ERROR SAFE Y AMAENA (SOLUCIONADO)

djdelux · Mensaje por **djdelux** » 27 Jul 2007, 00:01

HOLA QUE TAL, DESDE HACE UNOS DIAS ME SALEN LAS PAGINAS error safe y amaena CADA QUE ABRO EL EXPLORER O LE DOY CLICK A ALGUN LINK DE CUALQUIER PAGINA...INCLUSO AL MOMENTO DE ESCRIBIR ESTO ESTA LANZANDOSE UNA PAGINA DE ERROR SAFE....YA PROBE CON UNOS SUPUESTOS TUTORIALES DE OTRO FORO LOS SEGUI RELIGIOSAMENTE Y PARECE QUE NO FUNCIONO...USE AVG ATISPYWARE, DESPUES SPYBOTS DESPUES CCLEANER LUEGO EL REGSEEKER, POR ULTIMO EL LAVASOFT ADWARE, POR CIERTO QUE HICE LA BUSQUEDA Y LIMPIEZA EN MODO SEGURO Y LUEGO EN MODO NORMAL, AUN ASI NO FUNCIONO SIGUE EL MISMO PROBLEMA...HE PENSADO SI RESTAURO MI PC A UN PUNTO ANTERIOR UNA SEMANA POR EJEMPLO ANTES DEL PROBLEMA SE SOLUCIONARA?

ESPERO ME PUEDAN AYUDAR LES ADJUNTO MI HIJACKTHIS

GRACIAS DE ANTEMANO

Claudia34 · Mensaje por **Claudia34** » 27 Jul 2007, 02:50

No haz pegado correctamente como se pide en el foro el log del hijackthis.

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Y compleméntalo posteándonos el Log del HJT:

HJT: (HiJackThis)

¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

Opcional:

Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Saludos.

Mensaje por **msc hotline sat** » 27 Jul 2007, 05:14

Podremos proseguir con el analisis del log del HJT cuando lo postees segun indicamos en:

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

gracias

ms, 27-07-2007

djdelux · Mensaje por **djdelux** » 27 Jul 2007, 20:41

este es el INFOSAT.TXT

Fri Jul 27 13:14:00 2007

EliStartPage v14.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\ssqponm.dll

Key Eliminada [WinLogon\Notify\vturo] -> C:\WINDOWS\SYSTEM32\VTURO.DLL

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\SSQPONM.DLL

[WinLogon\Notify\VTURO]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTURO.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTURO.DLL.Muestra EliStartPage v14.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTURO.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\ORUTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ORUTV.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ORUTV.tmp --> Eliminado (Fichero Complementario).

Eliminada Class, "{7C24493F-3D23-4258-9426-42C5FC3B8211}" -> C:\WINDOWS\system32\ssqponm.dll

Eliminada Class, "{ECAE4027-B14B-4508-BB53-690FE2278DE6}" -> C:\WINDOWS\system32\vturo.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 27 13:15:15 2007

EliStartPage v14.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Archivos de programa\Sony\Shared Plug-Ins\File Formats\MCMPEG\MCPLUG.DLL --> Eliminado, WinAntiVirus Pro 2006 (BHO)

C:\WINDOWS\system32\SSQPONM.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jul 27 13:36:50 2007

EliStartPage v14.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\ssqponm.dll

Key Eliminada [WinLogon\Notify\vturo] -> C:\WINDOWS\SYSTEM32\VTURO.DLL

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\SSQPONM.DLL

[WinLogon\Notify\VTURO]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTURO.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTURO.DLL.Muestra EliStartPage v14.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTURO.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\ORUTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ORUTV.ini2 --> Eliminado (Fichero Complementario).

Eliminada Class, "{7C24493F-3D23-4258-9426-42C5FC3B8211}" -> C:\WINDOWS\system32\ssqponm.dll

Eliminada Class, "{FD1BFABB-428B-49E1-BE77-18D463B88C2F}" -> C:\WINDOWS\system32\vturo.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

djdelux · Mensaje por **djdelux** » 27 Jul 2007, 20:44

EL ELISTARA ME DICE AL ULTIMO QUE MI SISTEMA ESTA INFECTADO CON CONHOOK Y VUNDO

Mensaje por **msc hotline sat** » 27 Jul 2007, 20:48

Ante todo vea que le dice:

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

en consecuencia, descargue dicha DLL !!!

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

Tras ello, pruebe de nuevo el ELISTARA y nos postea el infosat resultante

saludos

ms, 27-07-2007

djdelux · Mensaje por **djdelux** » 27 Jul 2007, 20:53

Fri Jul 27 13:14:00 2007

EliStartPage v14.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\ssqponm.dll

Key Eliminada [WinLogon\Notify\vturo] -> C:\WINDOWS\SYSTEM32\VTURO.DLL

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\SSQPONM.DLL

[WinLogon\Notify\VTURO]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTURO.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTURO.DLL.Muestra EliStartPage v14.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTURO.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\ORUTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ORUTV.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ORUTV.tmp --> Eliminado (Fichero Complementario).

Eliminada Class, "{7C24493F-3D23-4258-9426-42C5FC3B8211}" -> C:\WINDOWS\system32\ssqponm.dll

Eliminada Class, "{ECAE4027-B14B-4508-BB53-690FE2278DE6}" -> C:\WINDOWS\system32\vturo.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 27 13:15:15 2007

EliStartPage v14.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Archivos de programa\Sony\Shared Plug-Ins\File Formats\MCMPEG\MCPLUG.DLL --> Eliminado, WinAntiVirus Pro 2006 (BHO)

C:\WINDOWS\system32\SSQPONM.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jul 27 13:36:50 2007

EliStartPage v14.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\ssqponm.dll

Key Eliminada [WinLogon\Notify\vturo] -> C:\WINDOWS\SYSTEM32\VTURO.DLL

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\SSQPONM.DLL

[WinLogon\Notify\VTURO]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTURO.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTURO.DLL.Muestra EliStartPage v14.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTURO.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\ORUTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ORUTV.ini2 --> Eliminado (Fichero Complementario).

Eliminada Class, "{7C24493F-3D23-4258-9426-42C5FC3B8211}" -> C:\WINDOWS\system32\ssqponm.dll

Eliminada Class, "{FD1BFABB-428B-49E1-BE77-18D463B88C2F}" -> C:\WINDOWS\system32\vturo.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jul 27 13:42:20 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Jul 27 13:42:27 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\Escritorio\DVD.Architect.3\Proyectos\Proyectos.exe --> Eliminado, Bifrose (dropper)

Mensaje por **msc hotline sat** » 27 Jul 2007, 20:59

Ha leido el post anterior al ultimo suyo ???

ms.

djdelux · Mensaje por **djdelux** » 27 Jul 2007, 22:31

Fri Jul 27 13:14:00 2007

EliStartPage v14.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\ssqponm.dll

Key Eliminada [WinLogon\Notify\vturo] -> C:\WINDOWS\SYSTEM32\VTURO.DLL

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\SSQPONM.DLL

[WinLogon\Notify\VTURO]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTURO.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTURO.DLL.Muestra EliStartPage v14.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTURO.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\ORUTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ORUTV.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ORUTV.tmp --> Eliminado (Fichero Complementario).

Eliminada Class, "{7C24493F-3D23-4258-9426-42C5FC3B8211}" -> C:\WINDOWS\system32\ssqponm.dll

Eliminada Class, "{ECAE4027-B14B-4508-BB53-690FE2278DE6}" -> C:\WINDOWS\system32\vturo.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 27 13:15:15 2007

EliStartPage v14.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Archivos de programa\Sony\Shared Plug-Ins\File Formats\MCMPEG\MCPLUG.DLL --> Eliminado, WinAntiVirus Pro 2006 (BHO)

C:\WINDOWS\system32\SSQPONM.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jul 27 13:36:50 2007

EliStartPage v14.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\ssqponm.dll

Key Eliminada [WinLogon\Notify\vturo] -> C:\WINDOWS\SYSTEM32\VTURO.DLL

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\SSQPONM.DLL

[WinLogon\Notify\VTURO]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTURO.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTURO.DLL.Muestra EliStartPage v14.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTURO.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\ORUTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ORUTV.ini2 --> Eliminado (Fichero Complementario).

Eliminada Class, "{7C24493F-3D23-4258-9426-42C5FC3B8211}" -> C:\WINDOWS\system32\ssqponm.dll

Eliminada Class, "{FD1BFABB-428B-49E1-BE77-18D463B88C2F}" -> C:\WINDOWS\system32\vturo.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jul 27 13:42:20 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Jul 27 13:42:27 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\Escritorio\DVD.Architect.3\Proyectos\Proyectos.exe --> Eliminado, Bifrose (dropper)

Fri Jul 27 13:56:55 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\SSQPONM] -> C:\WINDOWS\SYSTEM32\ssqponm.dll

Key Eliminada [WinLogon\Notify\vturo] -> C:\WINDOWS\SYSTEM32\VTURO.DLL

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTURO.DLL.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTURO.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQPONM.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\ORUTV.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ORUTV.tmp --> Eliminado (Fichero Complementario).

Eliminada Class, "{7C24493F-3D23-4258-9426-42C5FC3B8211}" -> C:\WINDOWS\system32\ssqponm.dll

Eliminada Class, "{FD1BFABB-428B-49E1-BE77-18D463B88C2F}" -> C:\WINDOWS\system32\vturo.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 27 13:57:09 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSQPONM.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.07.20 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\ssqponm.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\SSQPONM"

Detectado Vundo

Elininada KEY "Winlogon\Notify\VTURO"

Elininado BHO: "{FD1BFABB-428B-49E1-BE77-18D463B88C2F}"

Elininada Class: "{FD1BFABB-428B-49E1-BE77-18D463B88C2F}"

Desinstalado EliNotif.dll

Fri Jul 27 15:11:13 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{7C24493F-3D23-4258-9426-42C5FC3B8211}" -> C:\WINDOWS\system32\ssqponm.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 27 15:11:22 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

djdelux · Mensaje por **djdelux** » 27 Jul 2007, 22:33

faltan los hijackthis en modo normal y modo seguro....en cuanto termine de hacerlos los subo...

djdelux · Mensaje por **djdelux** » 27 Jul 2007, 22:42

Logfile of HijackThis v1.99.1

Scan saved at 15:34:23, on 27/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\MEDIAK~1\MagicKey.exe

C:\Archivos de programa\Microsoft Hardware\Mouse\point32.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\ARCHIV~1\MEDIAK~1\OSD.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\M-AudioTaskBarIcon.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Ahead\Ahead\data\Xtras\mssysmgr.exe

C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\ZONA VIRUS PROGRAMAS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.scientificatlanta.com/consumers/webstar_softwaredownloads.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\emorkmyt.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

O4 - HKLM\..\Run: [MagicKey] C:\ARCHIV~1\MEDIAK~1\MagicKey.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [MemoryManager] rundll32.exe "C:\WINDOWS\system32\ooaochlg.dll",sitypnow

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\ARCHIV~1\Ahead\Ahead\data\Xtras\mssysmgr.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

djdelux · Mensaje por **djdelux** » 27 Jul 2007, 22:45

Logfile of HijackThis v1.99.1

Scan saved at 15:37:49, on 27/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\ZONA VIRUS PROGRAMAS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.scientificatlanta.com/consumers/webstar_softwaredownloads.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\emorkmyt.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

O4 - HKLM\..\Run: [MagicKey] C:\ARCHIV~1\MEDIAK~1\MagicKey.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [MemoryManager] rundll32.exe "C:\WINDOWS\system32\ooaochlg.dll",sitypnow

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\ARCHIV~1\Ahead\Ahead\data\Xtras\mssysmgr.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

djdelux · Mensaje por **djdelux** » 27 Jul 2007, 22:57

BUENO ES TODO LO QUE ME HAN PEDIDO EL LOG DEL ELISTAR DESPUES DE INSTALADA LA DLL FALTANTE, TAMBIEN POSTEE EL LOG DE HIJACKTHIS EN MODO NORMAL Y DESPUES EL DE MODO SEGURO....AL MOMENTO DE ESCRIBIR ESTO PARECE QUE YA CASI NO SALTAN LAS PAGINAS DEL PROBLEMA PRINCIPAL....AHORA SALTA LA DE MI PROVEEDOR DE INTERNET, COSA QUE NUNCA HABIA PASADO NI CUANDO RECIEN INSTALARON MI INTERNET,

ESPERO SU ANALISIS Y RESPUESTA...DE ANTEMANO MUCHAS GRACIAS POR TOMAR EL TIEMPO DE LEER MI POST.

Mensaje por **msc hotline sat** » 28 Jul 2007, 06:48

El ELISTARA hizo su trabajo, pero hay algo mas:

Cuidado, ya sabe que tiene un proxy instalado ???:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

Aparte envienos este fichero sospechoso para analizar:

C:\WINDOWS\system32\ooaochlg.dll

y este otro cuya carga no se ve en el log normal, solo en el seguro, por lo que pudiera tratarse de un RootKit:

C:\WINDOWS\system32\emorkmyt.dll

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 28-07-2007

djdelux · Mensaje por **djdelux** » 28 Jul 2007, 13:27

hola que tal:

ya he enviado las muestras en un zip y encriptadas tal y como lo piden en su tutorial.....

acerca del proxy instalado, no tenia ni idea...es una computadora directa al modem no uso red interna ni nada similar, no creo que sea algo que yo instale deliberadamente; ultimamente me ha aparecido este mensaje : "no se puede completar esta accion porque el otro programa esta ocupado.Elija Cambiar a... para activar el programa ocupado y corregir el problema" pero al hacer click en cualquier parte de la pantalla desaparece inmediatamente.

por cierto que ya no me aparece el error safe y el amaena pero ahora me aparecen paginas como mercado libre, music plus, y la maldita pagina de mi proveedor de servicios http://www.cosmored.net.mx....

gracias por sus atenciones

Mensaje por **msc hotline sat** » 29 Jul 2007, 00:29

Pues primero prueba el ELISTARA / ELINOTIF, ya que probablemente se trata de una variante del Vundo:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

y tras reiniciar, mira si persisten estas claves, y en su caso eliminalas:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\emorkmyt.dll

O4 - HKLM\..\Run: [MemoryManager] rundll32.exe "C:\WINDOWS\system32\ooaochlg.dll",sitypnow

para ello

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y nos cuentas el resultado, gracias

saludos

ms, 29-07-2007

djdelux · Mensaje por **djdelux** » 30 Jul 2007, 00:31

Sat Jul 28 19:29:27 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 28 19:29:54 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Jul 29 15:05:30 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Jul 29 15:05:32 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Sun Jul 29 15:48:48 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Jul 29 15:49:00 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Jul 29 16:04:16 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Jul 29 16:04:18 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

djdelux · Mensaje por **djdelux** » 30 Jul 2007, 00:54

Hola que tal este es el hijack despues de haber revisado con el elistar y el elinotif en modo seguro y normal...tambien el hijack lo aplique en modo seguro, ahi elimine las claves que me habian pedido, y por ultimo lo ejecute en modo normal de ahi este ultimo log

por cierto en el log veran que falta un archivo bonjour(file missing), me parecio muy sospechoso el nombre no recordaba nada que yo hubiera puesto con esa descripcion o nombre y pues lo elimine borrando su carpeta de archivos de programa ( espero no haber hecho mal ) despues averigue que era un programa o utilidad adjunta de itunes...que por cierto no necesito y lo desinstale

espero su analisis y comentario...gracias por sus atenciones y tiempo

Logfile of HijackThis v1.99.1

Scan saved at 17:23:32, on 29/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\MEDIAK~1\MagicKey.exe

C:\Archivos de programa\Microsoft Hardware\Mouse\point32.exe

C:\ARCHIV~1\MEDIAK~1\OSD.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\M-AudioTaskBarIcon.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Ahead\Ahead\data\Xtras\mssysmgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\ZONA VIRUS PROGRAMAS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.scientificatlanta.com/consumers/webstar_softwaredownloads.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

O4 - HKLM\..\Run: [MagicKey] C:\ARCHIV~1\MEDIAK~1\MagicKey.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\ARCHIV~1\Ahead\Ahead\data\Xtras\mssysmgr.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185581375812

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Archivos de programa\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

Mensaje por **msc hotline sat** » 30 Jul 2007, 05:33

Pues ya el log está inmaculado, limpio de polvo y paja !

Y ya no hay restos del VUNDO ,,,

Indiquenos si persiste algun problema, y en tal caso, cual, gracias

saludos

ms, 30-07-2007

djdelux · Mensaje por **djdelux** » 30 Jul 2007, 05:59

Hola que tal, no he tenido mucho tiempo de navegar en la red y comprobar que ya no salten los pop ups y paginas no deseadas, pero parece en realidad que ya todo esta limpio y funcionando normal, al momento de escribir esto navego en otros sitios simultaneamente y no salta ningun programa ni sitio desconocido, asi que por el momento podemos dar por concluida esta odisea, no sin antes agradecer plenamente sus atenciones y consejos otorgados para solucionar mi problema...

Muchas Gracias....

Mensaje por **msc hotline sat** » 30 Jul 2007, 06:17

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 30 de Julio de 2007

Mensaje por **msc hotline sat** » 27 Ago 2007, 11:36

Recibidas postcierre muestras de nuevas variantes de troj/JuanSearch y VUNDO9, las cuales se implementan en el ELISTARA de hoy, 14.51

saludos

ms, 27-08-2007

ERROR SAFE Y AMAENA (SOLUCIONADO)

ERROR SAFE Y AMAENA (SOLUCIONADO)

INFOSAT elistar

ELITRIIP

infosat despues de bajar la dll faltante

HIJACKTHIS MODO NORMAL

HIJACKTHIS MODO SEGURO

envio de muestras en proceso

infosat

claves eliminadas hijackthis log

asunto terminado al parecer