tengo problemas con paginas que entran solas

neno2006 · Mensaje por **neno2006** » 02 Feb 2008, 10:26

Logfile of HijackThis v1.99.1

Scan saved at 10:20:28, on 02/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS.0\System32\smss.exe

C:\WINDOWS.0\system32\winlogon.exe

C:\WINDOWS.0\system32\services.exe

C:\WINDOWS.0\system32\lsass.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\system32\spoolsv.exe

C:\WINDOWS.0\Explorer.EXE

C:\Archivos de programa\Conceptronic\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS.0\system32\cisvc.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\ARCHIV~1\MICROS~4\rapimgr.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS.0\system32\nvsvc32.exe

C:\WINDOWS.0\system32\PSIService.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\Archivos de programa\Photodex\ProShowProducer\ScsiAccess.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS.0\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS.0\system32\walg.exe

C:\Archivos de programa\Telefonica\bin\sprtcmd.exe

C:\WINDOWS.0\system32\cidaemon.exe

C:\WINDOWS.0\system32\cidaemon.exe

C:\Documents and Settings\Nenoyou\Mis documentos\Mis archivos recibidos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {D73F49B6-B51B-4d32-A3B7-BD04B8342F53} - (no file)

O1 - Hosts: 212.150.54.250 dv-networks.com

O2 - BHO: MorpheusToolbar BHO - {3F3714A1-89A4-46be-8AF3-D0C9D1FB03F9} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {D73F49B1-B51B-4d32-A3B7-BD04B8342F53} - (no file)

O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)

O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: (no name) - {3F3714A9-89A4-46be-8AF3-D0C9D1FB03F9} - (no file)

O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Archivos de programa\AutoCAD 2002\AcDcToday.ocx

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-6edb94b67832d3fd.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD 2002\InstBanr.ocx

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Archivos de programa\AutoCAD 2002\InstFred.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Archivos de programa\AutoCAD 2002\AcPreview.ocx

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS.0\system32\btxppanel.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS.0\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.0\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\Conceptronic\Software Bluetooth\bin\btwdins.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe

O23 - Service: Print Spooler Service (p7ieawjh26ut8o) - Unknown owner - C:\WINDOWS.0\system32\ikddifzijges.exe (file missing)

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS.0\system32\PSIService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowProducer\ScsiAccess.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - (no file)

O23 - Service: Spyware Doctor Service (sdCoreService) - Unknown owner - (no file)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: wlg - Unknown owner - C:\WINDOWS.0\system32\walg.exe

Mensaje por **lucl** » 02 Feb 2008, 10:39

analiza tu pc con estos dos programas y luego peganos el log que te dejaran en C infosat.txt saludos

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

Mensaje por **msc hotline sat** » 02 Feb 2008, 10:49

Se aprecian bastantes cosas atipicas, pero empecemos por este fichero:

~~[b]~~[i]C:\WINDOWS.0\system32\walg.exe[/i][/b]

envienoslo para analizar, pues resulta muy sospechoso

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y se carga como servicio en la ultima clave:

O23 - Service: wlg - Unknown owner - C:\WINDOWS.0\system32\walg.exe

Cuando lo haya enviado, puede subirlo al virus total, a ver si confirman nuestras sospechas, y nos postean el resultado:

https://www.virustotal.com/es/

Otras cosas son la carpeta de windows, para la que usa C:\WINDOWS.0 , y otras cosas, por lo que proceda a probar, ademas, el ELISTARA:

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 2-2-2008

neno2006 · Mensaje por **neno2006** » 02 Feb 2008, 12:54

Sat Feb 02 11:41:21 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS.0\SYSTEM32\HOTTVPLAYER.DLL --> Eliminado HotTV

C:\WINDOWS.0\SYSTEM32\NVS2.INF --> Eliminado

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{FD31BF07-70E3-4B98-8F70-0970AF614275}" -> C:\WINDOWS.0\system32\HotTVPlayer.dll

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (K)

open=.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Feb 02 11:43:29 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\BitTorrent Fastest Tool\BITDOWNLOAD-3.0-SETUP.EXE --> Eliminado, BitDownload(dropper)

C:\Archivos de programa\CyberLink\PowerDVD\QT3SUPPORT4.DLL --> Eliminado, ISTBar

C:\Archivos de programa\GeoVid\VidGIF\MUISUPPORT.DLL --> Eliminado, 180Solutions

C:\Archivos de programa\MarkAny\ContentSafer\TCC730USB.DLL --> Eliminado, AutoRun.K

C:\Archivos de programa\MorpheusBar\bar\1.bin\NPMORPBR.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\Mozilla Firefox\plugins\NPMORPBR.DLL --> Eliminado, MyWebSearch

Sat Feb 02 11:59:44 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (K)

open=.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Feb 02 12:00:09 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

neno2006 · Mensaje por **neno2006** » 02 Feb 2008, 13:02

Sat Feb 02 11:41:21 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS.0\SYSTEM32\HOTTVPLAYER.DLL --> Eliminado HotTV

C:\WINDOWS.0\SYSTEM32\NVS2.INF --> Eliminado

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{FD31BF07-70E3-4B98-8F70-0970AF614275}" -> C:\WINDOWS.0\system32\HotTVPlayer.dll

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (K)

open=.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Feb 02 11:43:29 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\BitTorrent Fastest Tool\BITDOWNLOAD-3.0-SETUP.EXE --> Eliminado, BitDownload(dropper)

C:\Archivos de programa\CyberLink\PowerDVD\QT3SUPPORT4.DLL --> Eliminado, ISTBar

C:\Archivos de programa\GeoVid\VidGIF\MUISUPPORT.DLL --> Eliminado, 180Solutions

C:\Archivos de programa\MarkAny\ContentSafer\TCC730USB.DLL --> Eliminado, AutoRun.K

C:\Archivos de programa\MorpheusBar\bar\1.bin\NPMORPBR.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\Mozilla Firefox\plugins\NPMORPBR.DLL --> Eliminado, MyWebSearch

Sat Feb 02 11:59:44 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (K)

open=.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Feb 02 12:00:09 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Claudia34 · Mensaje por **Claudia34** » 02 Feb 2008, 17:29

Realiza como forma complementaria un windows update del S.O.

Saludos.

Mensaje por **lucl** » 02 Feb 2008, 17:36

Y envianos esto si no sabes lo que es

Detectado AUTORUN.INF en la Unidad (K)

open=.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

Mensaje por **msc hotline sat** » 02 Feb 2008, 18:44

Sí, envianos lo indicado por el infosat, como muy bien recalca lucl, y pasaremos a controlarlo.

Posiblemente se trate de un virus de pendrive:

http://vil.nai.com/vil/content/v_143653.htm

saludos

ms, 2-2-2008

Y recuerda la vacuna para ordenadores y unidades pendrive: ELIPEN.EXE

ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp

ms.

Mensaje por **msc hotline sat** » 04 Feb 2008, 13:35

Recibido fichero VAL.EXE de la c arpeta de sistema, se trata de un nuevo malware que genera otro en la carpeta de windows con nombre OUT.EXE, y pasamos a controlar y eliminar los dos con la nueva version de hoy del ELISTARA 15.58, que estará disponible a partir de las 19 h en esta web, para pruebas de evaluacion en el foro de zonavirus:

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 4-2-2008