te pueda interesar el mozilla.
Saludos...

Songoku
En línea



http://lawebdegoku.es                        http://webdegoku.es
Bline

Desconectado Desconectado

Mensajes: 91


The fantasy world is to the other side of the hill


Ver Perfil WWW
Re: PAGINA DE INICIO ERRONEA PERMANENTE
« Respuesta #23 en: 9 Abril 2004, 20:35 »
Bueno, si dices k mi escaner es el motivo :P tengo un Genius ColorPage-VividPro pero aun asi gracias men por lo dl opera ;)

PD: GOKUUUU TIO, a ver si aumentamos el ancho de banda en tu web, k me estaba descargando hasta k se me cortó la linea, el opera a 500Bytes/Segundo tio... 500BYTES!!!! y respecto a la web k me dist alnitak, no me rula el download u_u
« Última modificación: 9 Abril 2004, 22:02 por Bline » En línea
Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines