Se me cambia la pagina de inicio IE (SOLUCIONADO)

Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 10 Sep 2006, 09:58

Pues ha estado muy acertado:



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in



Esta pagina no es pagina en blanco como sería una "about:blank" pelada, sin mas !!!, sino un acceso a http://about-blank.in !!!



Y al acceder a ella redirecciona a



http://portaldeayuda.com/



Elimina esta clave, pero ademas hay que ver quien te la pone de nuevo, si es el caso...



Tras eliminarla, reinicia y mira si te ha cambiado por reiniciar, lanzandpo de nuevi el HJT. Asi sabremos si es una aplicacion qie se ejecuta al iniciar (una O4 = RUN) o si es tras abrir el navegador (una O2 = BHO), o si es al acceder a alguna web...



Y muchas gracias por sus indicaciones, nos han sido de gran ayuda. Es Vd un buen paciente :lol:



saludos



ms, 10-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Gracias

Mensaje por koga » 11 Sep 2006, 01:41

Gracias, se hace lo que se puede para facilitar la ayuda que ustedes me dan, y no puedo dejar de mencionar que lo poco que he se con respecto a estos temas de virus es gracias a ustedes y su foro (incluyendo tb a los foreros de buena voluntad que siempre intentar aportar ayuda), ojala pueda seguir aprendiendo mas de ustedes.

Volviendo al tema ya probe eliminar con el hijack la entrada, pero al reiniciar se vuelve aparecer, pero lo que no hice fue justamente comprobar si es una entrada que se genera al inicio o al abrir navegor o alguna web, asi que voy directamente a eso en este momento, teniendo los resultados informo que tipo de entrada es.

Saludos!

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Respuesta

Mensaje por koga » 11 Sep 2006, 02:25

Bueno esto fue exactamente lo que hice,

1.- lance el HJT y elimine la entrada con la pagina de inicio about-blank.in

2.-Reinicie el ordenador

3.-Inmediatamente apenas inicio, lance el HJT nuevamente, y... sorpresa!nya se habia cambiado la pagina a about-bank.in aunque era de esperarse por el comportamiento hasta ahora que fuera una entrada 04 = RUN, ademas me habria precupado que fuera una BHO porque (no estoy seguro pero me parece que no he visto una en mis log de HJT :lol:

Bueno igual pongo el log que me lanzó el HJT al reiniciar el equipo.



Logfile of HijackThis v1.99.1

Scan saved at 19:58:52, on 10/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\ARCHIV~1\MSNMES~1\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: RegCompact - C:\WINDOWS\SYSTEM32\RegCompact.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Bueno espero la respuesta que no sera tan pronto una por la diferencia horaria y segundo porque estan de fiestas el dia Lunes por lo que tengo entendido, asique aprovexo de desearles unas felices fiestas y espero que te sirva para descanzar un poco de este tema msc que nos ha salido un poco para largo :lol:

Saludos!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Sep 2006, 07:30

Bueno, hay quien en las fiestas trabaja mas...



De O4 -RUN sí que tiene unos cuantos, pero no tienen porqué ser malos:








[quote]O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?
[/quote]


Todas estas claves lanzan sus aplicaciones al arrancar el ordenador en modo normal (no en modo seguro)



En cambio las O2 -BHO no lo ghacvebn hasta que arranca el navegador Internet Explorer, pero no tiene ninguna.



Revisando estas claves ..

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Sep 2006, 07:48

Hay dos innecesarias, otras de impresora HP, otras del outpost, etc., pero todas normales de ser cargadas en el inicio si se tienen instaladas voluntariamente, en cambio esta del jusched puede que no deba serlo, ya que se trata de un sistema de actualizacion que puede convenir mas hacerlo cuando se quiera, segun se indica en la descripcion al respecto:



http://www.wilkinsonpc.com.co/free/articulos/procesos_j.html



Sin ser malware, elimine esta clave uy veamos si se debe a ella el incordio:



O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe



y tras ello, y con la pàgina de inicio corregida, reinicie y cuentenos el resultado, gracias



saludos



ms, 11-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Seguimos igual

Mensaje por koga » 11 Sep 2006, 23:02

Pues definitivamente veo que trabajas tanto o mas en los feriados msc (para suerte de los foreros en problemas como yo :lol: ) aunque aveces es bueno tomarse un descanso.



Bueno con respecto al problema, elimine la clave que me indico, corregí la pagina de inicio y reinicie pero la pagina vuelve a cambiar... adjunto el log de HJT de todas formas por si me hubiese equivocado...



Logfile of HijackThis v1.99.1

Scan saved at 16:58:03, on 11/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\ARCHIV~1\MSNMES~1\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: RegCompact - C:\WINDOWS\SYSTEM32\RegCompact.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Bueno eso es todo por ahora, espero nuevas sugerencias, gracias y

Saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 06:15

Pues aparte de esta clave:



O20 - Winlogon Notify: RegCompact - C:\WINDOWS\SYSTEM32\RegCompact.dll



que carga una DLL de AMUST REGISTRY CLEANER, que Vd sabrá si ha instyalado peroi que inicialmente no es malware, su log estña limpio limpisimo !



Si esto de ALMUST no sabe lo que es o puede prescindir de él, elimine dicha clave, no ,sea que sea lo que nos está incordiando...



y nos comenta el resultado, gracias



saludos



ms, 12-9-2006



nota: quite la dichosa pagina omdeseafa em dicha prueba, antes de reiniciar, claro. ms.,

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Aumust

Mensaje por koga » 12 Sep 2006, 06:33

Hola denuevo, en realidad yo instale el aumust, pero ya tenia el problema desde antes de intalarlo, de todas formas lo desintalare y borrare la clave que me indicas ya que el programa no lo ocupo..., como bien dices no vaya a ser que sea la que nos incordia...

procedere y comento los resultados,

saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 06:43

Pues crucemos los dedos, porque despues de esto...



Solo cabe¡ que alguna de las aplicaciones "legales" esté modificada ???



pero ya nos diras el resultado



saludos



ms. 12-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

malas noticias

Mensaje por koga » 12 Sep 2006, 09:10

Bueno todavia nada, borre la entrada pero seguimos igual,

dejo mi log y me gustaria hacer algunas preguntas...





Logfile of HijackThis v1.99.1

Scan saved at 2:43:33, on 12/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\ARCHIV~1\MSNMES~1\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Primera pregunta:

[b]O4 - Global Startup: Iniciar guiños Messenger.lnk = ?[/b]

Que es esa fila?? he visto incluso el icono en el menu inicio--->todos los programas, pero no se que hace exactamente, lo unico que hace es iniciarme el messenger... para eso tengo el acceso directo...



Segunda:

[b]O4 - Global Startup: hp psc 1000 series.lnk = ?[/b]

esta entrada deberia ser de mi impresora no??

pero porque sale como hp psc [b]1000[/b] series, siendo que en todas las otras partes mi impresora sale como hp pcs 1200 series...



Tercera:

-De que es esta entrada

[b]O4 - Global Startup: hpoddt01.exe.lnk = ?[/b]



Cuarta:

Porque llevan todas esas entradas ese signo de interrogacion al final...



En general yo intento no tener muchos programas que arranquen al iniciar windows porque hacen maslento el inicio, pero no he podido desactivar el messenger, a pesar de que voy a herramientas--->opciones--->general y desactivo el inicio con windows, sigue iniciandose... lo cmento porque me da la impresion de que puede ser por la entrada que nombro en mi primera pregunta, al ser una entrada global startup se iniciaria al logear cualquier usuario no??



Bueno msc disculpa tantas preguntas, y si algunas son muy tontas, pero prefiero preguntar y aprender que callar y seguir ignorante, si no me puedes responer algunas, porque no van al caso, no hay problema primero intentemos solucionar el problemita y ya veremos despues las preguntas, gracias como siempre,

saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 10:13

La informacion que he encontrado sobre las claves que consultas es:





1.- The entry is unnecessary and can be fixed.



2.- HP all in One; Drucker, kopierer & scanner von der Serie 1000 aufwärts



3.- Description: hpoddt01.exe is a process installed alongside the HP 2170 printer and allows for access to configuration and diagnostics for this product. This program is a non-essential process, but should not be terminated unless suspected to be causing problems.



4.-El interrogante supongo que es porque no hay dato ni opcion que contemplan como posible dichas claves



y para que seas el rey del HJT, ya que veo qie te motivam sugiero veas el tutorial:





https://foros.zonavirus.com/viewtopic.php?f=13&t=11007





y el log actual está limpio, asi que mas bien es por alguna aplicacion legitima que ki icasiuona, pero cual ???



Si sabes desde cuando te pasa, instalastes algo posteriormente ???



saludos



ms, 12-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

EXELENTES NOTICIAS!!!

Mensaje por koga » 12 Sep 2006, 10:51

Tengo buenas noticias, descubri el problema, era esta entrada

[b]O4 - Global Startup: Iniciar guiños Messenger.lnk = ? [/b]

Como me dijiste que podia borrarla procedi hacerlo ya que me parecia que era esa la entrada que hacia que mi messenger iniciara solo al iniciar windows, ademas era muy extraño porque como dije en la respuesta anterior el icono al ejecutarlo solo me habria el messenger.

Pero al eliminar la clave me salio un mensage extraño en el HJT.

Luego cambie la agina de inicio por google, y despues por curiosidad volvi a ejecutar el icono de al que hacia referencia esta entrada, y para mi sorpresa no solo ejecuto el messenger si no que tambien me cambio la pagina de inicio del I.E!!! sin que ubiese reiniciado mi pc.

Asi que volvi a ejecutar el HJT para ver si estaba denuevo la entrada pero no estaba asi que volvi a cambiar la pagina de inicio del I.E por google y reinicie el equipo, como lo pense al reiniciar ya no se iniciaba mi messenger automaticamente, y revise el I.E y todo perfecto estaba google de inicio, adjunto de todas formas como quedo el log de HJT, ademas borre una entrada del outpust que ya no ocupo hace tiempo.



Logfile of HijackThis v1.99.1

Scan saved at 4:42:41, on 12/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Como no sabia como mostrar lo que decia el mensage del HJT lo adjunte al msg una imagen del paint, no se si sirva pero si no porfavor me indicas que hacer.

Con respecto a lo del tutorial muxas gracias y lo leere las veces que tenga tiempo.

Bueno que mas decir que muxas gracias por toda la paciencia y por ayudarme una vez mas, te debo una bien grande msc!

Espero tu cmentario a ver que me dices sobre el mensage que me dio el HJT al borrar la entrada.

Saludos!





P.D: Ya me doy cuenta que la extension .bmp no esta permitida :( asi que escribo lo que dice el mensage...



Unexpected error occurred!

Error #52 (Bad file name or number) in Sub GetLongPath(?.exe)



Please send a report to merijn@spywareinfo.com, mentioning what your were doing, and waht version of Windows you have.



This message has been copied to your clipboard



Aceptar



Bueno esta lo mas parecido que pude, como ves me pide que envie un reporte a esa direccion mencionando que version de windows tengo etc...

Bueno ahora si espero respuesta para ver que hago con eso.



Saludos!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 11:30

Se nos ha convertido en todo un experto !!!



Efectivamente esta clave indican que es innecesaria, pero de eso a ser impertinente va un trecho !



Pero si tras eliminarla le da otros problemas, suiguero desinstalar el MSM e instalarlo de nuevo.



Pero que muy bien por su intuicion ! Para cualquiera (y me incluyo) ya habría dejado aparcado el HJT ...



Referente a la imagenes capturadas por el Paint, salvelas en GIF y las poda agregar. Es qie el BMP crea ficheros monstruosos de tamaño.



Y priebe lo indicado, elimine la clave, desinstale el MSM y tras volverlo a instalar nos comenta el resultado, gracias



saludops



ms, 12-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Ahora si

Mensaje por koga » 12 Sep 2006, 12:05

jajaja gracias!! pero de experto nada!

los expertos aca son ustedes porque si no hubiese recibido la informacion de que podia borrar la entrada no lo habria hecho... y no se habria solucionado el problema...

Ya había probado antes desintalar messenger por el problema que comentaba acerca de que no podia desactivarlo para que no se iniciara con windows, pero desintale y volvi a instalar y el problema persitia y lo del I.E tb...



Bueno a pesar de que en mi mensage anterior escribi lo que decia el mensage que me dio el HJT lo adjunto ahora como JPG (no se en que pensaba cuando lo guarde en BMP... :? )

El archivo que causa el problema esta en

[b]C:\Archivos de programa\MSN Messenger Guiños\instalar guiños.exe[/b]

Esa carpeta ademas contiene un archivo ejecutable que se llama "instalar winks" que no he querido ejecutar por precaucion...

Bueno no se que hacer con la carpeta, la borro? envio una muestra del contenido?

y tb espero respuesta sobre que hacer con respecto al mensage del HJT.

Saludos.



P.D: Despues de borrada la clave no se me ha presentado ningun inconveniente ni con messenger ni con otras aplicaciones.
Adjuntos
para msc.jpg
Esto fue lo que me mostro el HJT cuando quice borrar la clave
(13.24 KiB) Descargado 798 veces

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Virus total

Mensaje por koga » 12 Sep 2006, 12:53

Aprovecho de publicar los resultados de analisis de los archivos anteriormente nombrados segun VIRUTOTAL
Adjuntos
resultados virus total.GIF
Archivo: "instalar_gui_os.exe"
(16.1 KiB) Descargado 791 veces
Resultados virustotal 2.GIF
Archivo: Instalar_Winks.exe
(15.62 KiB) Descargado 791 veces

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 12:57

Casi lo tenemos con el pie al cuello !

Envíenos este o estos ficheros: C:\Archivos de programa\MSN Messenger Guiños\instalar guiños.exe y el que dice de qie <Esa carpeta ademas contiene un archivo ejecutable que se llama "instalar winks">

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y así podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

Y si de momento le va bien como está, siga así y espere nuestras indicaciones

saludos
ms, 12-9-2006
Última edición por msc hotline sat el 12 Sep 2006, 13:39, editado 1 vez en total.

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Respuesta

Mensaje por koga » 12 Sep 2006, 13:11

Mail enviado,
Espero la respuesta solamente,
saludos!

P.D:con respecto al mensaje de error que me dio el HJT?

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 15:44

El mensaje de error, si quiere enviarlo hagalo, siempre es bueno participar, si bien pudo ser debido a una anomalia de ficheros ya que en las muestras recibidas no hay trazas víricas



A pesar de ello los subo a VirusTotal:

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Ok ahi veo si las envio

Mensaje por koga » 12 Sep 2006, 15:49

ve si las envio, con respecto a o de virus total yo ya las analice y puse en la pagina anterior los resultados del analisis de ambos archivos.

Saludos.



P.D: es el ultimo post de la pagina 2 :wink:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 18:03

El fichero de winks es correcto pero el de guiños crea la dichosa pagina de inicio

Se implenenta su control y eliminacion en el ELISTARA de hoy

A partir de las 19 horas esta previsto subirlo a esta web

Pruebalo y nos cuentas, gracias

saludos
ms, 12-9-2006
Última edición por msc hotline sat el 13 Sep 2006, 11:51, editado 1 vez en total.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 19:12

Disponible la nueva versión del ELISTARA

saludos
ms, 12-9-2006
Última edición por msc hotline sat el 04 Feb 2007, 12:44, editado 1 vez en total.

Avatar de Usuario
novatillo
Mensajes: 474
Registrado: 01 May 2006, 20:48
Ubicación: valencia

Mensaje por novatillo » 12 Sep 2006, 21:39

Despues de leerme y releerme el post de koga mis mas sinceras felicitaciones :lol: ojala todos los foreros le pusieramos tanto empeño como "KOGA" ya veo que tengo a alguien mas de quien aprender :shock: :shock:
Buena leccion nos ha dado :oops: :oops:

FELICIDADES
Saludos.

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 12 Sep 2006, 22:50

Elimina esta entrada
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in

La pueden utilizar BICHOSSSSS y cámbiala por ejemplo a esta que es aconsejada...

Saludos
maura63

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Trabajo terminado

Mensaje por koga » 12 Sep 2006, 23:44

Gracias novatillo por las felicitaciones, pero tu llevas bastante mas tiempo que yo por aqui, por lo cual creo que yo tengo mucho que aprender de ti, ojala podamos ayudarnos en los problemas que tengamos haber si le alivianamos un poquito el trabajo a msc y al resto de la gente de aca de zonavirus.
Bueno descargue el Elistara y borro el archivo, dejo la informacion del fichero infosat de todas formas...

Mon Apr 10 14:20:27 2006
EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\WINDOWS\WEB\RELATED.HTM --> Eliminado 
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Apr 10 14:21:20 2006
EliStartPage v11.48  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible

	  Thu Apr 27 15:33:07 2006
EliStartPage v11.56  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).
C:\Documents and Settings\Familia\Favoritos\Antivirus Test Online.url --> Eliminado (Fichero Complementario).
Eliminada Carpeta "%WinSys%\1024"
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Apr 27 15:34:04 2006
EliStartPage v11.56  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible

	  Sat Apr 29 01:09:49 2006
EliStartPage v11.56  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinSys%\1024"
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Apr 29 01:10:25 2006
EliStartPage v11.56  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible

	  Sun Apr 30 18:25:00 2006
EliStartPage v11.61  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Apr 30 18:25:31 2006
EliStartPage v11.61  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible

	  Wed May 24 18:27:33 2006
EliStartPage v11.71  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\SIMPOLE.TLB --> Eliminado 
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado 
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri May 26 11:18:55 2006
EliStartPage v11.71  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri May 26 11:19:31 2006
EliStartPage v11.71  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Documents and Settings\Familia\Escritorio\juegos\Rakion\RLSFULL_1206.SFX.PART01.EXE --> Eliminado, Bifrose (dropper)
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible

	  Fri May 26 11:24:15 2006
EliStartPage v11.71  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Jun 08 12:26:32 2006
EliStartPage v11.71  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\LastGood"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Sep 08 14:47:41 2006
EliStartPage v12.30  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\REGCOMPACT]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\REGCOMPACT.DLL
 a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).
Eliminada Carpeta "%WinSys%\1024"
Eliminada Carpeta "%Archivos de Programa%\Media-Codec"
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Sep 08 14:48:57 2006
EliStartPage v12.30  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible

	  Sat Sep 09 04:33:23 2006
EliStartPage v12.30  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\REGCOMPACT]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\REGCOMPACT.DLL
 a "virus@satinfo.es". Gracias.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Sep 09 04:34:19 2006
EliStartPage v12.30  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible

	  Sat Sep 09 06:13:57 2006
EliStartPage v12.31  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\REGCOMPACT]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\REGCOMPACT.DLL
 a "virus@satinfo.es". Gracias.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Sep 09 06:14:54 2006
EliStartPage v12.31  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible

	  Tue Sep 12 17:09:42 2006
EliStartPage v12.32  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue Sep 12 17:10:39 2006
EliStartPage v12.32  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\MSN Messenger Guiños\INSTALAR GUIñOS.EXE --> Eliminado, Guiños(msn)
C:\Archivos de programa\Registry Workshop\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Documents and Settings\Familia\Mis documentos\Programas\Editores de registro\REGISTRYWORKSHOP_ESN.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible
Y quiero aprovecharme de su amabilidad antes de cerrar el tema, a pesar de que estuve viendo el tutorial que me diste msc quiero que me respondas esta pregunta si es posible, a que corresponden estas entradas 018 que marque en el log.


Logfile of HijackThis v1.99.1
Scan saved at 17:28:38, on 12/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
[b]O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll[/b]
[b]O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)[/b]
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Bueno y después de eso ya puedes dar por totalmente solucionado el tema, eternamente agradecido!!! por la paciencia, y todo el esfuerzo que pones siempre msc y por supuesto a todos los que se dieron el trabajo de leer mi tema y dar sugerencias muchas gracias!
No esta demás decir que cualquier cosa que pueda ayudar pues lo hare con gusto, ahora a leerme el tutorial para seguir aprendiendo .
Y nos vemos en el próximo tema que abriré porque no puedo desintalar un programa
:lol: jajajaja,

saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 13 Sep 2006, 11:57

Buenoi pues gracias a tu intuicion hjemos logrado cazar este nuevo troyano y eliminarlo con el ELISTARA 12.32, SEGUN SE VE EN EL INFOSAT.TXT
C:\Archivos de programa\MSN Messenger Guiños\INSTALAR GUIñOS.EXE --> Eliminado

A Maura63, que ha estado ausente, decirle que efectivamente la clave es maliciosa, pero por mas que la eliminabamos se reproducía debido a este guños.exe, que nadie detectaba como virus (mira post anteriores de este Tema)

Y sobre las claves O18 te lo miro e informo

ms.
Última edición por msc hotline sat el 13 Sep 2006, 12:10, editado 2 veces en total.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 13 Sep 2006, 12:05

Son aplicaciones de Microsoft, del Messenger y del Help, son legales, claro, y ya. tal como indicas, damos el Tema por solucionado y procedemos a cerrarlo.

saludos
ms, 12-9-2006

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”