Tengo un ordenador con WIN 2000 que se cambió la pagina de inicio por la de "about:blank" (home search), y en mis favoritos de internet me agrega dos ligas a páginas porno que borro y cada vez que entro nuevamente al IE vuelven a aparecer.

Corrí el Ad-aware 1.05, pero tuvo problemas para descargar la actualización, detectó varios procesos y los eliminó pero extrañamente se cierra sin enviar ningún mensaje...

Usé tambien el Disc Cleaner y el Hijackthis con el archivo TZ-Kill.inf instalado y esto fué lo que mando en el LOG:

Logfile of HijackThis v1.99.1
Scan saved at 12:43:39 p.m., on 18/02/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\Archivos de programa\NavNT\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\cruc.exe
C:\WINNT\System32\svchost.exe
C:\ARCHIV~1\APIKeys\DFOT43W.EXE
C:\Archivos de programa\MouseWarePro\MWProEng.exe
C:\WINNT\system32\tibs5.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe
C:\ARCHIV~1\APIKeys\KBOSDCtl.EXE
C:\ARCHIV~1\APIKeys\HKeyCnt.EXE
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe
C:\WINNT\explorer.exe
C:\WINNT\netsm32.exe
C:\WINNT\System32\cidaemon.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.segob.gob.mx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\nqwnr.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\nqwnr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\nqwnr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\nqwnr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\nqwnr.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\nqwnr.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://www.telecom.segob.gob.mx/segob.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy2.segob.gob.mx:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8F56A8C2-1F23-347C-0DCE-1F5478543008} - C:\WINNT\system32\appof.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [APIHotKeys] C:\ARCHIV~1\APIKeys\DFOT43W.EXE
O4 - HKLM\..\Run: [MWProEng] C:\Archivos de programa\MouseWarePro\MWProEng.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [tibs5] C:\WINNT\system32\tibs5.exe
O4 - HKLM\..\Run: [netsm32.exe] C:\WINNT\netsm32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Tracks Eraser Pro] C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe min
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...bridge-c46.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = secgob.gob.mx
O17 - HKLM\System\CCS\Services\Tcpip\..\{8796FF5E-187A-413C-AF74-9CD2011DB564}: NameServer = 10.2.133.249,10.2.2.241,10.2.166.234,10.2.2.105
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = secgob.gob.mx
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = secgob.gob.mx
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\NavNT\DefWatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: e-DiagTools LAN Configuration Agent (edtlancfg) - Unknown owner - C:\Archivos de programa\HP\e-DiagTools\Service.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\NavNT\rtvscan.exe
O23 - Service: Network Security Service (�%AF夶À¨) - Unknown owner - C:\WINNT\cruc.exe

Reinicié en modo a prueba de fallos y corrí nuevamente el Ad-aware, el Disk Cleaner y el HijackThis, sin obtener resultados.

Espero puedan ayudarme...
Pregunta... ¿Esto sucede únicamente con el Internet Explorer?... Si instalo el Netscape sucederá lo mismo?

Mil gracias y espero su valiosa ayuda...

Atte.
Checof

Bien vamos por partes, antes que nada te doy la bienvenida al Foro de Spyware, despues te comento que el hijackthis por si solo no hace nada por lo que si no marcas y les das FIX a algunas entradas espesificas no te vas a poder librar de los malwares con el (pero para eso estamos para ayudarte)

Por otro lado por mas que te instales otro navegador como Netscape (aunque te recomendaria Firefox 1.0) no te podes librar del IE porque windows lo necesita y este infectado mas todo la cosa que tenes en el sistema te va a enlentecer mucho la cosa.

Para empezar a limpiar el sistema realiza estos pasos.

1- Inicia en "Modo a prueba de fallos" (modo seguro)

2- Prende la opción de "Ver archivos ocultos y del sistema"

3- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\nqwnr.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\nqwnr.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\nqwnr.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\nqwnr.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\nqwnr.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\nqwnr.dll/sp.html#28129

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {8F56A8C2-1F23-347C-0DCE-1F5478543008} - C:\WINNT\system32\appof.dll

O4 - HKLM\..\Run: [tibs5] C:\WINNT\system32\tibs5.exe

O4 - HKLM\..\Run: [netsm32.exe] C:\WINNT\netsm32.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/C.../bridge-c46.cab





4- No reinicies sino que busca y elimina estos archivos manualmente

C:\WINNT\system32\tibs5.exe
C:\WINNT\netsm32.exe

6- Usa el Disk Cleaner para limpiar cookies y temporales

7- Pásale Ad-Aware SE actualizado.

8- Reinicia y después nos contas los resultados.

Salu2