Foros del Web » Soporte técnico » Virus, troyanos y spyware »

DSO Exploit y about:blank

Estas en el tema de DSO Exploit y about:blank en el foro de Virus, troyanos y spyware en Foros del Web. La duda es sencilla. He buscado en google posibles soluciones acerca del DSO Exploit, pues pensaba que era el exploit causante de mi problema (se ...
  #1 (permalink)  
Antiguo 15/09/2004, 07:45
Avatar de Pip
Pip
 
Fecha de Ingreso: noviembre-2003
Ubicación: Málaga
Mensajes: 280
Antigüedad: 21 años
Puntos: 0
DSO Exploit y about:blank

La duda es sencilla. He buscado en google posibles soluciones acerca del DSO Exploit, pues pensaba que era el exploit causante de mi problema (se me carga como página de inicio en blanco -about:blank- una Web de título "Search for..") y, tras usar muchos programas, incluso algunos que dicen protegerte de la vulnerabilidad a ese exploit, he conseguido que al pasar el Spybot, actualizado a la versión 1.3.1 y con todas las actualizaciones bajadas, me deje limpio de errores al 100%, sin embargo sigue y sigue cargándose esa página en blanco de puro spam. Y sigue cargando por defecto esa web cada vez que intento ver el correo en hotmail.com... llega a ser desesperante.

Si alguien sabe como eliminar este exploit, agradeceré mucho que me informe porque me ahorraría tener que soportarlo o tener que formatear. Muchas gracias.
__________________
por Pip
  #2 (permalink)  
Antiguo 15/09/2004, 08:29
Avatar de elpiedra
Colaborador
 
Fecha de Ingreso: febrero-2004
Ubicación: Miami <-> Uruguay
Mensajes: 2.447
Antigüedad: 20 años, 9 meses
Puntos: 13
Search For....

Bueno vamos por partes:

1- El DSO Exploit que nos muestra SpyBot S&D es un error que de seguridad que este encuentra en nuestro IE el cual no puede reparar en su versión actual 1.3
Este Exploit no es muy grave pero de todas maneras el SpyBot en su versión Beta 1.3.1 ya lo resuelve, aunque como todavía esta en Beta puede causarte algunos problemas.

2- El problema como la pagina de inicio y en especial con la Search For...
es debida al famoso troyano StartPage.FH



Para eliminarlo te recomiendo que mires este post y sigas los pasos de su eliminación.

http://www.forosdelweb.com/showpost....22&postcount=2

Después nos contas como te fue y si necesitas mas ayuda postalo ok.

Salu2
El Piedra
__________________
"Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD

InfoSpyware.com | ForoSpyware.com
  #3 (permalink)  
Antiguo 15/09/2004, 11:24
Avatar de Pip
Pip
 
Fecha de Ingreso: noviembre-2003
Ubicación: Málaga
Mensajes: 280
Antigüedad: 21 años
Puntos: 0
Pues he hecho exactamente lo que dice ese pequeño tutorial que, por lo menos, me ha servido para diferenciar el DSO Exploit del StartPage.FH pero, efectivamente mis temores se vieron justificados.

Seguí los pasos con el EliStarA.exe, con la restauración de sistema deshabilitada en todo momento, pasando el Ad-aware actualizado y desde Modo seguro para que fuese más fiable e, incluso, borré todo el historial, las cookies y las direcciones almacenadas, incluidas las Webs que estaban en el disco duro.

El caso es que, tras reiniciar, la web que tenía puesta por defecto en el Internet Explorer era la del periódico el mundo, ya que me temía que si ponía la página en blanco, volvería a salir la dichosa web del troyano... cargué internet explorer y, alivio me dio que saliera la Web de él mundo.

Sin embargo, tenía puesto que fuese el Opera el navegador predeterminado. En cuanto puse como predeterminado de nuevo Internet Explorer (en ese mismo instante) se cargó la Web que pones en tu imagen, la de "Search for..." que tanto odio ya...

Sinceramente, creo que hago todos los pasos correctamente, no sé donde estará el problema pero me parece que no es porque me salte algo o no lo haga bien, he sido bastante... minucioso.

Espero que con mi "relato" de los hechos puedas detectar qué es lo que puede ser o donde puede estar el problema. Muchas gracias por la ayuda y... muerte a ese troyano...

Parte añadida al editar: simplemente añadir que el DSO Exploit ya lo eliminé antes de postear aquí con el Ad-aware actualizado a la versión beta que dices, lo que pasa es que no sabía que eran distintos DSO Exploit y el otro troyano, así que, como me seguía dando el problema, pensé que seguía teniendo el DSO Exploit aunque el Ad-aware ya no me lo mostrara.
__________________
por Pip

Última edición por Pip; 15/09/2004 a las 11:27 Razón: para añadir una cosa que se me olvidó matizar
  #4 (permalink)  
Antiguo 15/09/2004, 11:49
Avatar de elpiedra
Colaborador
 
Fecha de Ingreso: febrero-2004
Ubicación: Miami <-> Uruguay
Mensajes: 2.447
Antigüedad: 20 años, 9 meses
Puntos: 13
Si ya lo tenias solucionado y fue cuando cambiaste hace los mismos pasos pero esta vez con el IE como predeterminado.

Desconectado de internet hacelo primero en modo a prueba de fallos y después en modo normal antes de abrir tu IE.

Si queres también podes bajarte el HijackThis del Tutorial de Spywares y postear el log aca mismo para que te ayude con lo que hay que eliminar.
__________________
"Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD

InfoSpyware.com | ForoSpyware.com
  #5 (permalink)  
Antiguo 15/09/2004, 13:48
Avatar de Pip
Pip
 
Fecha de Ingreso: noviembre-2003
Ubicación: Málaga
Mensajes: 280
Antigüedad: 21 años
Puntos: 0
Aquí va el log, no sé si puede resultar muy molesto por aquello de que ocupa bastante pero bueno, allá va, espero que sirva para ver lo que no está bien o lo que hay que eliminar:

Logfile of HijackThis v1.98.2
Scan saved at 21:50:10, on 15/09/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\archivos de programa\powerstrip\pstrip.exe
D:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
D:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
D:\Archivos de programa\MessengerDiscovery\MessengerDiscovery.exe
D:\Archivos de programa\ATnotes\ATnotes.exe
D:\Archivos de programa\Tray it !\trayit!.exe
D:\Archivos de programa\Apache Group\Apache\Apache.exe
D:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
D:\Archivos de programa\Macromedia\Flash Communication Server MX\FlashComAdmin.exe
D:\Archivos de programa\Apache Group\Apache\Apache.exe
D:\mysql\bin\mysqld-nt.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Macromedia\Flash Communication Server MX\FlashCom.exe
D:\Archivos de programa\Super Popup Blocker\popkill.exe
D:\Archivos de programa\eMule\emule.exe
D:\Archivos de programa\FlashGet\flashget.exe
D:\Archivos de programa\Azureus\Azureus.exe
D:\Archivos de programa\Java\j2re1.4.2_01\bin\javaw.exe
D:\Archivos de programa\Opera7\Opera.exe
D:\Documents and Settings\Pip_\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {3F715776-72D2-4F5B-A00F-9745D1B15999} - D:\WINDOWS\System32\cepbp.dll
O2 - BHO: netMonior Class - {85810C93-C14C-11D5-BC4B-0050BA28E4FE} - D:\WINDOWS\System32\popkill.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\ARCHIV~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\ARCHIV~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - D:\Archivos de programa\Viewpoint\Viewpoint Toolbar\ViewBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PowerStrip] d:\archivos de programa\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TweakDUN] D:\Archivos de programa\TweakDUN\tweakdun.exe splash
O4 - HKCU\..\Run: [MessengerDiscovery] D:\Archivos de programa\MessengerDiscovery\MessengerDiscovery.exe
O4 - Startup: ATnotes.lnk = D:\Archivos de programa\ATnotes\ATnotes.exe
O4 - Startup: TrayIt!.lnk = D:\Archivos de programa\Tray it !\trayit!.exe
O4 - Global Startup: DUSuperControler.lnk = D:\Archivos de programa\DU Super Controler\DUSuperControler.exe
O8 - Extra context menu item: &Google Search - res://d:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download All by FlashGet - D:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Instantánea de caché de la página - res://d:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://d:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://d:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Archivos de programa\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Archivos de programa\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab27571.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab27571.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095173049653
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab27571.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {DE833CC3-52E7-4C9A-BDC4-8EC24B422A2B} (Superscape VisLite) - http://www.arsvirtual.com/monum/visi...te/vislite.cab
O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab27571.cab
O18 - Filter: text/html - {2CBD6221-B28B-4AB4-B828-A09316DCD781} - D:\WINDOWS\System32\cepbp.dll
O18 - Filter: text/plain - {2CBD6221-B28B-4AB4-B828-A09316DCD781} - D:\WINDOWS\System32\cepbp.dll



De nuevo, gracias por la ayuda y el seguimiento de este problema.
__________________
por Pip
  #6 (permalink)  
Antiguo 15/09/2004, 14:50
Avatar de elpiedra
Colaborador
 
Fecha de Ingreso: febrero-2004
Ubicación: Miami <-> Uruguay
Mensajes: 2.447
Antigüedad: 20 años, 9 meses
Puntos: 13
Primero que nada te aconsejo que actualices tu Windows XP y el IE bajate el SP2 de microsoft.

Despues elimina el programa FlashGet del panel de control, ya que es un Aware.

Del HjT marca y dale fix a las siguientes casillas

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {3F715776-72D2-4F5B-A00F-9745D1B15999} - D:\WINDOWS\System32\cepbp.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\ARCHIV~1\FLASHGET\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\ARCHIV~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - D:\Archivos de programa\Viewpoint\Viewpoint Toolbar\ViewBar.dll
O4 - HKLM\..\Run: [PowerStrip] d:\archivos de programa\powerstrip\pstrip.exe
O4 - Global Startup: DUSuperControler.lnk = D:\Archivos de programa\DU Super Controler\DUSuperControler.exe
O8 - Extra context menu item: Download All by FlashGet - D:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\Archivos de programa\FlashGet\jc_link.htm

Despues busca y borra estos archivos

D:\archivos de programa\powerstrip\pstrip.exe
D:\Archivos de programa\FlashGet\flashget.exe

Elimina cookies temporal y el historial de internet pasale el Ad-Aware SE actualizado y despues nos contas como te fue.

Salu2
El Piedra
__________________
"Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD

InfoSpyware.com | ForoSpyware.com
  #7 (permalink)  
Antiguo 15/09/2004, 16:54
Avatar de Pip
Pip
 
Fecha de Ingreso: noviembre-2003
Ubicación: Málaga
Mensajes: 280
Antigüedad: 21 años
Puntos: 0
Gracias de nuevo por la ayuda elpiedra.

Lo que no entiendo bien es lo del flashget. Si el programa tuviera algo 'malo', debería habérmelo eliminado el ad-aware, aunque no sé exactamente a lo que te referirías. De los gestores de descarga que he usado, hace tiempo me quedé con él (la versión que tengo es bastante antigua de hecho) porque baja al límite, y a veces un poco más, de mi conexión. El pstrip, supongo que me dices que lo borre porque no te suena el ejecutable, es el "Power Strip", lo uso porque con mi tarjeta gráfica, una Geforce 4 MX 440, no entiendo bien por qué pero sucede que se ve todo muy oscuro, aun con el brillo del monitor al 100% y, con este programa (aunque quizás consume demasiados recursos para ese mero 'detalle') puedo subir y bajar el brillo como si se accediera a la configuración de la tarjeta gráfica con una simple pulsación de teclas (lo cual, en los juegos, me es bastante cómodo).

Bueno, rollos a parte, dime si ves necesario eliminar estos dos programas. Mañana postearé el resultado de la prueba.

De todas maneras, empiezo a pensar que voy a tener que "pasarme" a netscape porque este troyano es más listo aun que los que lo han ideado...
__________________
por Pip
  #8 (permalink)  
Antiguo 15/09/2004, 17:06
Avatar de elpiedra
Colaborador
 
Fecha de Ingreso: febrero-2004
Ubicación: Miami <-> Uruguay
Mensajes: 2.447
Antigüedad: 20 años, 9 meses
Puntos: 13
El Ad-Aware pude encontrar y eliminar archivos espia pero no siempre un programa entero con estas funciones.

En el caso del FlashGet esta considerado como Hijacker el cual intenta cambiarte la pagina de inicio del IE redireccionandote a sitios afiliados a su compania.

Te dejo un link de PestPatrol
http://www.pestpatrol.com/pestinfo/f/flashget.asp

En el caso de PowerStrip si lo conosco y si te funciona dejalo pero tambien es considerado como Aware que quiere decir que sea aware que como es gratis te trata de bajar pop ups barras en el navegador y otras cosas publicitarias.

PowerStrip link
http://www.pestpatrol.com/pestinfo/p/powerstrip.asp

De todas maneras si no queres no lo borres y segui con las otras coasas a ver si solo con eso se puede solucionar ok

Salu2
__________________
"Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD

InfoSpyware.com | ForoSpyware.com
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 22:18.