proceso iexplorer se abre solo

[sellox]

esta mañana fui imprecabido y descargue un virus.. por suerte el nod32 se dio cuenta y pense que habia terminado el problema, sin embargo desde hace un par de horas note que el proceso iexplore.exe se esta abriendo solo y no para de abrirse y cerrarse todo el tiempo, me saca de quicio.
(junto con el iexplore tb aparece el proceso de la barra de google)

tambien había un proceso que se llamaba "antiviirus" o algo asi q finalize, pero aun asi sigue pasando lo mismo con el iexplorer...
cabe agregar que yo casi nunca uso el internet explorer, nada mas lo tengo instalado por algunas paginas que no se leen con mozilla firefox...

el scan del hjt (aunque no tengo idea para que sirve, sigo el ejemplo de los otros temas .__.U)
------

Logfile of HijackThis v1.99.1
Scan saved at 23:11:09, on 02-07-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: 734914 helper - {0BD071A6-C989-49E8-9B8E-80F92A868E26} - (no file)
O2 - BHO: QXK Olive - {75120D8A-C869-4A41-9D18-E37BF9CC4F8A} - C:\WINDOWS\kgqfweltgnr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: nqgpedlr - {61D1EA3E-A930-4BEB-B16B-D7212B5C5A4C} - C:\WINDOWS\nqgpedlr.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [\\servidor\EPSON Stylus CX5400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2G1.EXE /P30 "\\servidor\EPSON Stylus CX5400" /O6 "USB001" /M "Stylus CX5400"
O4 - HKLM\..\Run: [EPSON Stylus CX5400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2G1.EXE /P19 "EPSON Stylus CX5400" /O6 "USB001" /M "Stylus CX5400"
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: okmdepgb - {EE00B286-5417-4C6A-B05B-521B972A0A1A} - C:\WINDOWS\okmdepgb.dll
O21 - SSODL: axrfgvek - {8A10335D-ACD9-4EE6-BD6C-F9979A532779} - C:\WINDOWS\axrfgvek.dll
O21 - SSODL: SDRAMSrv - {834e6a30-e3c6-4aa2-b393-030cbcbb695a} - C:\WINDOWS\Resources\SDRAMSrv.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

---
me falto agregar que hace poco tambien habia encontrado unos archivos de aplicacion en "c:\archivos de programa" "tmp0" "tmp1" "tmp2" y "antiviirus"


eso, saludos, espero que me ayuden a solucionar el problema..

[msc hotline sat]

Pues envienos estos ficheros para analizar:


C:\WINDOWS\kgqfweltgnr.dll
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\axrfgvek.dll

y eliminar esta clave:
O2 - BHO: 734914 helper - {0BD071A6-C989-49E8-9B8E-80F92A868E26} - (no file)

para ello recordar:

ENVIÓ DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

y ya que detectó el ANTIVIIRUS, pruebe el ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 3 de Julio de 2008

[sellox]

el problema se complico un poco, ayer me tuve que acostar temprano y hoy descubro al encender mi computador de que no puedo acceder a los discos locales por los metodos tradicionales(para conseguir los dll de la carpeta WINDOWS, tuve que escribir la dirección arriba), tampoco puedo cerrar ni cambiar sesion de windows, tambien desaparecieron los iconos de acceco directo de muchos programas, y desde inicio, ademas de no poder cerrar sesion no puedo ir al panel de control(si puedo acceder al panel de control desde "mi pc") desaparecio todo el menú de "todos los programas"

ademas de eso mi computador se volvio loco, en la barra de herramientas aparecio un texto al lado de la hora q pone "VIRUS ALERT!" cada cuando aparece una ventana de alerta que dice que mi sistema esta infectado y que tengo que descargar un antispyware me pone la opcion descargar y yo le pongo que no .....y ahora ase poco aparecio otra que pone que hay un worm.win32.netbooster que puede robar informacion y no se que mas.., ahora mientras escribia esto, el internet explorer se abrio solo y empezo a cargar una pagina "anti spyware"..

no tengo ningun programa en mi pc que pudiera empezar a mandar esos mensajes asique supongo que son parte del virus y no confio en ellos,... no se que hacer, voy a seguir diciendoles que no a los mensajes hasta que ustedes respondan....si aparece algo nuevo los mantendre al tanto..

no pude descargar el elistara, en la pagina que uds me dieron salia eso:
--

ara su eliminacion, vamos acumulando en nuestras versiones del ELISTARA las rutinas de control de las muestras recibidas al respecto, y que son implementadas día a día para eliminar las nuevas variantes de este malware

---v14.51-(27 de Agosto del 2007) (Muestras de (2)Vundo8, Vundo "OOAOCHLG.DLL", (8)MalWare.Celular, FakeAlert "*****.DLL", NaviPromo, JuanSearch "EMORKMYT.DLL", BraveSentry(dldr) "XPUPDATE.EXE", Swizzor(lop), Morphine(notify) "__C001F1E1.DAT", DownLoader.BAR "CRYPTSB.DLL", Hupigon.FEF "SSQONKH.DLL", Adware.XHelper "WEBASSIST.DLL" y AntiVirus2007Pro(dldr) "WINAVXX.EXE")
---v14.52-(28 de Agosto del 2007) (Muestras de (10)Puper-Ies, (2)FakeAlert "*****.DLL", NaviPromo, RootKit.DRM "$sys$DRMServer.EXE", Qhost.MY "HADJAJR.INI" y KeyLogger.G "WINLOGON.EXE")
---v14.53-(29 de Agosto del 2007) (Muestras de (3)MalWare.Celular, FakeAlert "*****.DLL", NaviPromo, JuanSearch, GoldenEye "AGSEIAPP.EXE", Winko(worm) "AUTO.EXE", KeyGen.SSG y MSNPhoto.F)
---v14.54-(30 de Agosto del 2007) (Muestras de (13)MalWare.Celular, Vundo "LTIUHWYO.DLL", AutoRun.IZ "SCVHOST.EXE" y RapidBlaster "ICON.EXE")
---v14.55-(31 de Agosto del 2007) (Mues

y en las paginas de las descripciones no encontre ninguna descarga...

EDIT:
me falto poner que no he notado que haya desaparecido ningun programa , nada mas borraron los iconos de acceso directo de muchos, y aparecieron 3 iconos que no tenia, son accesos directos a internet que tambien llevan a este tipo de paginas antivirus que empiezan a revisar mi pc y a descargar weas sin mi permiso..
---tambien desaparecio el "ejecutar" del menu inicio

saludos

[msc hotline sat]

En la página de descarga del ELISTARA, a la que se accede con el link qye te indicamos, abajo de todo hay un recuadro donde dice DESCARGAR ELISTARA, y pulsando allí te ofrece ejecutar, guardar o cancelar, pues bien, escoje GUARDAR, indicas donde, y luego desde alli lo pruebas.



Tras ello nos posteas el contenido de c:\infosat.txt, que se habrá generado con dicha ejecucion, y dinos si tras reiniciar se han corregido las anomaliuas o cuales persisten...



saludos



ms, 3 de Julio de 2008

[sellox]

tengo que correrlo en los 2 discos duros o solo en el principal?

[lucl]

En los dos pero empieza por el principal, saludos

[sellox]

gracias, si dejaron de aparecer las ventanas de alerta, pero los iconos desaparecidos siguen desaparecidos, no puedo ver los discos locales desde Mi Pc y aun no aparece ejecutar en el menu inicio, ni la opcion para cerrar o cambiar sesion... y el al lado de la 'hora' en la parte inferior derecha de la pantalla (barra de tareas) sigue diciendo 'virus alert!'

(todo esto sigue asi despues del reinicio)

saludos





edit: acabo de comprobar que sigue estando el problema del iexplorer.

[msc hotline sat]

Pues la DLL del Fake Alert no está eliminada...

Caro, veo que posteaste el log del HJT y ahi no se ve.

Prueba el SPROCES y posteanos el SPROCLOG.TXT resultante:
SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar

saludos

ms, 3 de Julio de 2008

[sellox]

Thu Jul 03 12:41:53 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_05\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\UNLOCKER\UNLOCKERASSISTANT.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_S4I2G1.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DAEMON.EXE

C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\CARL\ESCRITORIO\ELISTARA.AC%D8GB%D8%D8H.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\DOCUMENTS AND SETTINGS\CARL\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: QXK Olive - {75120D8A-C869-4A41-9D18-E37BF9CC4F8A} - C:\WINDOWS\kgqfweltgnr.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: nqgpedlr - {61D1EA3E-A930-4BEB-B16B-D7212B5C5A4C} - C:\WINDOWS\nqgpedlr.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [\\servidor\EPSON Stylus CX5400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2G1.EXE /P30 "\\servidor\EPSON Stylus CX5400" /O6 "USB001" /M "Stylus CX5400"

O4 - HKLM\..\Run: [EPSON Stylus CX5400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2G1.EXE /P19 "EPSON Stylus CX5400" /O6 "USB001" /M "Stylus CX5400"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - Startup: desktop.ini

O4 - Startup: RocketDock.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: okmdepgb - {EE00B286-5417-4C6A-B05B-521B972A0A1A} - C:\WINDOWS\okmdepgb.dll

O21 - SSODL: axrfgvek - {8A10335D-ACD9-4EE6-BD6C-F9979A532779} - C:\WINDOWS\axrfgvek.dll

O21 - SSODL: SDRAMSrv - {834e6a30-e3c6-4aa2-b393-030cbcbb695a} - C:\WINDOWS\Resources\SDRAMSrv.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWBS2.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: npkcrypt - Unknown owner - C:\Archivos de programa\Gravity\RO\npkcrypt.sys (file missing)

O23 - Service: npkcusb - Unknown owner - C:\Archivos de programa\Gravity\RO\npkcusb.sys (file missing)

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



24 Servicios.

7 de Carga Automatica.

16 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues envianos estos ficheros para analizar:

C:\WINDOWS\kgqfweltgnr.dll
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\axrfgvek.dll

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 3 de Julio de 2008


NOTA: Y mientras, renombra la extension de dichos ficheros a .VIR para que tras reiniciar ya no se pongan en marcha, y tras en analisis si son realmente malwares ya seran eliminados por la utilidad que indicaremos, y si no, se vuelven a renombrar y punto, pero estos 4 tienen un 90 % de posibilidades de ser malwares ! ms.

[sellox]

esta hecho

[msc hotline sat]

Si ya has renombrado su extension a .VIR, reinicia y cuentanos el resultado, gracias



saludos



ms, 3 de Julio de 2008

[sellox]

pues, no ha cambiado nada, el proceso iexplorer.exe sigue molestando y lo que mencione antes de los iconos, los discos locales de Mi Pc y el ejecutar de menu inicio y el cambiar o cerrar sesion siguen desaparecidos

[msc hotline sat]

Si es tal como lo escribes, iexplorer.exe, es un malware.

El del windows es iexplore.exe

Si realmente tiene la ultima r como dices, envianoslo para analizar, ya que debe ser una nueva variante como tantas otras con el mismo nombre.

Si la has de enviar, recuerda:
Kaspersky Security Scan

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.

saludos

ms, 3 de Julio de 2008

[sellox]

no, lo escribi mal, es "iexplore.exe" y junto con el se abre el "GoogleToolbarNotifier.exe".



saludos.



EDIT: los problemas que mencione solo ocurren en una sesion de windows, las demas estan intactas.

[msc hotline sat]

Debe tratarse de un BHO, (BROWSE HELPER OBJECT) que se lanzan cuando se abre el navegador



Veo que tienes:



O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: QXK Olive - {75120D8A-C869-4A41-9D18-E37BF9CC4F8A} - C:\WINDOWS\kgqfweltgnr.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll



y entre ellos hay el primero que te indiqué recombrar a .vir:



O2 - BHO: QXK Olive - {75120D8A-C869-4A41-9D18-E37BF9CC4F8A} - C:\WINDOWS\kgqfweltgnr.dll



Pues buscando mas informacion sobre esta clave, vemos:



http://www.castlecops.com/tk54345-kgqfweltgnr_dll.html



por lo que incluso antes de analizar la muestra en cuestion, ya puedes eliminar la clave correspondiente, no sea que aun renombrando el fichero de la carpeta indicada, hubiera otro en path que la clave nos ejecutara.



Para borrar dicha clave, recuerda:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y tras reiniciar cuentanos el resultado, gracias



saludos



ms, 3 de Julio de 2008







NOTA: De todas formas, mañana analizaremos las muestras que nos envies e implementaremos la eliminacion de los malwares y claves correspondientes, de lo cual informaremos. ms.

[msc hotline sat]

He buscado informacion de los demas y he visto:



este otro nqgpedlr.dll tambien está reconocido como malware, :



http://www.castlecops.com/clsid-54419.html





y este okmdepgb.dll parece ser un VUNDO !!!:



http://www.reikitech.com/spyware/14711-infected-win32-bho-je-virtumonde-dll.html





y el otro es otro malware quizas otro VUNDO ???, ya veremos



saludos



ms, 3 de Julio de 2008

[sellox]

gracias por todo, empezare a hacer lo que me dijieron... todo caso ya me rendi con la cuenta de usuario dañada, la borré y me cree otra. Ahora veré si con esto ultimo terminamos con el problema del iexplore de una vez..



demore en responder porque no me habia fijado en la segunda pagina xd



edit: no funciono, el proceso iexplore.exe sigue dandome problemas , me pregunto si desinstalandolo y reinstalandolo solucionaria el problema <_>



saludos

[msc hotline sat]

Segun el VUNDO que sea requiere tratamiento especial, empezando por ELISTARA+ ELINOTIF, pero ya lo veremos al analizar las muestras e informaremos.



De momento, lee esto, por si fuera el caso:



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759



saludos



ms, 4 de Julio de 2008

[msc hotline sat]

Pues en el analisis han resultado ser variuantes del adware Agent -BN, del que ya conocemos otros, y que pasamos a controlar y eliminar con el ELISTARA de hoy 16.64



Esta tarde descargalo y lo pruebas:



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 4 de Julio de 2008

[sellox]

habia pasado el ad-aware antes de leer el post..



Thu Jul 03 12:00:23 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\Documents and Settings\Carl\Escritorio\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Carl\Escritorio\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Carl\Escritorio\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Carl\Favoritos\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Carl\Favoritos\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Carl\Favoritos\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 03 12:01:01 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\dell\drivers\R158510\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 7363

Nº Total de Ficheros: 116735

Nº de Ficheros Analizados: 19305

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Thu Jul 03 12:12:37 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 03 12:12:47 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2899

Nº Total de Ficheros: 51910

Nº de Ficheros Analizados: 12787

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Thu Jul 03 12:15:27 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2715

Nº Total de Ficheros: 11285

Nº de Ficheros Analizados: 2402

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jul 03 12:22:03 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jul 03 12:22:08 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7363

Nº Total de Ficheros: 116670

Nº de Ficheros Analizados: 19297

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jul 03 13:44:27 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 721

Nº Total de Ficheros: 8501

Nº de Ficheros Analizados: 1485

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Thu Jul 03 14:28:18 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 03 16:15:42 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu Jul 03 16:16:01 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 188

Nº Total de Ficheros: 981

Nº de Ficheros Analizados: 202

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Thu Jul 03 19:59:03 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 03 19:59:07 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7483

Nº Total de Ficheros: 116910

Nº de Ficheros Analizados: 19329

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jul 04 10:19:40 2008

EliStartPage v16.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{61D1EA3E-A930-4BEB-B16B-D7212B5C5A4C}" -> NULL1

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Fri Jul 04 10:20:14 2008

EliStartPage v16.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6835

Nº Total de Ficheros: 115214

Nº de Ficheros Analizados: 19296

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





y el elistara no parece haber encontrado nada.



saludos



[size=110]edit: desinstale el internet explorer, y ahora pasa lo mismo que antes solo que el proceso cambio de nombre a "imapi"[/size]

[sellox]

el reiniciar, volvio a aparecer el proceso iexplore.exe, instale el superantispyware, encontro algunas cosas, pero el iexplore.exe sigue molestandome.. como desinstale el internet explorer 7 ya no se aparece el proceso googletoolbarnotifier.exe.



ya no se que mas hacer, les dejo el log del superantispyware por si les interesa =S



SUPERAntiSpyware Scan Log

Generated 07/04/2008 at 01:24 PM



Application Version : 4.15.1000



Core Rules Database Version : 3497

Trace Rules Database Version: 1488



Scan type : Quick Scan

Total Scan Time : 00:05:52



Memory items scanned : 328

Memory threats detected : 0

Registry items scanned : 334

Registry threats detected : 3

File items scanned : 8098

File threats detected : 3



Trojan.Net-MU/Gen

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo#uninstallString

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo#DisplayName



Adware.Tracking Cookie

C:\Documents and Settings\Administrador\Cookies\administrador@ads.us.e-planning[1].txt

.doubleclick.net [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.casalemedia.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.casalemedia.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.casalemedia.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.casalemedia.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.casalemedia.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.atdmt.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.specificclick.net [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.specificclick.net [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.specificclick.net [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.specificclick.net [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.imrworldwide.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

.imrworldwide.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

mediamgr.ugo.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

server.cpmstar.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

server.cpmstar.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]

server.cpmstar.com [ C:\Documents and Settings\Provisoria\Datos de programa\Mozilla\Firefox\Profiles\rrxywt0q.default\cookies.txt ]



Trojan.Dropper/Gen

C:\WINDOWS\MRVTDPQE.EXE



Adware.E404 Helper/Variant-C

C:\WINDOWS\SYSTEM32\734914\734914.DLL

[lucl]

Pues envianos estos



Trojan.Dropper/Gen

C:\WINDOWS\MRVTDPQE.EXE



Adware.E404 Helper/Variant-C

C:\WINDOWS\SYSTEM32\734914\734914.DLL





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos

[sellox]

el antispyware los borró, por eso no puedo enviarlos.





borre la carpeta de internet explorer y deje de tener problemas, ni modo.. muchas gracias :mrgreen:

[msc hotline sat]

A la vista de lo que se indica en este Tema y dado lo indicado en



https://foros.zonavirus.com/viewtopic.php?f=5&t=25374&st=0&sk=t&sd=a&start=15



es muy importante para solucionarlo el instalar el SP3, que vemos no tienes instalado:


[quote]Thu Jul 03 12:12:37 2008

EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP[/quote]

Con ello se parchea esta vulnerabilidad del Iexplore.exe que te está afectando !!!



Cuentanos el resultado, gracias



saludos



ms, 7-07-2008