PROBLEMA IE "Internet Explorer" (SOLUCIONADO)

[kaninox]

pues señor msc el archivo no esta :/

me fui a opcione de carpeta etc... ver archivs ocultos, y los de sistema etc....

eso ya lo conosco pero al buscar no esta el archivo...

[msc hotline sat]

Pero supongo que el C:\infosat.txt sí que está, verdad ? , pues abrelo con el bloc de notas y posteanos su contenido, con un copiar y pegar sobre tu proximo post, de respuesta a este Tema



saludos



ms, 26-2-2008

[kaninox]

le copio el infosat



Sun Feb 28 16:04:15 2008

EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "AudioHQ"="C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE"

Página de Inicio de IE, "about-blank.in" --> Eliminada

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Feb 28 16:04:46 2008

EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6250

Nº Total de Ficheros: 58086

Nº de Ficheros Analizados: 15829

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 28 16:10:48 2008

EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 28

Nº Total de Ficheros: 564

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 28 16:10:52 2008

EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 1613

Nº Total de Ficheros: 29036

Nº de Ficheros Analizados: 600

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 28 16:11:50 2008

EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 18

Nº Total de Ficheros: 526

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 28 16:11:53 2008

EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 42

Nº Total de Ficheros: 266

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Bien, pues ya no se detectan malwares, y hablando de la clave:



O23 - Service: Print Spooler Service (oaeuau84y0i) - Unknown owner - C:\WINDOWS\system32\kuygl.exe (file missing)



qie corresponde a un troyano y deberia ser eliminada, pero si el troyano ya no está y arrancando en modo seguro esta clave no se elimina, mientras tras reiniciar no persista ninguna anomalia, podemos considerarla un resto inocuo, que ya miraremos de eliminar con nuestras utilidades, de lo cual informaremos



Al respecto ya eliminamos las claves de lanzamiento de dicha utilidad y la misma utilidad:



Entrada Eliminada [HKLM\...\Run] "KUYGL"="C:\WINDOWS\system32\kuygl.exe"



Entrada Eliminada [HKLM\...\RunServices] "KUYGL"="C:\WINDOWS\system32\kuygl.exe"



y el fichero de marras tambien:



primero



C:\WINDOWS\SYSTEM32\KUYGL.EXE --> Trojan.Agent.EBW Renombrado a .VIR



y luego



C:\WINDOWS\system32\KUYGL.EXE.VIR --> Eliminado, Trojan.Agent.EBW



Dinos si tras reinciiar ya todo va bien para dar por solucionado el Tema, gracias



saludos



ms, 29-2-2008

[kaninox]

pues si master ya esta solucionado el tema mi pc anda bien :) pues que arto me he pasado por los foros y ya he aprendido bastante con ud. por lo menos a saber si tengo alguna anomalia en el pc.



muchas gracias como siempre.

y ya sabe que estaremos molestando nuevamente en algun futuro X)



saludos...

[msc hotline sat]

Para facilitar la eliminacion de claves de servicios una vez eliminado el fichero y las otras claves de carga relacionadas, estamos haciendo una nueva utilidad, ELISERV.EXE que pedirá nombre del servicio , por ejemplo en su caso seria "Print Spooler Service" y tras encontrala la mostrará pidiendo conformidad para eliminarla, espero que asi puedan eliminarse restos como el suyo.



Se informará cuando esté disponible



saludos



ms, 29-2-2008

[msc hotline sat]

Pues con ADMIN la estamos subiendo al foro para que puedas probarla.



Simplemente en tu caso entra el servicio en cuestion, que es Print Spooler Service y te debe dar la clave que carga como servicio la aplicacion kuygl.exe, si es asi, confirma la eliminacion y listos



Comentanos como te ha ido cuando lo pruebes y si lo ves facil



saludos



ms, 29-2-2008





para descargarla: ...en proceso

[msc hotline sat]

Bueno, pues ya está subida, pruebala y nos cuentas el resultado, gracias:



http://www.zonavirus.com/datos/descargas/273/eliservexe.asp



saludos



ms, 1-3-2008

[kaninox]

sos grande master, me elimino la entrada :)

te dejo el log...



Logfile of HijackThis v1.99.1

Scan saved at 16:24:03, on 01/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Servidor\mysql\bin\mysqld-nt.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Under Family\Escritorio\bones\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [AHQInit] C:\Archivos de programa\Creative\SBLive\Program\AHQInit.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TransBar] C:\Documents and Settings\Under Family\Configuración local\Datos de programa\AKSoftware\TransBar\TransBar.exe /s

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar link con &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Descargar links con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar todos los videos con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5D223C-A2CA-4A94-B247-DE0A770242B1}: NameServer = 216.155.73.40 216.155.73.41

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

[msc hotline sat]

Pues lo celebramos, y revisado el log, ya no hay nada raro ni malware conocido, asi que damos el Tema por solucionado y procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 2-3-2008