Se me cambia la pagina de inicio IE (SOLUCIONADO)
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Casi lo tenemos con el pie al cuello !
Envíenos este o estos ficheros: C:\Archivos de programa\MSN Messenger Guiños\instalar guiños.exe y el que dice de qie <Esa carpeta ademas contiene un archivo ejecutable que se llama "instalar winks">
Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y así podremos informarle si hay alguna incidencia sobre el particular, gracias.
Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.
Y si de momento le va bien como está, siga así y espere nuestras indicaciones
saludos
ms, 12-9-2006
Envíenos este o estos ficheros: C:\Archivos de programa\MSN Messenger Guiños\instalar guiños.exe y el que dice de qie <Esa carpeta ademas contiene un archivo ejecutable que se llama "instalar winks">
Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y así podremos informarle si hay alguna incidencia sobre el particular, gracias.
Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.
Y si de momento le va bien como está, siga así y espere nuestras indicaciones
saludos
ms, 12-9-2006
Última edición por msc hotline sat el 12 Sep 2006, 13:39, editado 1 vez en total.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
El mensaje de error, si quiere enviarlo hagalo, siempre es bueno participar, si bien pudo ser debido a una anomalia de ficheros ya que en las muestras recibidas no hay trazas víricas
A pesar de ello los subo a VirusTotal:
A pesar de ello los subo a VirusTotal:
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Ok ahi veo si las envio
ve si las envio, con respecto a o de virus total yo ya las analice y puse en la pagina anterior los resultados del analisis de ambos archivos.
Saludos.
P.D: es el ultimo post de la pagina 2:wink:
Saludos.
P.D: es el ultimo post de la pagina 2
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
El fichero de winks es correcto pero el de guiños crea la dichosa pagina de inicio
Se implenenta su control y eliminacion en el ELISTARA de hoy
A partir de las 19 horas esta previsto subirlo a esta web
Pruebalo y nos cuentas, gracias
saludos
ms, 12-9-2006
Se implenenta su control y eliminacion en el ELISTARA de hoy
A partir de las 19 horas esta previsto subirlo a esta web
Pruebalo y nos cuentas, gracias
saludos
ms, 12-9-2006
Última edición por msc hotline sat el 13 Sep 2006, 11:51, editado 1 vez en total.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Última edición por msc hotline sat el 04 Feb 2007, 12:44, editado 1 vez en total.
Trabajo terminado
Gracias novatillo por las felicitaciones, pero tu llevas bastante mas tiempo que yo por aqui, por lo cual creo que yo tengo mucho que aprender de ti, ojala podamos ayudarnos en los problemas que tengamos haber si le alivianamos un poquito el trabajo a msc y al resto de la gente de aca de zonavirus.
Bueno descargue el Elistara y borro el archivo, dejo la informacion del fichero infosat de todas formas...
Mon Apr 10 14:20:27 2006
EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Y quiero aprovecharme de su amabilidad antes de cerrar el tema, a pesar de que estuve viendo el tutorial que me diste msc quiero que me respondas esta pregunta si es posible, a que corresponden estas entradas 018 que marque en el log.
Logfile of HijackThis v1.99.1
Scan saved at 17:28:38, on 12/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
Bueno y después de eso ya puedes dar por totalmente solucionado el tema, eternamente agradecido!!! por la paciencia, y todo el esfuerzo que pones siempre msc y por supuesto a todos los que se dieron el trabajo de leer mi tema y dar sugerencias muchas gracias!
No esta demás decir que cualquier cosa que pueda ayudar pues lo hare con gusto, ahora a leerme el tutorial para seguir aprendiendo .
Y nos vemos en el próximo tema que abriré porque no puedo desintalar un programa
jajajaja,
saludos.
Bueno descargue el Elistara y borro el archivo, dejo la informacion del fichero infosat de todas formas...
Mon Apr 10 14:20:27 2006
EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Código: Seleccionar todo
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WEB\RELATED.HTM --> Eliminado
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Apr 10 14:21:20 2006
EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible
Thu Apr 27 15:33:07 2006
EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).
C:\Documents and Settings\Familia\Favoritos\Antivirus Test Online.url --> Eliminado (Fichero Complementario).
Eliminada Carpeta "%WinSys%\1024"
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Apr 27 15:34:04 2006
EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible
Sat Apr 29 01:09:49 2006
EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinSys%\1024"
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 29 01:10:25 2006
EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible
Sun Apr 30 18:25:00 2006
EliStartPage v11.61 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Apr 30 18:25:31 2006
EliStartPage v11.61 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible
Wed May 24 18:27:33 2006
EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\SIMPOLE.TLB --> Eliminado
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri May 26 11:18:55 2006
EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri May 26 11:19:31 2006
EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\BitTornado\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Documents and Settings\Familia\Escritorio\juegos\Rakion\RLSFULL_1206.SFX.PART01.EXE --> Eliminado, Bifrose (dropper)
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible
Fri May 26 11:24:15 2006
EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Jun 08 12:26:32 2006
EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\LastGood"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Sep 08 14:47:41 2006
EliStartPage v12.30 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\REGCOMPACT]
Por favor, envienos una muestra del fichero
C:\WinLogon\REGCOMPACT.DLL
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).
Eliminada Carpeta "%WinSys%\1024"
Eliminada Carpeta "%Archivos de Programa%\Media-Codec"
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Sep 08 14:48:57 2006
EliStartPage v12.30 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible
Sat Sep 09 04:33:23 2006
EliStartPage v12.30 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\REGCOMPACT]
Por favor, envienos una muestra del fichero
C:\WinLogon\REGCOMPACT.DLL
a "virus@satinfo.es". Gracias.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Sep 09 04:34:19 2006
EliStartPage v12.30 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible
Sat Sep 09 06:13:57 2006
EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\REGCOMPACT]
Por favor, envienos una muestra del fichero
C:\WinLogon\REGCOMPACT.DLL
a "virus@satinfo.es". Gracias.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Sep 09 06:14:54 2006
EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible
Tue Sep 12 17:09:42 2006
EliStartPage v12.32 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Sep 12 17:10:39 2006
EliStartPage v12.32 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\MSN Messenger Guiños\INSTALAR GUIñOS.EXE --> Eliminado, Guiños(msn)
C:\Archivos de programa\Registry Workshop\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Documents and Settings\Familia\Mis documentos\Programas\Editores de registro\REGISTRYWORKSHOP_ESN.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible
Logfile of HijackThis v1.99.1
Scan saved at 17:28:38, on 12/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
Código: Seleccionar todo
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
[b]O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll[/b]
[b]O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)[/b]
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
No esta demás decir que cualquier cosa que pueda ayudar pues lo hare con gusto, ahora a leerme el tutorial para seguir aprendiendo .
Y nos vemos en el próximo tema que abriré porque no puedo desintalar un programa
jajajaja,
saludos.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Buenoi pues gracias a tu intuicion hjemos logrado cazar este nuevo troyano y eliminarlo con el ELISTARA 12.32, SEGUN SE VE EN EL INFOSAT.TXT
C:\Archivos de programa\MSN Messenger Guiños\INSTALAR GUIñOS.EXE --> Eliminado
A Maura63, que ha estado ausente, decirle que efectivamente la clave es maliciosa, pero por mas que la eliminabamos se reproducía debido a este guños.exe, que nadie detectaba como virus (mira post anteriores de este Tema)
Y sobre las claves O18 te lo miro e informo
ms.
C:\Archivos de programa\MSN Messenger Guiños\INSTALAR GUIñOS.EXE --> Eliminado
A Maura63, que ha estado ausente, decirle que efectivamente la clave es maliciosa, pero por mas que la eliminabamos se reproducía debido a este guños.exe, que nadie detectaba como virus (mira post anteriores de este Tema)
Y sobre las claves O18 te lo miro e informo
ms.
Última edición por msc hotline sat el 13 Sep 2006, 12:10, editado 2 veces en total.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar: