Explorer se abre nada mas iniciar windows con 1pagina RARA

S_Vaio · Mensaje por **S_Vaio** » 30 Ago 2007, 19:03

Buenas ¡¡

Soy nuevo por el foro, primero presentarme, soy un Usuario de un portatil Vaio, con Vista como sistema operativo.

Mi problema es que nada mas iniciar windows, el internet explorer se abre automaticamente y aparece una pagina desconocida (http://mishko.land.ru/index.html?r=41) y pone Under contruccion, bueno supongo que eso será lo menos. Que puede ser?

Destacar que la pagina se abre automaticamente solo cuando reconoce internet en el ordenador, es decir, cuando desconecto el cable y reinicio el explorador no aparecé...

Me descargo el HijackThis y pego lo que me dice?

Bueno saludos, espero contestacion y gracias de ante mano¡¡

Mensaje por **msc hotline sat** » 30 Ago 2007, 19:45

Prueba si es uno de los ya conocidos por el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

sino procederiamos con el SPROCES o HJT a ver qué puede ser y pediriamos muestra de ello para analizar y en su caso implementar en nuevas versiones del ELISTARA.

saludos

ms, 30-08-2007

S_Vaio · Mensaje por **S_Vaio** » 30 Ago 2007, 20:47

No he podido ejecutar correctamente el programa (ELISTARA.10092007), ya que el programa se quedaba "pillado" y en No responde cuando ponia Restaurando sistema...

Seguramente será mi queridisimo windows vista y sus cosas... :(

Que hacemos entonces ?

Saludos y gracias

Mensaje por **msc hotline sat** » 30 Ago 2007, 20:52

No, si tiene VISTA, no es compatible, lo siento.

Es verdad que lo decias al principio pero noi me fije.

No damos soporte al Vista, puedes probar con estos AVONLINE a ver si te detectan algo:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:

testeo ONLINE de virus en memoria

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

Y excepcionalmente sin tener en cuenta que tiene VISTA, veamos lo de esta pagina de inicio revisando el log del HJT, para lo que necesitam,os lo postee:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 30-08-2007

S_Vaio · Mensaje por **S_Vaio** » 30 Ago 2007, 20:54

Muchas gracias, voy a probar ¡¡

Larga vidaa al xp ¡¡¡ jeje VISTA NUNCA MAIS

Saludos

Mensaje por **msc hotline sat** » 30 Ago 2007, 21:02

Mientras Vd escribia, he cambiado el texto, de mi ultimo post, vuelvalo a mirar

Y se me ocurre una idea para lo del VISTA, desde ventana al DOS pruebe de ejecutar ELISTARA /SALTAREG , desde el directorio donde tenga el ELISTARA a ver si asi llega al final...

y en tal caso nos postea el C:\infosat.txt

saludos

ms, 30-08-2007

S_Vaio · Mensaje por **S_Vaio** » 30 Ago 2007, 21:11

Este mensaje se puede Borrar.

Mensaje por **msc hotline sat** » 30 Ago 2007, 21:45

Parece que tiene un proxy instalado, es consciente de ello ???

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

y mis buenas intenciones han fracasado: Tiene Vd MOZILLA instalado !!!

Son las dos cosas que se han de tener en cuenta al solicitarnos ayuda: No damos soporte al Mozilla (ni por ahora al Vista), por no tener las mismas posiciones de paginas de inicio y demas, respecto al navegador standar de Microsoft, Internet explorer.

No se ve en el HJT ninguna pagina de inicio rara para el I.E., pero claro, si usa mozilla...

Si quiere pruebe de desinstalarlo a ver si le abre con igual pagina, y entonces miraremos de ayudarle, y si con I.E. no le abre con dicha pagina, lo daremos por solucionado, clero .

saludos

ms, 30-08-2007

S_Vaio · Mensaje por **S_Vaio** » 30 Ago 2007, 22:07

Yo me conecto a internet a traves de un router que utilizamos varios pc´s, eso no es a lo que se referie con lo de proxy no ? :?

Bueno lo siento, no habia leido lo del otro del Mozilla, reitero mis disculpas, lo voy a desistarlar en un momento, pero supongo que se repetirá el programa, ya que es con el Interner Explorer con lo que me sucede el problema.

y ahora que debo hacer? ejecutar el programa (HijackThis) otra vez ya con el mozilla desistalado ?

Disculpadme por la pesadez, le agredezco muxo su ayuda, de verdad. A ver si consiguesemos quitar el dichoso "virus"...

Muchas gracias otra vez¡¡

Mensaje por **msc hotline sat** » 30 Ago 2007, 22:18

Si, postea de nuevo el log HJT, pero sobre todo dinos si, sin el mozilla, te arranca con esta pagina de inicio, es lo mas importante, gracias

y nada de disculparse, cada cual usa lo que quiere, solo que hay incompatibilidades tecnicas que nos marean, como puede ver con esto de las diferentes maneras de considerar la plagina de inicio, y te puedn volver loco (aun mas de lo que ya hacen los 300.000 virus que conocemos !)

saludos

ms, 30-08-2007

S_Vaio · Mensaje por **S_Vaio** » 30 Ago 2007, 22:29

Logfile of HijackThis v1.99.1

Scan saved at 21:36:00, on 30/08/2007

Platform: Unknown Windows (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\System32\rundll32.exe

C:\Program Files\Apoint\Apoint.exe

C:\Program Files\sony\VAIO Camera Utility\VCUServe.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\sony\ISB Utility\ISBMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\IEUser.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Apoint\Apntex.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\HijackThis\HijackThis.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Windows\system32\wbem\unsecapp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe"

O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Norton Save and Restore 2.0] "C:\Program Files\Norton Save and Restore\Agent\VProTray.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Office SturtUp] osa9.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll

O11 - Options group: [INTERNATIONAL] International*

O13 - Gopher Prefix:

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{72FA9FF1-F408-4D55-B2BB-392633706A67}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: VESWinlogon - C:\Windows\SYSTEM32\VESWinlogon.dll

O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\MSCSPTISRV.exe

O23 - Service: SQL Server (VAIO_VEDB) (MSSQL$VAIO_VEDB) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sVAIO_VEDB (file missing)

O23 - Service: Norton Save and Restore - Symantec Corporation - C:\Program Files\Norton Save and Restore\Agent\VProSvc.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AvLib\PACSPTISVR.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\SsBeSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\SSScsiSV.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Windows\system32\stacsv.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe

O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\sony\VAIO Event Service\VESMgr.exe

O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\VMISrv.exe

O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Program Files\sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)

O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Program Files\sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)

O23 - Service: VAIO Media Content Collection (VAIOMediaPlatform-UCLS-AppServer) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\UCLS.exe

O23 - Service: VAIO Media Content Collection (HTTP) (VAIOMediaPlatform-UCLS-HTTP) - Unknown owner - C:\Program Files\sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-UCLS-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\UCLS\HTTP (file missing)

O23 - Service: VAIO Media Content Collection (UPnP) (VAIOMediaPlatform-UCLS-UPnP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Ya desistalé Mozilla Firefox, reinicié y desafortunadamente seguía apareciendo el Internet Explorer con la misma pagina de siempre, al iniciar windows y de manera automatica se abrío solo.

Aqui arriba, le adjunto el texto generado por el Hijackthis.

Saludos, Gracias ¡

Mensaje por **msc hotline sat** » 31 Ago 2007, 09:08

Pues si sin mozilla sigue abriendose la pagina indeseable (http://mishko.land.ru/index.html?r=41) al abriri el I.E., es por alguna aplicacion malware, ya que no está programada como pagina de inicio.

Voy a mirar detenidamente el log a ver que hay raro...

Bueno, he encontrado su mismo problema -y dicen que SOLVERD (Resuelto)- en este link

http://forums.techguy.org/malware-removal-hijackthis-logs/583318-solved-possible-trojan-need-help.html

ahora no puedo, pero cuando tenga un momento miraré lo que dicen

ms.

Mensaje por **msc hotline sat** » 31 Ago 2007, 09:37

Bueno, pues lo unico que he visto es que tenía el OSA9.EXE pero no en la carpeta de sistema, que es tipico de malware, no en la ruta que lo tiene Vd del Office, pero por si acaso, suba este fichero al VirusTotal e informenos del resultado, gracias

https://www.virustotal.com/es/

Lo que parece que no es por pagina de inicio tipica, sino por la ejeucion de alguna aplicacion, lo malo es que a veces hay RootKits que ocultan malwares y se hace mas dificil localizarlos.

Lance estos AVONLINE a ver si detectan algo, y comnetenos el resultado:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:

testeo ONLINE de virus en memoria

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

y por último, haga un shell al DOS y ejecure el ELISTARA con la opcion /SALTAREG lo cual saltará el registro a ver si asi llega a poder explorar y si termina el testeo, posteenos el contenido de C:\infosat.txt , gracias

saludos

ms, 31-08-2007

S_Vaio · Mensaje por **S_Vaio** » 31 Ago 2007, 11:30

Tras realizar el analisis con la Pagina: Virus Total

~~[b]~~Resultados:[/b]

Análisis del archivo osa9.exe recibido el 31.08.2007 10:36:19 (CET)

Estado actual: análisis terminado

Resultado: 27/32 (84.38%)

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.9.1.0 2007.08.31 Win-Trojan/Xema.variant

AntiVir 7.4.1.66 2007.08.31 ADSPY/Ruschi

Authentium 4.93.8 2007.08.31 W32/Backdoor.AZRC

Avast 4.7.1029.0 2007.08.30 Win32:Trojan-gen. {Other}

AVG 7.5.0.484 2007.08.31 Proxy.PTX

BitDefender 7.2 2007.08.31 Backdoor.Agent.YQY

CAT-QuickHeal 9.00 2007.08.30 (Suspicious) - DNAScan

ClamAV 0.91.2 2007.08.31 Trojan.Agent-5237

DrWeb 4.33 2007.08.31 Trojan.DownLoader.22370

eSafe 7.0.15.0 2007.08.29 Win32.Agent.aou

eTrust-Vet 31.1.5099 2007.08.31 -

Ewido 4.0 2007.08.30 Backdoor.Agent.aou

FileAdvisor 1 2007.08.31 -

Fortinet 3.11.0.0 2007.08.31 W32/Agent.AOU!tr.bdr

F-Prot 4.3.2.48 2007.08.31 W32/Backdoor.AZRC

F-Secure 6.70.13030.0 2007.08.31 Backdoor.Win32.Agent.aou

Ikarus T3.1.1.12 2007.08.31 Backdoor.Win32.SdBot.xd

Kaspersky 4.0.2.24 2007.08.31 Backdoor.Win32.Agent.aou

McAfee 5109 2007.08.30 Generic BackDoor

Microsoft 1.2803 2007.08.31 Backdoor:Win32/Agent.C

NOD32v2 2493 2007.08.31 Win32/Agent.AOU

Norman 5.80.02 2007.08.30 -

Panda 9.0.0.4 2007.08.31 Generic Malware

Prevx1 V2 2007.08.31 Generic.Malware

Rising 19.38.41.00 2007.08.31 Backdoor.Agent.iqp

Sophos 4.21.0 2007.08.31 Mal/EncPk-AF

Sunbelt 2.2.907.0 2007.08.25 Backdoor.Win32.Agent.aou

Symantec 10 2007.08.31 -

TheHacker 6.1.9.175 2007.08.31 Backdoor/Agent.aou

VBA32 3.12.2.3 2007.08.30 -

VirusBuster 4.3.26:9 2007.08.30 Backdoor.Agent.IVK

Webwasher-Gateway 6.0.1 2007.08.31 Ad-Spyware.Ruschi

Información adicional

Tama?rchivo: 46327 bytes

MD5: f7b7cb8af74535087d8e194875d8f177

SHA1: b942902daec1d553802d2ccf279ac734ed7377c7

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=1E80EF8AF7B65367B4D100BFDBA3CC000B633ECF

S_Vaio · Mensaje por **S_Vaio** » 31 Ago 2007, 11:36

[i]http://www.ca.com/us/securityadvisor/virusinfo/scan.aspx[/i]

No detecta nada

~~[b]~~www.nanoscan.com[/b]

Resultado del análisis

Resumen:

Tu PC está infectado con 1 virus (Ocultar detalle)

Detalle:

Peligroso Nombre de la amenaza (1) Tipo Estado

Bajo Malware Generic (1)

C:\WINDOWS\SYSTEM32\OSA9.EXE

Troyano Latente

Tiempo:

32 segundos

Antivirus:

Symantec Corporation Norton Internet Security (activo y actualizado)

S_Vaio · Mensaje por **S_Vaio** » 31 Ago 2007, 12:14

Por ultimo he pasado el Elistara por DOS, pero se queda "cojido" el programa, ahora en Configurando Escritorio e IE...

Antes pasé el Elitriip correctamente, y tras avisarme numerosas veces de que tenia acceso denegado a determinadas carpetas, me borro un archivo y detecto otro que no pudo borrar. Me dijo que reinciase y lo volviese a pasar, asi que voy a ello...

Saludos

S_Vaio · Mensaje por **S_Vaio** » 31 Ago 2007, 12:30

~~[b]~~Despues de pasar Elitriip:[/b]

[img]http://www.fotozone.es/foto/35,2007/fotozone_2921.jpg[/img]

Saludos, Gracias ¡

Raptor · Mensaje por **Raptor** » 01 Sep 2007, 00:28

No lo he intentado, pero con el boton derecho del mouse, dale a EliStarA en propiedades y modo de compatibilidad, escojes Windows XP y creo que puede funcionar. A mi me funciono con una aplicacion para la tarjeta grafica que no es compatible con Vista.

Mensaje por **msc hotline sat** » 01 Sep 2007, 00:37

Pues es el Osa9, que debe estar en la carpeta de sistema:

O4 - HKLM\..\Run: [Office SturtUp] osa9.exe

elimine esta clave y envienos el fichero para controlarlo

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 31-08-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 01 Sep 2007, 05:55

Hola S_Vaio: Viendo tu análisis observo una serie de spywares, y si esto te ocurre con el internet explorer, no has probado desintalar tal navegador y probar sólo con el Mozilla a ver como te va, si sigue o no el problema de la página. si se soluciona ya puedes optar por cuál navegador usar.

Saludos.

Mensaje por **msc hotline sat** » 01 Sep 2007, 12:08

A ver, Nelson, dices "Viendo tu análisis observo una serie de spywares,"

Pues aparte del OSA9.EXE que hemos indicado dinos cuales son las claves en las que ves spywares ....

y recuerda, el I.E. es imprescindible para que se actualicen los parches, y al Mozilla no le damos soporte en este foro, solo al standar de microsoft, y eso lo hemos dicho muchas veces.

Lo cual no quiere decir que quien quiera usar mozilla no pueda, bajo su responsabilidad, pues aunque haya menos malwares que le afecten, debido al mínimo indice de usuarios respecto al I.E., haberlos hailos, y muchas utilidades no los contemplan, ni nosotros tampoco...

La ultima vulnerabilidad conocida:

http://www.vsantivirus.com/vul-firefox-uris-cert-783400.htm

Tenlo en cuenta

saludos

ms, 1-09-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 01 Sep 2007, 13:01

HOla: Creo que me he alarmado al ver la cantidad de definiciones que aparecen el el análisis de virustotal.pero tengo otra duda acerca del archivo que usted menciona.

~~[b]~~¿Qué es el archivo OSA9.exe?[/b]

El Ayudante de Inicio de Office (OSA9.exe o OSA9) es un programa que mejora el rendimiento de programas de Office 2000. Programa de instalación de Office 2000 coloca un acceso directo al archivo OSA9.exe en la carpeta Inicio de Windows con un nombre de Microsoft Office.

~~[b]~~¿Lo que hace el archivo OSA9.exe?[/b]El archivo OSA9.exe hace lo siguiente:

Inicializa automatización

Inicializa algunas de las fuentes comunes instaladas por Office 2000

Controla comandos determinados ( Nuevo documento de Office, Búsqueda rápida, Abrir documento de Office, Ayuda y Protector de pantalla) en el menú Inicio y en la Barra de acceso directo de Office Muestra notificaciones de Microsoft Outlook cuando el Ayudante de Office está disponible

~~[b]~~¿Cuáles son las ventajas del que ejecuta el archivo OSA9.exe?[/b]

El archivo OSA9.exe inicializa el código compartido utilizado por los programas de Office 2000. La ventaja de que utiliza el archivo OSA9.exe para inicializar código compartido es que los programas de Office 2000 se inician más rápidamente. Si los programas de Office 2000 inicializan código compartido (en vez de OSA9.exe), al tiempo le toma el programa que inicia aumentos.

~~[b]~~¿Puedo quitar yo el archivo OSA9.exe?[/b]

Puede quitar el archivo OSA9.exe sin hacer los programas fallidos de Office 2000 sin problemas. Sin embargo, si quita OSA9.exe, ya no dispone de las ventajas de rendimiento que se proporcionan ejecutando OSA9.exe. También el Barra de acceso directo de Office (OSB) y la Búsqueda rápida no se pueden iniciar cuánto más automáticamente si configuró el OSB y la Búsqueda rápida para iniciarse la Búsqueda rápida y el OSB cuando inicia Windows.

Saludos.

Mensaje por **msc hotline sat** » 01 Sep 2007, 13:13

El OSA9.EXE es un simple virus que se ubica en la carpeta de sistema y usa el mismo nombre que el del Office de Microsoft, pero este se guarda en la carpeta correspondiente

VirusTotal te da los diferentes nombres con que un mismo virus es detectado por los 32 antivirus que lo componen, esto no quiere decir que haya mas de un virus !!!

Y la picardia de usar un nombre de una aplicacion buena , para un malware, es una tìpica picaresca que usan muchos virus para pasar desapercibidos, asi como el usar nombres parecidos pero no iguales, o con una I en lugar de una l o de o un 1 e lugar de una t

Recuerdese el ejemplo de los que usan nombre de SVCHOST o parecido:

[quote]

EXPLICACION SOBRE SVCHOST MALWARE

El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP

Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.

Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...

En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.

Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario

Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares.

[/quote]

Las demas preguntas que haces se contestan solas, ya que no es el mismo fichero un OSA9.EXE de una carpeta que de otra, el uno es bueno y el otro es malicioso...

saludos

ms, 1-09-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 01 Sep 2007, 22:20

Siempre se aprende algo nuevo.como también aprovecho la oportunidad de preguntarle como es que se cita una aplicación con una sola palabra y se transforme en un link a una descarga por ejemplo. si escribo EListara, he visto que subrayan la palabra y uno puede ir directamente. es una duda que he tenido siempre por eso me cuesta tanto citar links de aplicaciones porque aún no he aprendido a hacerlo, y como es que ustedes frecuentemente lo hacen, es que se saben los links de memoria o lo tienen en alguna base que sólo necesitan copiar y pegar. si me puede explicar como se hace para comenzar a practicar, se agradece.

Saludos.

Mensaje por **msc hotline sat** » 02 Sep 2007, 19:21

Si claro, nadie ha nacido enseñado, aunque esto deberias preguntarlo en el apartado de software, no en este de virus, pero ya que lo has hecho, te lo aclaro:

El subrayado no lo pones, sino que los links lo llevan implicito:

http://www.zonavirus.com/descargas/elistara.asp

abreviado:

[url=http://www.zonavirus.com/descargas/elistara.asp]~~[b]~~Descargar EliStarA[/b][/url]

lo cual se escribe así:

[code][url=http://www.zonavirus.com/descargas/elistara.asp][b]Descargar EliStarA[/b][/url][/code]

saludos

ms, 2-09-2007