Formato imprimible Trucos Seguridad Spywares

Páginas web redireccionadas

última actualización el 9 de octubre de 2008, 01:18 por Carlos-vialfa
Publicado por Carlos-vialfa

1er caso: Redireccionamiento del archivo host
- Método de desinfección
2do caso: Infección de Wareout
- Método de desinfección

Si cuando haces una búsqueda o navegas en internet, las páginas que aparecen no corresponden a la búsqueda que realizaste, o te es imposible acceder a algunas páginas, como las de scan en línea, entonces eres victima de algún malware que redirecciona las páginas web.

Esto se puede traducir de dos maneras en un reporte hijackthis:

1er caso: Redireccionamiento del archivo host

Ver la parte en negrita en este reporte:
Logfile of HijackThis v1.99.1
Scan saved at 12:22:35, on 03/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Star-Phénix\Bureau\Racc Bureau\gunz-mrb-1.18\SetPoint.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Dupond\Bureau\JKA\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gunz.ijji.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.microsoft.com/8SEFRFR020600WDS/FRWCompleteAddIns
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.233.159.57:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 207.210.93.28 patch01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 patch01.psobb.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.psobb.segaonline.jp
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

Método de desinfección

Descargar Hoster
Descomprímelo en el escritorio.
Abre Hoster y haz clic en Restore Microsoft's Hosts File
Luego pasa nuevamente Hijackthis para asegurarte de que las líneas en negrita hayan desaparecido.

Otra alternativa: Restaurar el archivo Host a su estado de origen con RHost

2do caso: Infección de Wareout

Este spyware se manifiesta en un reporte hijackthis por una o más de una dirección IP de Ucrania, ejemplo:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85

Método de desinfección

Descarga FixWareout en el escritorio
Abre el programa: haz clic en Next, luego Install, asegúrate de que la opción Run fixit está activada, luego haz clic en Finish.
Se te pedirá que reinicies el PC, hazlo.
Si el sistema tarda un poco más en reiniciar, no te preocupes es normal.
El reporte que aparecerá en la pantalla será guardado en un archivo llamado report.txt.
A continuación: vuelve a ejecutar Hijackthis, ya no deberían aparecer las líneas 017, en caso contrario, selecciona do a scan only, luego marca la casilla delante de las líneas de abajo y haz clic en fix checked:
- O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
- O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
- O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
Vuelva a ejecutar hijackthis, y asegúrate de que las lineas 017 con IP de Ucrania han desaparecido.
Si después de haber pasado varias veces wareout y eliminado las líneas con hijackthis éstas se resisten, entonces veamos como eliminarlas definitivamente:
- Ve al menú Inicio > Panel de control > Conexiones > haz clic sobre la conexión > Propiedades > pestaña Administración de red
- Resalta Protocolo de Internet (tcp/ip) luego pulsa el botón Propiedades.
- En las opciones (servidor DNS preferido y servidor DNS auxiliar) encontraras una de estas direcciones presentes en la línea 017 del reporte hijackthis (ejemplo: 85.255.116.37 85.255.112.85)
- Para eliminarlas, marcar: Obtener las direcciones de los servidores DNS automáticamente luego haz clic 2 veces en OK y reinicia el PC.
A veces un PC presenta los mismos síntomas que los de una infección por wareout, aun cuando el reporte hijackthis no muestra ninguna línea 017 con IP de Ucrania. Veamos como detectar esta infección:
- Descarga Smitfraudfix de S!RI:
- Descomprime el archivo
- Ejecútalo haciendo doble clic en Smitfraudfix.cmd
- Presiona sobre una tecla para continuar
- En el menú, selecciona la opción 1: Search

ejemplo de un reporte smitfraudfix poniendo en evidencia la presencia de una infección por wareout
SmitFraudFix v2.221 

Reporte hecho 21:33:34,46, 09/09/2007 
Ejecutado desde C:\Documents and Settings\jpimpy\Escritorio\SmitfraudFix 
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT 
El tipo del sistema de archivos es NTFS 
Fix ejecutado en modo normal 

»»»»»»»»»»»»»»»»»»»»»»»» Process 
.........
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs 
!!!Atención, las siguientes claves necesariamente no están infectadas!!! 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~3\\GOEC62~1.DLL" 
"LoadAppInit_DLLs"=dword:00000001 


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System 
!!!Atención, las siguientes claves necesariamente no están infectadas!!! 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"System"="kdruc.exe" 

kdruc.exe detectado! 


»»»»»»»»»»»»»»»»»»»»»»»» Rustock 



»»»»»»»»»»»»»»»»»»»»»»»» DNS 

Descripción: Broadcom 440x 10/100 Integrated Controller – Minipuerto de planificación de paquetes 
DNS Server Search Order: 212.27.54.252 
DNS Server Search Order: 212.27.53.252 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7D0A233-9673-4C53-924F-C676560D8E4E}: DhcpNameServer=212.27.54.252 212.27.53.252 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122 


»»»»»»»»»»»»»»»»»»»»»»»» Búsqueda de infección wininet.dll 


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Para eliminarlo, tienes dos opciones:
1) Utilizar FixWareout
2) Volver a ejecutar Smitfraudfix: En el menú de inicio, selecciona la opción 5: Search and clean DNS Hijack
Tan solo te queda hacer una limpieza de tu PC para eliminar los malwares que aun quedan, e instalar un cortafuegos si aun no tienen ninguno instalado.

PD: El artículo original fue escrito por green day, contribuidor de CommentCaMarche

Anterior Cómo analizar un reporte HijackThis

Siguiente Eliminar las barras de herramientas indeseables

Mejores respuestas para « Páginas web redireccionadas » en :

Ataques de secuencia de comandos entre páginas Web (XSS) Ver Inyección de código malintencionado Los ataques por secuencias de comandos entre páginas Web (también conocidos como XSS o CSS) son ataques dirigidos a los páginas Web que muestran de forma dinámica el contenido de los usuarios sin verificar ni...

[Webmaster] Mostrar el código php/xhtml de páginas web Ver Si deseas que los internautas que visitan tu página web puedan ver el código fuente de tus archivos (PHP o HTML), existen varias soluciones. En php Mostrar el código php Mostrar el código html En html Informaciones Ver también En...

Bloquear una pagina web Ver

Cómo convertir una página web en PDF VerSi queremos convertir una página web, un manual, nuestros emails en PDF, pero no sabemos como utilizar los programas que existen para ello, entonces podemos utilizar una página web que lo hace fácil y gratis. Esta página convierte la URL de...

Insertar un documento PDF en nuestra página web VerÍndice: Inserta un documento PDF en tu página web Consejos Inserta completamente un documento PDF en tu página web Descarga del programa Convertir de formato PDF a SWF (Flash) Publicar el SWF Trucos Inserta un documento PDF en tu...

Guardar páginas Web en el PC VerCómo guardar páginas Web en el PC IE Haz clic en el menú Archivo de Internet Explorer Luego selecciona Guardar como… En la ventana “Guardar página Web”, en “Tipo” despliega la lista y selecciona Archivo web, archivo único Firefox Haz...

Aprender a hacer una pagina web (Resuelto) Ver

Agregar a tu página Web un reloj (Resuelto) Ver

Como ver una página web sin conexión (Resuelto) Ver

Descargar Web To Date Ver

Descargar WYSIWYG Web Builder VerUtiliza esta tecnología para ayudar a cualquier usuario a crear de forma fácil y rápida una página web completa sin necesidad de conocer el lenguaje HTML, que es el utilizado para la creación de sitios Web. Vas a tener una página en blanco y...

Descargar Web Page Maker Ver

Webmastering - Introducción a la creación de páginas web VerSitios web Un sitio web, también llamado sitio de Internet, consiste en un grupo de archivos HTML conectados a través de hipervínculos y almacenados en un servidor web, o sea, un equipo que aloja páginas web y que está conectado a Internet...

Webmastering - Lenguajes web VerIntroducción a la Web El término "Web" se refiere al servicio de Internet que permite a los usuarios navegar a través de las páginas web. El protocolo que se usa para este tipo de comunicación es el protocolo HTTP ("HyperText Transfer Protocol",...

Web - Marcadores VerMarcadores Cuando se navega por la Web es habitual encontrar un sitio o página Web interesante y querer anotar su dirección para regresar más adelante. Para esto se usan los marcadores (también llamados favoritos). Permiten crear un marcador virtual...