Zlob.DNS Changer, ayudadme a eliminarlo (SOLUCIONADO)

desperadito · Mensaje por **desperadito** » 16 Jul 2007, 16:21

Saludos, el primer sintoma que noté es que, con el IE y el buscador Google, al pinchar los enlaces nunca salia la pagina que yo queria (no sé si es normal, pero el Mozilla funciona correctamente).

Análisis on line de Panda, Kaspersky y Simantec, descarga y análisis con Spybot S&D y descarga del Spywareblaster, scaner con mi antivirus residente(F-secure, tengo contratada la seguridad de mi proveedor R) no me lo han resuelto.

El Spybot me da el problema Zlob.DNS Changer, le clikeo solucionar problema y dice problema solucionado pero lo vuelvo a escanear y el dichoso bicho sigue ahí.

Por favor que alguien me ayude a echarlo de mi pc.

Un dato más, un niño de 5 años tiene mas conocimientos informáticos que yo :D .

Mensaje por **msc hotline sat** » 16 Jul 2007, 16:47

Prueba el ELISTARA /ELINOTIF:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 16-07-2007

desperadito · Mensaje por **desperadito** » 16 Jul 2007, 17:09

[quote="msc hotline sat"]Prueba el ELISTARA /ELINOTIF:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

Saludos y gracias por contestarme tan rápido, como ya comenté en el primer mensaje, soy muy ignorante en el tema informatico y no soy capaz de descargar nada de lo que me pones, pincho los enlaces, se abre la página y después?

Por favor espero que tengas un poquito de paciencia conmigo y no hacerte desesperar mucho, un saludo y muchas gracias

ms, 16-07-2007[/quote]

Mensaje por **msc hotline sat** » 16 Jul 2007, 21:43

Al final de la pagina de descarga de cada utilidad hay el boton de DESCARGAR, procvede con ello, los guardas en una misma carpeta y luego pruebas el ELISTARA y reinicias y tras EXPLORAR, abres el c:\infosat.txt y nos posteas su contenido

saludos

ms, 16-07-2007

desperadito · Mensaje por **desperadito** » 16 Jul 2007, 22:46

[quote="msc hotline sat"]Al final de la pagina de descarga de cada utilidad hay el boton de DESCARGAR, procvede con ello, los guardas en una misma carpeta y luego pruebas el ELISTARA y reinicias y tras EXPLORAR, abres el c:\infosat.txt y nos posteas su contenido

saludos

ms, 16-07-2007[/quote]

Una vez conseguido hacer lo que me indicas te posteo el infosat

Mon Jul 16 21:15:09 2007

EliStartPage v14.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\All Users\Menú Inicio\Online Security Guide.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\All Users\Menú Inicio\Security Troubleshooting.url --> Eliminado (Fichero Complementario).

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 16 21:17:01 2007

EliStartPage v14.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Archivos de programa\Seguridade-R\FSISUNT.DLL --> Eliminado, NavHelper(BHO)

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\TechSmith\SnagIt\Accessories\{638B203F-8FB6-49ec-A139-AB8C530F0CAB}\MSPOWERPOINT.DLL --> Eliminado, Hotbar

Mon Jul 16 21:27:44 2007

EliStartPage v14.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.07.10 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Flush o DNSChanger

Desinstalado EliNotif.dll

Mon Jul 16 21:34:09 2007

EliStartPage v14.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\KDBGG.EXE.Muestra EliStartPage v14.43

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KDBGG.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 16 21:34:37 2007

EliStartPage v14.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Creo que lo ha eliminado, solo me falta enviar la muestra y lo voy a hacer ahora mismo. Si tienes mas instrucciones para mí, voy a seguir entrando en el foro, si no las tienes aquí tienes a un muy agradecido novato

Mensaje por **lucl** » 16 Jul 2007, 23:40

veamos una cosa, ejecuta hijackthis por fa, de paso te dejo el link para lo del envio

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos :D

desperadito · Mensaje por **desperadito** » 17 Jul 2007, 05:42

[quote="lucl"]veamos una cosa, ejecuta hijackthis por fa, de paso te dejo el link para lo del envio

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos :D[/quote]

Saludos, decirte que la muestra ya está enviada, gracias de todos modos, paso a postear el log del hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 4:49:09, on 17/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\nvraidservice.exe

C:\Archivos de programa\Seguridade-R\Common\FSM32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ashampoo\Ashampoo Magic Defrag\bin\aDefragCtrl.exe

C:\Archivos de programa\Seguridade-R\Anti-Virus\fsgk32st.exe

C:\Archivos de programa\Seguridade-R\backweb\2929857\program\fsbwsys.exe

C:\Archivos de programa\Seguridade-R\Anti-Virus\FSGK32.EXE

C:\Archivos de programa\Seguridade-R\Common\FSMA32.EXE

C:\Archivos de programa\Seguridade-R\Anti-Virus\fssm32.exe

C:\Archivos de programa\Seguridade-R\Common\FSMB32.EXE

C:\Archivos de programa\Seguridade-R\Common\FCH32.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe

C:\Archivos de programa\Seguridade-R\Common\FAMEH32.EXE

C:\Archivos de programa\Seguridade-R\Anti-Virus\fsqh.exe

C:\Archivos de programa\Seguridade-R\Anti-Virus\fsav32.exe

C:\Archivos de programa\Seguridade-R\FSPC\fspc.exe

C:\Archivos de programa\Seguridade-R\Anti-Virus\fsrw.exe

C:\Archivos de programa\Seguridade-R\FWES\Program\fsdfwd.exe

C:\ARCHIV~1\SEGURI~1\ANTI-S~1\fsaw.exe

C:\Archivos de programa\Seguridade-R\FSGUI\fsguidll.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\hijacks\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {174E30AB-E6BF-4E71-95B6-2FC6F82C8526} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Archivos de programa\Seguridade-R\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Archivos de programa\Seguridade-R\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Archivos de programa\Seguridade-R\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Ashampoo Magic Defrag.lnk = C:\Archivos de programa\Ashampoo\Ashampoo Magic Defrag\bin\aDefragCtrl.exe

O8 - Extra context menu item: &Bloquear esta ventana - C:\Archivos de programa\Seguridade-R\Anti-Spyware\blockpopups.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie_ctx.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by123fd.bay123.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://seguridade.mundo-r.com/ols/html/fscax.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: AshampooDefragService - - C:\Archivos de programa\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Seguridade R (BackWeb Plug-in - 2929857) - BackWeb Technologies Inc. - C:\ARCHIV~1\SEGURI~1\backweb\2929857\Program\SERVIC~1.EXE

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Archivos de programa\Seguridade-R\Anti-Virus\fsgk32st.exe

O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)

O23 - Service: fsbwsys - F-Secure Corp. - C:\Archivos de programa\Seguridade-R\backweb\2929857\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Archivos de programa\Seguridade-R\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Archivos de programa\Seguridade-R\FSPC\fshttps\fshttps.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Archivos de programa\Seguridade-R\Common\FSMA32.EXE

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Archivos de programa\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Archivos de programa\tune up\WinStylerThemeSvc.exe

--

End of file - 8226 bytes

Como siempre agradecido, espero nuevas instrucciones

Mensaje por **msc hotline sat** » 17 Jul 2007, 07:32

Si no usas este proxy, mejor elimina esta clave:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

y estas eliminalas para sacar restos:

O2 - BHO: (no name) - {174E30AB-E6BF-4E71-95B6-2FC6F82C8526} - (no file)

y estas son desconocidas, obra en consecuencia (segun las conozcas o no)

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 17-07-2007

Nota: aparte, tras analizar la muestra, informaremos

Mensaje por **msc hotline sat** » 17 Jul 2007, 13:58

Detecetado nueva variante de Flush en las muestras enviadas, se implementan en el ELISTARA/ELINOTIF de hoy

A partir de las 16 h GMT subiremos a esta web la v 14.44 para pruebas de evaluacion:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 117-07-2007

desperadito · Mensaje por **desperadito** » 17 Jul 2007, 17:24

[quote="msc hotline sat"]Si no usas este proxy, mejor elimina esta clave:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

y estas eliminalas para sacar restos:

O2 - BHO: (no name) - {174E30AB-E6BF-4E71-95B6-2FC6F82C8526} - (no file)

y estas son desconocidas, obra en consecuencia (segun las conozcas o no)

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 17-07-2007

Nota: aparte, tras analizar la muestra, informaremos[/quote]

Saludos, al borrar las dos primeras entradas que me señalas:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

y estas eliminalas para sacar restos:

O2 - BHO: (no name) - {174E30AB-E6BF-4E71-95B6-2FC6F82C8526} - (no file)

desaparecieron estas otras

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')

Posteo el ultimo log de hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:06:40, on 17/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Safe mode

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\hijacks\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {174E30AB-E6BF-4E71-95B6-2FC6F82C8526} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Archivos de programa\Seguridade-R\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Archivos de programa\Seguridade-R\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Archivos de programa\Seguridade-R\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Ashampoo Magic Defrag.lnk = C:\Archivos de programa\Ashampoo\Ashampoo Magic Defrag\bin\aDefragCtrl.exe

O8 - Extra context menu item: &Bloquear esta ventana - C:\Archivos de programa\Seguridade-R\Anti-Spyware\blockpopups.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie_ctx.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by123fd.bay123.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://seguridade.mundo-r.com/ols/html/fscax.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: AshampooDefragService - - C:\Archivos de programa\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Seguridade R (BackWeb Plug-in - 2929857) - BackWeb Technologies Inc. - C:\ARCHIV~1\SEGURI~1\backweb\2929857\Program\SERVIC~1.EXE

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Archivos de programa\Seguridade-R\Anti-Virus\fsgk32st.exe

O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)

O23 - Service: fsbwsys - F-Secure Corp. - C:\Archivos de programa\Seguridade-R\backweb\2929857\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Archivos de programa\Seguridade-R\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Archivos de programa\Seguridade-R\FSPC\fshttps\fshttps.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Archivos de programa\Seguridade-R\Common\FSMA32.EXE

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Archivos de programa\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Archivos de programa\tune up\WinStylerThemeSvc.exe

--

End of file - 6056 bytes

Otra pregunta, despues del análisis de la muestra, ¿debo descargar la nueva version del elistara y volver a pasarla?

Tengo que cambiar mi nombre de usuario, ya no estoy "desperadito" sino "agradecidisimo", espero sus instrucciones, un saludo

desperadito · Mensaje por **desperadito** » 17 Jul 2007, 19:45

Tue Jul 17 18:39:19 2007

EliStartPage v14.44 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 17 18:39:28 2007

EliStartPage v14.44 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 17 Jul 2007, 19:53

Pues creo que el log ya está limpio, y si ya no persiste ninguna anomalia podremos dar por solucionado el Tema

Has hecho muy bien los deberes :wink:

Si nos necesitas de nuevo, ya sabes donde estamos, y dando por solucionado el Tema, procedemos a cerrarlo

saludos

ms, 17-07-2007

Zlob.DNS Changer, ayudadme a eliminarlo (SOLUCIONADO)

Zlob.DNS Changer, ayudadme a eliminarlo (SOLUCIONADO)

ultimo log de la nueva version de elistara