El navegador que se abría solo al iniciar sesión, la extraña página que no dejaba navegar, Process Monitor y su solución

El problema que estoy por describir ya se había publicado hace un buen rato en un hilo de Microsoft Community, aunque sin una respuesta certera. Esta vez pude enfrentarme directamente al problema y afortunadamente pude encontrar una solución, así que no dudé en documentarlo para escribir este post.

El problema

Cada que el usuario iniciaba sesión, por reinicio o cierre de sesión, se abría Internet Explorer mostrando una curiosa página similar a esta:

2015-05-17_22-05-16

Al cerrar la página la ventana no volvía a aparecer, pero Internet Explorer tampoco permitía navegar a otra página diferente, puesto que siempre abría el extraño enlace y le enviaba como parámetro la página a la que se intentaba navegar.

Así se veía intentando ingresar a la web de Sysinternals:

Malware1

De esta forma, aunque se podían abrir los enlaces posteriormente, siempre se debía pasar por la página de login.lataminternet.com.

La causa

Lo primero que intenté para solucionar el problema fue abrir Autoruns y buscar entradas que pudiese ver sospechosas y que tal vez referenciaran a esa extraña web, o por lo menos dieran pistas del porqué Internet Explorer se ejecutaba al iniciar sesión. Lamentablemente, encontré solo algunas entradas de programas inútiles que si bien inhabilité, no me solucionaron el problema del navegador.

Lo que procedí a hacer fue ejecutar Process Monitor, posteriormente iniciar el navegador e intentar ir a algún sitio como el de Sysinternals para rastrear todo lo que estaba ocurriendo en Windows y pasar a diagnosticar.

Una vez abierto el log, abrí el menú de filtros (Filter > Filter) y creé uno para que solo se incluyera en el resultado las entradas que en su detalle (Detail) tuviesen lataminternet.com:

2015-05-17_22-29-45

Por fortuna para mi, fueron pocas entradas para analizar:

2015-05-17_22-33-01

La primera y la última entrada hacían referencia a la sub-clave de TypedURLs, que es donde al parecer Internet Explorer guarda el historial de todas las páginas que se han digitado completamente en la barra de direcciones. Muy similar a RunMRU de la ventaja de Ejecutar que tiene la lista de comandos lanzados.

Descartado eso, me quedaba la clave:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLPrefixes

Desde Process Monitor, hice clic derecho y seleccioné Jump To para ir al Registro y allí me encontré con una interesante sorpresa:

11263697_10152928299007476_1556594887_n

La clave predeterminada y la de www tenían como contenido la URL completa del sitio que se abría cada vez que intentaba navegar con Internet Explorer o iniciaba sesión.

En un equipo funcional, los valores deberían verse así:

2015-05-17_22-41-23

En la otra sub-clave de registro debajo de URL, llamada DefaultPrefix estaba también referenciado el sitio:

2015-05-17_22-47-59

Todo empezaba a tener bastante sentido, pues a parte del nombre Prefijos en español de la sub-clave, no se estaba abriendo solo el protocolo (http, por ejemplo), sino toda la página de login.lataminternet.com.

*Nota: Interesante además ver que lo que anteponga como contenido en cada uno de estos valores, lo va a lanzar el navegador, ¿no lo creen?

La solución

Lo que hice para solucionar el problema, fue lo siguiente:

1. Navegar hasta la sub-clave:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix

2. Allí hice doble clic sobre el valor predeterminado y lo dejé sin contenido:

2015-05-17_22-51-00

2. Después de esto, me pasé en la misma clave de URL a la sub-clave de Prefixes.

3. Quité el contenido del valor predeterminado y cambié el de www a solo http://

2015-05-17_22-52-49

4. Reinicié el equipo.

Después del reinicio, Internet Explorer no abrió más y ahora podía navegar sin problema alguno:

2015-05-17_22-55-33

Espero sea de utilidad.

PD: No olviden seguirme en Twitter: www.twitter.com/secalderonr

Saludos.

Checho