Se me cambia la pagina de inicio IE (SOLUCIONADO)

Cerrado
Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Se me cambia la pagina de inicio IE (SOLUCIONADO)

Mensaje por koga » 08 Sep 2006, 21:26

Hola amigos de zonavirus, necesito ayuda porque se me cambia la pagina de inicio, esto me parece como revivir un tema porque hace algun tiempo me paso lo mismo y ustedes me ayudaron, espero esta vez sea igual.

Bueno les cuento lo que he hecho hasta ahora para no repetir lo que ya esta hecho.

Desactive restaurar sistema, borre archivos temporales, inicie en modo a prueba de errores, e hice un escaneo completo con nod32 ademas pase el Ad-aware Spybot y finalmente el Elistara, spybot y Ad-aware encontraron algunos spywares que se eliminaron, el nod32 nada, y Elistara solo me pidio que enviara un fichero con un archivo (aprovecho de pedir que en su respuesta me den el lugar donde puedo leer para ver como hacer eso si son tan amables).

Bueno al terminar el Elistara puse como pagna de inicio http://www.google.cl, pero al iniciar en modo normal ya se habia cambiado. Si cambio la pagina de inicio en herramientas la pagina se cambia sin ningun problema y todo bien hasta que reinicio el ordenador, cuando lo reinicio vuelve a cambiar la pagina de inicio.

Bueno eso es todo lo que les puedo informar espero sirva de algo para solucionar el problema, y para no perder tiempo aprovecho de adjuntar el log de hijackthis,

de ante mano muxas gracias :lol:



Logfile of HijackThis v1.99.1

Scan saved at 15:28:04, on 08/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\ARCHIV~1\MSNMES~1\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BDEE1959-AB6B-4745-A29B-F492861102CC} -

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: RegCompact - C:\WINDOWS\SYSTEM32\RegCompact.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 09 Sep 2006, 09:56

Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:







O16 - DPF: {BDEE1959-AB6B-4745-A29B-F492861102CC} -



tras ello lance el ELISTARA, elimine la página de inicio y al salir le pedirá la nueva, indiquesela y, tras reiniciar, vea los resultados





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 9-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Todavia nada

Mensaje por koga » 09 Sep 2006, 10:50

Hola, gracias por la respuesta, hice lo que me pidieron, pero el problema persiste, sigue cambiandose la pagina de inicio, adjunto la informacion del fichero infosat,





Mon Apr 10 14:20:27 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 10 14:21:20 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible



Thu Apr 27 15:33:07 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Familia\Favoritos\Antivirus Test Online.url --> Eliminado (Fichero Complementario).

Eliminada Carpeta "%WinSys%\1024"

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Apr 27 15:34:04 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible



Sat Apr 29 01:09:49 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\1024"

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 29 01:10:25 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible



Sun Apr 30 18:25:00 2006

EliStartPage v11.61 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Apr 30 18:25:31 2006

EliStartPage v11.61 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible



Wed May 24 18:27:33 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SIMPOLE.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri May 26 11:18:55 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri May 26 11:19:31 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Familia\Escritorio\juegos\Rakion\RLSFULL_1206.SFX.PART01.EXE --> Eliminado, Bifrose (dropper)

C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible



Fri May 26 11:24:15 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jun 08 12:26:32 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinDir%\LastGood"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Sep 08 14:47:41 2006

EliStartPage v12.30 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\REGCOMPACT]

Por favor, envienos una muestra del fichero

C:\WinLogon\REGCOMPACT.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

Eliminada Carpeta "%WinSys%\1024"

Eliminada Carpeta "%Archivos de Programa%\Media-Codec"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Sep 08 14:48:57 2006

EliStartPage v12.30 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible



Sat Sep 09 04:33:23 2006

EliStartPage v12.30 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\REGCOMPACT]

Por favor, envienos una muestra del fichero

C:\WinLogon\REGCOMPACT.DLL

a "virus@satinfo.es". Gracias.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Sep 09 04:34:19 2006

EliStartPage v12.30 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible



Saludos.

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Disculpen

Mensaje por koga » 09 Sep 2006, 10:54

Disculpen por error adjunte toda la informacion de las veces que he pasado el Elistara y no solo del ultimo escaneo, espero no haya problema,

saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 09 Sep 2006, 11:11

El informe es acumulativo, y asi debe ser, para ver los antecedentes. Lo has hecho bien



Aparte de que no estas usando la version actual, la que tienes (que debes considerar obsoleta) te está pidiendo que nos envies muestra, lo has hecho ???





"Por favor, envienos una muestra del fichero

C:\WinLogon\REGCOMPACT.DLL

a "virus@satinfo.es". Gracias."









Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.





Y esta version del ELISTARA ya ha sido sustituida por la 12.31







Y paralelamente hay nueva version de ELINOTIF.DLL complenentaria al ELISTARA:







Nota: el pròximo miercoles dia 13 esta version dejará de funcionar. Es la manera con la que se forzará utilizar la actualizacion de esta utiidad que se renueva cada día ...



Empezad a hacer caso ... :lol:



saludos



ms, 9-9-2006
Última edición por msc hotline sat el 09 Sep 2006, 12:13, editado 1 vez en total.

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

seguimos con esto

Mensaje por koga » 09 Sep 2006, 12:01

Que bueno que no haya habido problema con lo de la informacion del infosat, y para otra vuelta ya se que debe copiarse todo :lol:

Con respecto a la muestra que debo enviar, cuando abrí el tema dije que me habia pedido enviar una muestra pero no sabia como hacerlo... por lo que entiendo es adjuntar el archivo en un email y enviarlo a la direccion ya dicha, de no ser asi por favor corrijame.

Lo de la version del Elistara fue error mio ya que descargue el nuevo pero por error ocupe el antiguo que ya tenia desde antes :?

Bueno espero la confirmacion sobre si es asi lo de enviar la muestra y que debo hacer aparte de enviarla para solucionar el problema del cambio de pagina de inicio, por ahora pasare la nueva version de Elistara e informo resultados,

gracias por la paciencia y saludos! :wink:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 09 Sep 2006, 12:17

Envía la muestra como indicamos:







Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Y tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.





Posiblemenute sea el malware que te incordia, pero hay que analizarlo para saberlo...



saludos



ms. 9-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Muestra enviada

Mensaje por koga » 09 Sep 2006, 12:33

Envie el mail con la muestra que me pidio adjunta, espero sirva,

gracias denuevo por la paciencia y espero los resultados.

Saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 09 Sep 2006, 13:47

Mientras subela a VIRUSTOTAL y nos enteramos ya:



al final de la pagina de este link:



http://www.zonavirus.com/antivirus-on-line/



(es que el lunes es la fiesta nacional de Catalunya y hacemos fiesta en la empresa..)



saludos



ms, 9-9-2006
Última edición por msc hotline sat el 04 Feb 2007, 12:42, editado 1 vez en total.

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Archivo analizado en virus total

Mensaje por koga » 09 Sep 2006, 14:06

Bueno o subi a virus total como me pidio, y nada :?

ya me tiene medio de cabeza esto :roll:

por suerte no me da mayores problemas aparte de cambiarme la pagina de inicio...

Ahora solo espero respuesta de que hacer, gracias.

Y ojala esa fiesta este de lujo! jajaja

saludos!

Avatar de Usuario
novatillo
Mensajes: 474
Registrado: 01 May 2006, 20:48
Ubicación: valencia

Mensaje por novatillo » 09 Sep 2006, 15:07

Aparte de todo lo indicado por msc (maestro de maestros) :lol: :lol: lanza un windowsupdate y actualiza los parches parece que no tienes ninguno de este año.





Saludos.
El trabajo en equipo es esencial... te permite echarle la culpa a otro.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 09 Sep 2006, 16:43

Verás, novatillo, si en los ultimos infornes no se encuentra a faltar parches, es que los ha instalado entre los que lo indican y los que no.



Respecto a la página de inicio, en el HJT no aparece mas que la del google.cl:



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/



Cual es con la que arranca ???



saludos



ms, 9-9-2006

Avatar de Usuario
novatillo
Mensajes: 474
Registrado: 01 May 2006, 20:48
Ubicación: valencia

Mensaje por novatillo » 09 Sep 2006, 17:50

Captado msc es que se me ha ido la olla con lo de las fechas de elistara no me habia percatado del posteo del log acumulado :oops: :oops: :oops:

Ya sabes que no todo el mundo lo hace asi.

1000 perdones.

Son muchas horas de trabajo y de vez en cuando al sentarme frente al ordenador leo tan rapido que ya no se si es castellano ingles o chino :lol:





Saludos.
Última edición por novatillo el 10 Sep 2006, 11:41, editado 1 vez en total.
El trabajo en equipo es esencial... te permite echarle la culpa a otro.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 09 Sep 2006, 20:19

Ningun problema, y has de saber que con los nuevos ELISTARA y ELITRIIP (actuales) se controla tambien el MS06-040, por la importancia que tiene dicho parche y poder tener el MS06-001 y no tener el 040



Aparte, si pones el ordenador con fecha 15 de Septiembre, el ELISTARA te va a dar caducado, el ELITRIIP del jueves tambien, porque estabamos haciendo el del viernes, pero el del viernes no por que no sabemos cuando hará falta hacer la próxima del ELITRIIP, en cambio del ELISTARA ya estamos haciendo la siguiente, que saldrá el martes porque el lunes 11 es fiesta nacional en Catalunya (la diada) y no se trabaja.



Todo con el fin de que utilice siempre la ultima version, pues sino, y controlar lo último conocido, asi como la instalacion de los parches mas necesarios.



saludos



ms, 9-9-2006
Última edición por msc hotline sat el 10 Sep 2006, 09:54, editado 1 vez en total.

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Lo del hijack

Mensaje por koga » 10 Sep 2006, 00:15

Gracias novatillo igual por la preocupacion de ller mi post y dar sugerencias, y como dices bien muchas horas en el ordenador y ya no sabes si es chino lo que lees :lol:

Creo que a todos nos pasa...

Con respecto a lo del log de hijack, ese log lo hice cuando ya habia cambiado manualmente la pagina por la de google, y como dije se mantiene en la pagina que elijo hasta que reinicie mi ordenador, aqui va un log sin cambiar la pagina de inicio,



Logfile of HijackThis v1.99.1

Scan saved at 18:10:34, on 09/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\ARCHIV~1\MSNMES~1\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\rsvp.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: RegCompact - C:\WINDOWS\SYSTEM32\RegCompact.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Bueno ahi si se ve que esta como inicio una pagina about-blank.ink, que en este caso es la de http://portaldeayuda.com/

Bueno gracias por la preocupacion como siempre y ojala ya podamos encontrar la solucion para no seguir molestando :wink:

Saludos!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 10 Sep 2006, 09:58

Pues ha estado muy acertado:



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in



Esta pagina no es pagina en blanco como sería una "about:blank" pelada, sin mas !!!, sino un acceso a http://about-blank.in !!!



Y al acceder a ella redirecciona a



http://portaldeayuda.com/



Elimina esta clave, pero ademas hay que ver quien te la pone de nuevo, si es el caso...



Tras eliminarla, reinicia y mira si te ha cambiado por reiniciar, lanzandpo de nuevi el HJT. Asi sabremos si es una aplicacion qie se ejecuta al iniciar (una O4 = RUN) o si es tras abrir el navegador (una O2 = BHO), o si es al acceder a alguna web...



Y muchas gracias por sus indicaciones, nos han sido de gran ayuda. Es Vd un buen paciente :lol:



saludos



ms, 10-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Gracias

Mensaje por koga » 11 Sep 2006, 01:41

Gracias, se hace lo que se puede para facilitar la ayuda que ustedes me dan, y no puedo dejar de mencionar que lo poco que he se con respecto a estos temas de virus es gracias a ustedes y su foro (incluyendo tb a los foreros de buena voluntad que siempre intentar aportar ayuda), ojala pueda seguir aprendiendo mas de ustedes.

Volviendo al tema ya probe eliminar con el hijack la entrada, pero al reiniciar se vuelve aparecer, pero lo que no hice fue justamente comprobar si es una entrada que se genera al inicio o al abrir navegor o alguna web, asi que voy directamente a eso en este momento, teniendo los resultados informo que tipo de entrada es.

Saludos!

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Respuesta

Mensaje por koga » 11 Sep 2006, 02:25

Bueno esto fue exactamente lo que hice,

1.- lance el HJT y elimine la entrada con la pagina de inicio about-blank.in

2.-Reinicie el ordenador

3.-Inmediatamente apenas inicio, lance el HJT nuevamente, y... sorpresa!nya se habia cambiado la pagina a about-bank.in aunque era de esperarse por el comportamiento hasta ahora que fuera una entrada 04 = RUN, ademas me habria precupado que fuera una BHO porque (no estoy seguro pero me parece que no he visto una en mis log de HJT :lol:

Bueno igual pongo el log que me lanzó el HJT al reiniciar el equipo.



Logfile of HijackThis v1.99.1

Scan saved at 19:58:52, on 10/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\ARCHIV~1\MSNMES~1\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: RegCompact - C:\WINDOWS\SYSTEM32\RegCompact.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Bueno espero la respuesta que no sera tan pronto una por la diferencia horaria y segundo porque estan de fiestas el dia Lunes por lo que tengo entendido, asique aprovexo de desearles unas felices fiestas y espero que te sirva para descanzar un poco de este tema msc que nos ha salido un poco para largo :lol:

Saludos!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Sep 2006, 07:30

Bueno, hay quien en las fiestas trabaja mas...



De O4 -RUN sí que tiene unos cuantos, pero no tienen porqué ser malos:








[quote]O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?
[/quote]


Todas estas claves lanzan sus aplicaciones al arrancar el ordenador en modo normal (no en modo seguro)



En cambio las O2 -BHO no lo ghacvebn hasta que arranca el navegador Internet Explorer, pero no tiene ninguna.



Revisando estas claves ..

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Sep 2006, 07:48

Hay dos innecesarias, otras de impresora HP, otras del outpost, etc., pero todas normales de ser cargadas en el inicio si se tienen instaladas voluntariamente, en cambio esta del jusched puede que no deba serlo, ya que se trata de un sistema de actualizacion que puede convenir mas hacerlo cuando se quiera, segun se indica en la descripcion al respecto:



http://www.wilkinsonpc.com.co/free/articulos/procesos_j.html



Sin ser malware, elimine esta clave uy veamos si se debe a ella el incordio:



O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe



y tras ello, y con la pàgina de inicio corregida, reinicie y cuentenos el resultado, gracias



saludos



ms, 11-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Seguimos igual

Mensaje por koga » 11 Sep 2006, 23:02

Pues definitivamente veo que trabajas tanto o mas en los feriados msc (para suerte de los foreros en problemas como yo :lol: ) aunque aveces es bueno tomarse un descanso.



Bueno con respecto al problema, elimine la clave que me indico, corregí la pagina de inicio y reinicie pero la pagina vuelve a cambiar... adjunto el log de HJT de todas formas por si me hubiese equivocado...



Logfile of HijackThis v1.99.1

Scan saved at 16:58:03, on 11/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\ARCHIV~1\MSNMES~1\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: RegCompact - C:\WINDOWS\SYSTEM32\RegCompact.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Bueno eso es todo por ahora, espero nuevas sugerencias, gracias y

Saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 06:15

Pues aparte de esta clave:



O20 - Winlogon Notify: RegCompact - C:\WINDOWS\SYSTEM32\RegCompact.dll



que carga una DLL de AMUST REGISTRY CLEANER, que Vd sabrá si ha instyalado peroi que inicialmente no es malware, su log estña limpio limpisimo !



Si esto de ALMUST no sabe lo que es o puede prescindir de él, elimine dicha clave, no ,sea que sea lo que nos está incordiando...



y nos comenta el resultado, gracias



saludos



ms, 12-9-2006



nota: quite la dichosa pagina omdeseafa em dicha prueba, antes de reiniciar, claro. ms.,

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Aumust

Mensaje por koga » 12 Sep 2006, 06:33

Hola denuevo, en realidad yo instale el aumust, pero ya tenia el problema desde antes de intalarlo, de todas formas lo desintalare y borrare la clave que me indicas ya que el programa no lo ocupo..., como bien dices no vaya a ser que sea la que nos incordia...

procedere y comento los resultados,

saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 06:43

Pues crucemos los dedos, porque despues de esto...



Solo cabe¡ que alguna de las aplicaciones "legales" esté modificada ???



pero ya nos diras el resultado



saludos



ms. 12-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

malas noticias

Mensaje por koga » 12 Sep 2006, 09:10

Bueno todavia nada, borre la entrada pero seguimos igual,

dejo mi log y me gustaria hacer algunas preguntas...





Logfile of HijackThis v1.99.1

Scan saved at 2:43:33, on 12/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\ARCHIV~1\MSNMES~1\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Primera pregunta:

[b]O4 - Global Startup: Iniciar guiños Messenger.lnk = ?[/b]

Que es esa fila?? he visto incluso el icono en el menu inicio--->todos los programas, pero no se que hace exactamente, lo unico que hace es iniciarme el messenger... para eso tengo el acceso directo...



Segunda:

[b]O4 - Global Startup: hp psc 1000 series.lnk = ?[/b]

esta entrada deberia ser de mi impresora no??

pero porque sale como hp psc [b]1000[/b] series, siendo que en todas las otras partes mi impresora sale como hp pcs 1200 series...



Tercera:

-De que es esta entrada

[b]O4 - Global Startup: hpoddt01.exe.lnk = ?[/b]



Cuarta:

Porque llevan todas esas entradas ese signo de interrogacion al final...



En general yo intento no tener muchos programas que arranquen al iniciar windows porque hacen maslento el inicio, pero no he podido desactivar el messenger, a pesar de que voy a herramientas--->opciones--->general y desactivo el inicio con windows, sigue iniciandose... lo cmento porque me da la impresion de que puede ser por la entrada que nombro en mi primera pregunta, al ser una entrada global startup se iniciaria al logear cualquier usuario no??



Bueno msc disculpa tantas preguntas, y si algunas son muy tontas, pero prefiero preguntar y aprender que callar y seguir ignorante, si no me puedes responer algunas, porque no van al caso, no hay problema primero intentemos solucionar el problemita y ya veremos despues las preguntas, gracias como siempre,

saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 10:13

La informacion que he encontrado sobre las claves que consultas es:





1.- The entry is unnecessary and can be fixed.



2.- HP all in One; Drucker, kopierer & scanner von der Serie 1000 aufwärts



3.- Description: hpoddt01.exe is a process installed alongside the HP 2170 printer and allows for access to configuration and diagnostics for this product. This program is a non-essential process, but should not be terminated unless suspected to be causing problems.



4.-El interrogante supongo que es porque no hay dato ni opcion que contemplan como posible dichas claves



y para que seas el rey del HJT, ya que veo qie te motivam sugiero veas el tutorial:





https://foros.zonavirus.com/viewtopic.php?f=13&t=11007





y el log actual está limpio, asi que mas bien es por alguna aplicacion legitima que ki icasiuona, pero cual ???



Si sabes desde cuando te pasa, instalastes algo posteriormente ???



saludos



ms, 12-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

EXELENTES NOTICIAS!!!

Mensaje por koga » 12 Sep 2006, 10:51

Tengo buenas noticias, descubri el problema, era esta entrada

[b]O4 - Global Startup: Iniciar guiños Messenger.lnk = ? [/b]

Como me dijiste que podia borrarla procedi hacerlo ya que me parecia que era esa la entrada que hacia que mi messenger iniciara solo al iniciar windows, ademas era muy extraño porque como dije en la respuesta anterior el icono al ejecutarlo solo me habria el messenger.

Pero al eliminar la clave me salio un mensage extraño en el HJT.

Luego cambie la agina de inicio por google, y despues por curiosidad volvi a ejecutar el icono de al que hacia referencia esta entrada, y para mi sorpresa no solo ejecuto el messenger si no que tambien me cambio la pagina de inicio del I.E!!! sin que ubiese reiniciado mi pc.

Asi que volvi a ejecutar el HJT para ver si estaba denuevo la entrada pero no estaba asi que volvi a cambiar la pagina de inicio del I.E por google y reinicie el equipo, como lo pense al reiniciar ya no se iniciaba mi messenger automaticamente, y revise el I.E y todo perfecto estaba google de inicio, adjunto de todas formas como quedo el log de HJT, ademas borre una entrada del outpust que ya no ocupo hace tiempo.



Logfile of HijackThis v1.99.1

Scan saved at 4:42:41, on 12/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Como no sabia como mostrar lo que decia el mensage del HJT lo adjunte al msg una imagen del paint, no se si sirva pero si no porfavor me indicas que hacer.

Con respecto a lo del tutorial muxas gracias y lo leere las veces que tenga tiempo.

Bueno que mas decir que muxas gracias por toda la paciencia y por ayudarme una vez mas, te debo una bien grande msc!

Espero tu cmentario a ver que me dices sobre el mensage que me dio el HJT al borrar la entrada.

Saludos!





P.D: Ya me doy cuenta que la extension .bmp no esta permitida :( asi que escribo lo que dice el mensage...



Unexpected error occurred!

Error #52 (Bad file name or number) in Sub GetLongPath(?.exe)



Please send a report to merijn@spywareinfo.com, mentioning what your were doing, and waht version of Windows you have.



This message has been copied to your clipboard



Aceptar



Bueno esta lo mas parecido que pude, como ves me pide que envie un reporte a esa direccion mencionando que version de windows tengo etc...

Bueno ahora si espero respuesta para ver que hago con eso.



Saludos!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2006, 11:30

Se nos ha convertido en todo un experto !!!



Efectivamente esta clave indican que es innecesaria, pero de eso a ser impertinente va un trecho !



Pero si tras eliminarla le da otros problemas, suiguero desinstalar el MSM e instalarlo de nuevo.



Pero que muy bien por su intuicion ! Para cualquiera (y me incluyo) ya habría dejado aparcado el HJT ...



Referente a la imagenes capturadas por el Paint, salvelas en GIF y las poda agregar. Es qie el BMP crea ficheros monstruosos de tamaño.



Y priebe lo indicado, elimine la clave, desinstale el MSM y tras volverlo a instalar nos comenta el resultado, gracias



saludops



ms, 12-9-2006

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Ahora si

Mensaje por koga » 12 Sep 2006, 12:05

jajaja gracias!! pero de experto nada!

los expertos aca son ustedes porque si no hubiese recibido la informacion de que podia borrar la entrada no lo habria hecho... y no se habria solucionado el problema...

Ya había probado antes desintalar messenger por el problema que comentaba acerca de que no podia desactivarlo para que no se iniciara con windows, pero desintale y volvi a instalar y el problema persitia y lo del I.E tb...



Bueno a pesar de que en mi mensage anterior escribi lo que decia el mensage que me dio el HJT lo adjunto ahora como JPG (no se en que pensaba cuando lo guarde en BMP... :? )

El archivo que causa el problema esta en

[b]C:\Archivos de programa\MSN Messenger Guiños\instalar guiños.exe[/b]

Esa carpeta ademas contiene un archivo ejecutable que se llama "instalar winks" que no he querido ejecutar por precaucion...

Bueno no se que hacer con la carpeta, la borro? envio una muestra del contenido?

y tb espero respuesta sobre que hacer con respecto al mensage del HJT.

Saludos.



P.D: Despues de borrada la clave no se me ha presentado ningun inconveniente ni con messenger ni con otras aplicaciones.
Adjuntos
para msc.jpg
Esto fue lo que me mostro el HJT cuando quice borrar la clave
(13.24 KiB) Descargado 798 veces

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Virus total

Mensaje por koga » 12 Sep 2006, 12:53

Aprovecho de publicar los resultados de analisis de los archivos anteriormente nombrados segun VIRUTOTAL
Adjuntos
resultados virus total.GIF
Archivo: &quot;instalar_gui_os.exe&quot;
(16.1 KiB) Descargado 791 veces
Resultados virustotal 2.GIF
Archivo: Instalar_Winks.exe
(15.62 KiB) Descargado 791 veces

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”