La pagina de inicio de IE se cambia (TERMINADO)

Mensaje por **msc hotline sat** » 06 Oct 2007, 21:19

Al probar el ELISTARA, cuando te pide si quieres eliminar la pagina de inicio dile que sí, y al salir te preguntará cual quieres poner, no la dejes en blanco, ponle alguna como el google.es si no sabes cual poner, y tras ello reinicia y comprueba si mantiene o no la pagina de inicio

Si persiste el problema, posteanos log actual del HJT (posterior a este ELISTARA) y lo analizaremos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 6-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 06 Oct 2007, 22:04

Realize lo indicado, pase ellistara y al final elegi la pagina de microsoft (anteriormente la dejaba en blanco, por que me gusta trabajarla asi), pero igualmente me la cambio, al reiniciar dio los mismos comentarios indicados ya....

pase el HJT, pego el informe..ok...

Espero respuestas....

Gracias..

Saludos

Logfile of HijackThis v1.99.1

Scan saved at 03:58:57 p.m., on 06/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\advpack(3)h.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCSVR.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\USUARIO\CONFIG~1\Temp\Rar$EX00.562\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKCU\..\Run: [E07EXLRD_56127984] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by137fd.bay137.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188761239687

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191691462328

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/eng/poker_2_0_0_49.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_34.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://67.15.101.3/g_bin/eng/billardt_2_0_0_30.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A7DA9EDD-1795-4397-B700-B52EB95777AD}: NameServer = 200.35.65.3 200.35.65.4

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvCOMSysApp (WmiApSrvCOMSysApp) - Unknown owner - C:\WINDOWS\system32\advpack(3)h.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvNetman (WmiApSrvNetman) - Unknown owner - C:\WINDOWS\system32\advpack(2)r.exe

Mensaje por **msc hotline sat** » 07 Oct 2007, 08:39

Pues envienos estos ficheros para analizar:

C:\WINDOWS\system32\advpack*.exe

C:\WINDOWS\system32\spywarewarning.mht

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

el primero es un servicio desconocido, igual provoca spywares, y el segundo la utiliza la pagina de inicio ???

Tras analizarlos, informaremos

saludos

ms, 7-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 07 Oct 2007, 18:48

Hola, envie por correo las muestras solicitadas,

Gracias nuevamente por su colaboracion.

Saludos......

oswaldoteague · Mensaje por **oswaldoteague** » 07 Oct 2007, 18:51

Disculpame, se me olvido agregarte, que el segundo, es el que se cambia por la pagina de inicio, coloque la que coloque, pagina en blanco, google, microsoft, etc, la pagina que coloque, pasado unos minutos (2 o 3) esta pagina se cambia y se coloca ella........C:\WINDOWS\system32\spywarewarning.mht

Saludos

Mensaje por **msc hotline sat** » 07 Oct 2007, 19:05

Pues si bien ya nos debes haber enviado dicho fichero, renombralo a extension.VIR y dinos si asi persiste igual el problema.

En tal caso posteanos el SPROCLOG.TXT generado por el SPROCES, que llega mas a fondo que el HJT, a ver si vemos lo que lo carga:

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 7-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 07 Oct 2007, 19:29

Gracias por tu respuesta inmediata. Disculpa mi ignorancia, explicame ¿Como renombrar el fichero? Que debo hacer para realizar lo que me indicas.

Supongo que primero debo de hacer eso y luego bajar y correr el programa que señalastes que es mas profundo que el HJT.

Saludos

Mensaje por **msc hotline sat** » 07 Oct 2007, 19:35

Sí, para renombrar un fichero, pulsas con el boton derecho su icono y seleccionas CAMBIAR NOMBRE , y le añades a lo que tenga .VIR y enter

Luego reinicias y si persiste el problema, es cuando hará falta lanzar el SPROCES y postearnos el SPROCLOG resultante

saludos

ms, 7-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 07 Oct 2007, 19:36

Gracias por tu respuesta inmediata. Disculpa mi ignorancia, explicame ¿Como renombrar el fichero a esxtension VIR? Que debo hacer para realizar lo que me indicas. y que fichero debo renombrar???

Supongo que primero debo de hacer eso y luego bajar y correr el SPROCES..

Saludos

Mensaje por **msc hotline sat** » 07 Oct 2007, 19:41

Estás repitiendo tu post anterior que ya está contestado ...

ms.

oswaldoteague · Mensaje por **oswaldoteague** » 07 Oct 2007, 20:19

Disculpa la repeticion del post, pense que no habia pasado, puesto que se fue la conexion.

Te comento: hice lo indicado de renombrar el archivo, reinicie, pero persiste el problema, el cambio de pagina.

te pego entonces el Sproclog.txt...

Gracias nuevamente...

Sun Oct 07 14:01:17 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\WINDOWS\SYSTEM32\PASTISVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ADVPACK(3)H.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\WGATRAY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\VTTRAYP.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\WINDOWS\SYSTEM32\VTTIMER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ENCARTA\ENCARTA 2007 BIBLIOTECA PREMIUM DVD\EDICT.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\MIS DOCUMENTOS\ARCHIVOS BAJADOS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O4 - HKLM\..\Run: [E07EXLRD_56127984] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m

O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by137fd.bay137.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188761239687

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191691462328

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/eng/poker_2_0_0_49.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_34.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://67.15.101.3/g_bin/eng/billardt_2_0_0_30.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A7DA9EDD-1795-4397-B700-B52EB95777AD}: NameServer = 200.35.65.3 200.35.65.4

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvCOMSysApp (WmiApSrvCOMSysApp) - Unknown owner - C:\WINDOWS\system32\advpack(3)h.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvNetman (WmiApSrvNetman) - Unknown owner - C:\WINDOWS\system32\advpack(2)r.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Axesstel USB Device for Legacy Serial Communication (AxessUsbser) - Axesstel Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\axusbser.sys

O23 - Service: catchme - Unknown owner - C:\DOCUME~1\USUARIO\CONFIG~1\Temp\catchme.sys (file missing)

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: VideoCAM GE111 (PAC207) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\pfc027.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics Co, Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

26 Servicios.

8 de Carga Automatica.

17 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 07 Oct 2007, 20:41

Elimina estas claves:

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/eng/poker_2_0_0_49.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool - http://67.15.101.3/g_bin/eng/billard8_2_0_0_34.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://67.15.101.3/g_bin/eng/billardt_2_0_0_30.cab

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras ello reinicia y mira si aun persiste el problema

saludos

ms, 7-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 07 Oct 2007, 21:42

Claves eliminadas, segun lo indicado. Reinicie y el problema persiste :oops:

Ademas tras reiniciar sigue apareciendo lo indicado en post anerior, lo repito: dialogo: La intrucción en "0x700021e4" hace referencia a la memoria en "0x811f42b7" la memoria no se puede "read".

Tambien aparece una notificacion : advpack(2).exe, ha encontrado un problema y tuvo que cerrar.

Que problema mas persistente?

Ya me da verguenza seguir en lo mismo?

Creo estar molestando?

Mensaje por **msc hotline sat** » 08 Oct 2007, 10:19

Vea que las ultimas claves llaman a:

C:\WINDOWS\system32\advpack(3)h.exe

C:\WINDOWS\system32\advpack(2)r.exe

Se le pidieron los ficheros advpack*.exe , pero estos terminados en h y en r no nos los ha enviado

Puede que en ellos esté la causa de su problema.

Por otro lado pasamos a controlar el fichero spywarewarning.mht que es la imagen del FAKEALERT dichoso, pero ello no evitará que se le regenere, solo lo eliminará si lo encuentra.

Los causantes de esta regeneracion puede ser estos ficheros que le pedimos y no nos ha enviado. ???

Vea si los encuentra y nos los envia para analizar

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 8-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 08 Oct 2007, 15:31

Administrador:

He buscado por varias vias esos ficheros, no los ubico, he seguido la ruta......no estan..

he colocado en busqueda, de distintas maneras, nombrando el fichero completo, parte del, solo el nombre (advpack) y me salen los que le he enviado, pero el solicitado, (advpack(3)h,exe y el terminado en (2)r. exe, no los localizo...??

Que puedo hacer?, se que deben de estar en algun lado...pero que puedo hacer???

Gracias

Saludos....

Mensaje por **msc hotline sat** » 08 Oct 2007, 15:44

Posiblemente esta sea la cuestión...

Puede que haya un RootKit que nos oculte procesos y ficheros, mira de arrancar en modo seguro y con Inicio-> Buscar ver lo que aparece buscando advpack*.exe

Si no aparecen , es absurdo tener las claves que los llaman, en tal caso eliminar:

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvCOMSysApp (WmiApSrvCOMSysApp) - Unknown owner - C:\WINDOWS\system32\advpack(3)h.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvNetman (WmiApSrvNetman) - Unknown owner - C:\WINDOWS\system32\advpack(2)r.exe

y si tras eliminarlas, en el siguiente reinicio el HJT vuelve a encontralasm es señal que los ficheros existen y al estar en uso windows no permite que se borren dichas claves !

Y si en modo seguro los encuentra, primero los mueve a otra carpeta por ejemplo a c:\muestras\ y tras reiniciar los encontrará allí y nos los podrá enviar para analizar, y ver lo que son y en su caso controlarlos...

saludos

ms, 8-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 08 Oct 2007, 15:48

Gracias amigo.

Procedo a realizar lo indicado, y tratare de enviar las muestras (si puedo)

Mensaje por **msc hotline sat** » 08 Oct 2007, 16:00

Bien, me olvidaba, a titulo de recordatorio:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ms.

oswaldoteague · Mensaje por **oswaldoteague** » 08 Oct 2007, 16:16

Hecho lo indicado informo:

1.- Arrancando en modo seguro, no se encontro el fichero advpack*.exe

2.- En modo seguro lance HJT, y elimine las claves señaladas por usted en su post anterior, con fix checked.

3.- Tras reiniciar el HJT volvio a encontrarlas, por lo que infiero, se trata de la opcion que ud me indico en el post pasado

Espero instrucciones...

Mensaje por **msc hotline sat** » 08 Oct 2007, 19:02

Pues los ficheros parece que los tienes, bien escondidos pero los tienes...

Quizas tendremos que arrancar en consola de recuperacion , desde el CD de instalacion, y asi copiar estos focheros a un disquete y sacarlos del disco duro, y luego arrancanodo normal, enviarnoslos para controlarlos y ver qué hacen...

Arranca con el CD de instalacion, pulsa R para entrar en consola y copia estos ficheros a un disquete accediendo al directorio con CD y con un copy copiando los dos a un disquete

Si tienes algun problema, o no te acuerdas del DOS, comentanoslo

saludos

ms, 8-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 08 Oct 2007, 19:30

Realmente no es que no recuerdo, sino que no se como hacerlo....si me asesoras te lo agradesco..ok..

Gracias

oswaldoteague · Mensaje por **oswaldoteague** » 09 Oct 2007, 03:58

En vista de que por sus ocupaciones no recibi repuesta a la necesidad de asesoria para lograr lo indicado por ud. Trate de hacerlo yo, obviamente no lo logre, solo consegui entrar y arrancar en modo de consola de recuperación, (eso supongo), pero no entiendo los comandos que debo escribir para lograr acceder al directorio, por mas que intente, no lo pude lograr, claro con el sabido temor de ocasionar un problema mayor del que tengo, en cosecuencia, opte por dejarlo asi y esperar su apreciable y necesaria asesoria y tutoria al respecto.

Gracias de antemano por la atencion al respecto.

Espero sus instrucciones (detalla en la medida de lo posible)

Saludos......

PD: Entiendo la diferencia horaria, a eso atribuyo el que no haya respondido al post anterior.

Mensaje por **msc hotline sat** » 09 Oct 2007, 06:54

Efetivamente, ahora debes estar durniendo ...

Pues una vez estas en consola de recuperacion (pantalla negra, letras blancas) escribe:

C: <ENTER>

CD \windows <ENTER>

CD system32 <ENTER>

COPY advpac*.* A: <ENTER> (Y poner un disquete sin proteccion en A:)

Luego arrancar normal y enviarnos los dos ficheros que se habrán creado en A:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 9-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 09 Oct 2007, 17:04

He intentando sin exito lo que me indicastes:

Te comento como lo estoy haciendo, para ver donde esta el error:

1.- Al iniciar equipo pulso repetidamente SUPR, me aparece una indicacion: Pulsar cualquier tecla para iniciar desde el cd (con el cd de windows introducido claro).

2.- Entro en una pantalla azul, donde me da la opcion de Consola de Recuperacion, la tomo.

3.- Entro en una pantalla negra que su titulo es: Consola de recuperacion de Microsoft Windows XP (TM).

4.- al escribir C como me indicastes, me señala que no es un comando permitido. y cd windows system 32 (uno por uno) me lleva a C\Windows\system32, estimo que no es la posicion adecuada por que me señalates "CD".

5.- Hay trato de hacer Copy advpack*.* A <ENTER>.

Obtengo lo siguiente: Copy no permite el uso de comodines o la copia de directorio.

Evidentemente algo estoy haciendo MAL que sera?

Gracias...

Saludos.....

Mensaje por **msc hotline sat** » 09 Oct 2007, 18:43

El punto 4.... y los dos puntitos detras de la C yadonde están ???... :roll: ..... C: <ENTER>

Asi se cambia la unidad y se pasa al disco duro C, unidad C:

y luego lo mismo en el punto 5 , debes añadir los dos puntos detras de la A y quedar A:

Sin los dos puntos no es una unidad, sino presuntamente un comando y claro, no lo entiende... :wink:

Venga, prueba asi, y consulta dionde te encalles, no te preocupes que mientras sea solo esto ...

saludos

ms, 9-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 09 Oct 2007, 20:00

Hola Administrador:

Nuevamente, no lo logro, segui tu recomendacion o mejor dicho indicacion, coloque (:) y efectivamente paso a C: pero de ahi en adelante no avanze nada mas, escribo CD\windows <ENTER>

y aparece lo indicado C: Windows>, pero a partir de aqui n o logro avanzar escribiendo CD system 32 <ENTER>, me indica que no es valido, lo intente de varias formas, con (:) sin ellos con comillas sin ellas, escribiendo todo es decir C: \windows\system 32 : , de distintas maneras y nada que lo logro hacer....estoy a punto de colgarme de un mecate..... :oops:

Agradesco altamente me indiques que hacer, por favor guiame desde el principio, desde como acceder a la consola de recuperacion, asume como si fuera un niño en edad escolar, y debes de explicarle paso a paso todo....tendre paciencia y esperare hasta tanto tengas posibilidad de ayudarme a este extremo...ok...

Gracias..........miles de gracias........

Saludos.......feliz dia....o noche....

Mensaje por **msc hotline sat** » 09 Oct 2007, 20:04

Dices "escribiendo CD system 32 " no debes separar system de 32, va junto !!!

pruebalo así CD SYSTEM32

saludos

ms, 9-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 09 Oct 2007, 20:07

lo he probado de las dos maneras pegado y junto......no entra .

¿como se tiene el acceso a consola de recuperacion? como te lo dije en un post anterior es la forma adecuada?....

Mensaje por **msc hotline sat** » 10 Oct 2007, 07:39

Sí, es que hay cosas que ya estan un poco olvidadas; MSDOS ...

Ya estamos en C:\windows, pues bien el siguiente paso es llegar a c:\windows\system32 para lo cual debes escribir CD SYSTEM32 <ENTER>

no hay mas cera que la que arde !!!

pruebalo y sino, mira con un DIR *. <ENTER> los directorios que cuelgan de esta carpeta, y has de ver el SYSTEM32 ...

saludos

ms, 10-10-207

oswaldoteague · Mensaje por **oswaldoteague** » 10 Oct 2007, 18:19

Bueno Administrador, por lo menos logramos algo, ya entre a c:\windows\system32.

El proximo paso segun lo indicado por ti, es realizar el COPY, pues bien eso no lo he logrado, ya estando en la posicion señalada, escribo COPY adcpack*.* A: y me sigue indicando lo mismo, que no se permite comodines ni copias de directorio.

Intento sin los astericos, me dice que no consigue el directorio, inclesive lo intente escribiendo COPY advpac*.* A: sin la k al final, como me lo señalastes, aunque se que el nombre correcto es con "K", pero por probar lo hice asi y tampoco.

Intente hacer el copy, escribiendolo en MAyusculas, minusculas, separado, pegado, de advapack. Y nada,

De todas maneras se ha logrado algo, ya avance asi sea un paso.

......Piano piano se va lontano.....

......Poco a poco se llega lejos.....

Gracias....

Espero tu respuesta e instrucciones...ok...

Saludos...