OmegaSearch (SOLUCIONADO)

approved101 · Mensaje por **approved101** » 30 Ago 2005, 08:52

Hola a todos, soy nuevo en el foro.

Desde hace un tiempo cada vez que enciendo el PC, me salen en el escritorio una serie de iconos como : Ringtones - Find a date - etc ... Le he pasado el ad-aware y borro todo lo que pueda haber. El Mcafee no detecta ningún virus en el equipo. Usando el Spybot me detectó 3 entradas, que borré. Usando el Spyware de Microsoft, me encuentra uno llamado "OMEGASEARCH" el cual borra, pero al reiniciar, vuelve a estar.

Yo utilizo Firefox, pero cuando entro en IE me sale una barra justo debajo de Dirección, la borro, pero me dice que tengo que eliminarla desde "añadir/quitar programas".

Tambien me modifica la web de inicio tanto de IE como de Firefox a algo así : http://www.sldjfkxckfdjkjsdlfjlkñlskcjljfldjsld.com

La cuestión es que no consigo borrar la barrita de marras, y además me dice que es PELIGROSO.

¿qué puedo hacer?

Gracias y saludos

Mensaje por **msc hotline sat** » 30 Ago 2005, 11:45

Evidentemente se trata de spywares, y el McAfee que Vd usa no debe tener implementado el módulo antispyware, que está disponible desde Marzo de este año.

Para eliminar los spywares debe seguir el tutorial al respecto:

https://foros.zonavirus.com/viewtopic.php?t=4795

pero como que veo que ya lo usa y los conoce, le resumo un par de cosas:

1.-Antes de usarlos actualicelos.

2.-Para utilizarlo y poder eliminar los bichos que detecte, se debe aopagar el ordenador, arrancar pulsando repetidamente F8 y seleccionas ARRANCAR EN MODO SEGURO y si usa XP se ha de deshabilitar la restauracion de sistema.

Hagalo así y tanto el SPYBOT como el AD_AWARE le eliminarñan del todo lo que detecten.

saludos

ms, 30-08-2005

approved101 · Mensaje por **approved101** » 01 Sep 2005, 12:16

Seguí los pasos y tras reiniciar en modo normal, los bichos habian desaparecido .... pero esta mañana al arrancar de nuevo el PC ... aparecieron los iconos y la barra.

Desesperante

Mensaje por **msc hotline sat** » 01 Sep 2005, 12:44

Pues además de ello, por si se tratara de algo mas, que se lo regenerara, pruebe el ELISTARA, elimine la pagina de inicio, indiquele cuando se lo pida la deseada, y si le pide que nos envie unas muestras, hagalo ya que puede tratarse de elementos no controlados, de los que cada día conocemos unos 50 nuevos de promedio...

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 1-09-2005

approved101 · Mensaje por **approved101** » 02 Sep 2005, 07:14

Esto es lo que se me ejecuta de inicio :

Logfile of HijackThis v1.99.1

Scan saved at 6:58:21, on 01/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\System32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\System32\sstray.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

C:\Archivos de programa\SpeedFan\speedfan.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Frodo\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qlkbvgmvhqpcefwdrxrxknlxr.com/VzkOYSTsn05N8IFniSufb6U67sUArf1z_5fw9ZLEEMODq1llEQo2wK4BVEIrsgdy.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eygokzcholpbhanxhzqqtvm.info/VzkOYSTsn05fOl65VncqILxPLLipy2zb4bmZQj8uZlo.html

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {3FA7FE10-53B9-21E8-FD85-47AE66202275} - C:\DOCUME~1\Frodo\DATOSD~1\intravc\anti 32.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKDetct.exe /startup

O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Stupid help dvd camp] C:\Documents and Settings\All Users\Datos de programa\debug math stupid help\skip draw.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Ref heart ball data] C:\Documents and Settings\All Users\Datos de programa\for owns ref heart\ViewTons.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [TS 5 ] C:\Archivos de programa\Torrent Searcher 5\ts.exe /hide

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Wait exit] C:\DOCUME~1\Frodo\DATOSD~1\CHICBA~1\math bolt send.exe

O4 - Startup: SpeedFan.lnk = C:\Archivos de programa\SpeedFan\speedfan.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {0DAF3B86-2439-11D3-8181-02608CDC552E} (NDateEdit Control) - http://hjshamlx.hamur.hanjin.com/nexus/engcontrols/common/ndateedit.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5C9F81DE-A951-11D5-BCA0-009027E7804D} (EInputDlgPrj.EInputDlgCtrl) - http://hjshamlx.hamur.hanjin.com/nexus/engcontrols/common/einputdlg.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121456660031

O16 - DPF: {6A868C04-B942-11D8-8D76-0008C7FF1716} (BanServidorFicherosBPP.DownloadBPP) - https://www.bancajaproxima.com/arq_activex/particulares/BanServidorFicherosBPP.CAB

O16 - DPF: {D8FE488A-410D-11D3-8181-02608CDC552E} (NVersionMan Control) - http://iplaza.hanjin.com/nexus/engcontrols/common/nversionman.ocx

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

Mensaje por **msc hotline sat** » 02 Sep 2005, 07:48

Pruebe de eliminar estas claves:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eygokzcholpbhanxhzqqtvm.info/VzkOYSTsn05fOl65VncqILxPLLipy2zb4bmZQj8u Zlo.html

O16 - DPF: {0DAF3B86-2439-11D3-8181-02608CDC552E} (NDateEdit Control) - http://hjshamlx.hamur.hanjin.com/nexus/engcontrols/common/ndateedit.ocx

O16 - DPF: {0DAF3B86-2439-11D3-8181-02608CDC552E} (NDateEdit Control) - http://hjshamlx.hamur.hanjin.com/nexus/engcontrols/common/ndateedit.ocx

O16 - DPF: {6A868C04-B942-11D8-8D76-0008C7FF1716} (BanServidorFicherosBPP.DownloadBPP) - https://www.bancajaproxima.com/arq_activex/particulares/BanServidorFicherosBPP.C AB

O16 - DPF: {D8FE488A-410D-11D3-8181-02608CDC552E} (NVersionMan Control) - http://iplaza.hanjin.com/nexus/engcontrols/common/nversionman.ocx

y tras ello reinicia y nos cuenta si persisten o no los problemas

saludos

ms, 2-09-2005

approved101 · Mensaje por **approved101** » 02 Sep 2005, 08:20

[quote="msc hotline sat"]Pruebe de eliminar estas claves:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eygokzcholpbhanxhzqqtvm.info/VzkOYSTsn05fOl65VncqILxPLLipy2zb4bmZQj8u Zlo.html

[color=red]~~[b]~~Ya lo he borrado varias veces, hasta en modo seguro, pero termina saliendo la barra en el IE y los iconos en el escritorio.[/b][/color]

O16 - DPF: {0DAF3B86-2439-11D3-8181-02608CDC552E} (NDateEdit Control) - http://hjshamlx.hamur.hanjin.com/nexus/engcontrols/common/ndateedit.ocx

[color=red]~~[b]~~Este es un fichero para poder entrar en la mensajeria de mi empresa.[/b][/color]

O16 - DPF: {0DAF3B86-2439-11D3-8181-02608CDC552E} (NDateEdit Control) - http://hjshamlx.hamur.hanjin.com/nexus/engcontrols/common/ndateedit.ocx

[color=red]~~[b]~~Este es un fichero para poder entrar en la mensajeria de mi empresa.[/b][/color]

O16 - DPF: {6A868C04-B942-11D8-8D76-0008C7FF1716} (BanServidorFicherosBPP.DownloadBPP) - https://www.bancajaproxima.com/arq_activex/particulares/BanServidorFicherosBPP.C AB

[color=red]~~[b]~~Esto es el acceso al banco : BANCAJA[/b][/color]

O16 - DPF: {D8FE488A-410D-11D3-8181-02608CDC552E} (NVersionMan Control) - http://iplaza.hanjin.com/nexus/engcontrols/common/nversionman.ocx

[color=red]~~[b]~~Este es un fichero para poder entrar en la mensajeria de mi empresa.[/b][/color]

y tras ello reinicia y nos cuenta si persisten o no los problemas

saludos

ms, 2-09-2005[/quote]

Gracias por tus comentarios. Mira arriba en rojo los comentarios de cada uno. Estoy desesperado, no hay manera de quitar la barrita de las narices. Lo he intentado todo. :-(

Mensaje por **msc hotline sat** » 02 Sep 2005, 08:30

Pues todo se centra en la primera clave. Lanza el ELISTARA en modo seguro y dile eliminar pagina de inicio, y luego al final te pedira ka que orefieras, indicale cualquiera, por ejemplo la de http://www.google.es y reinicia, abre el navegador y mira si te lleva al google o no

Si no es así. mira en Panel de Control.Agregar Quitar programas, que posiblemente tengas una aplicacion desconocida instalada, eliminala y prueba de nuevo lo del ELISTARA

Y nos comentas el resultado como respuesta de este tema. gracias

saludos

ms, 2-09-2005

approved101 · Mensaje por **approved101** » 02 Sep 2005, 22:22

Gracias por vuestra ayuda, pero esto sigue igual. No se que mas hacer. Siempre que reinicio aparecen los iconos (a veces no), y a veces aparece la barrita. Lo que si que aparece siempre es en el hijack la web rara. No se como quitarlo definitivamente.

Creo que me va a tocar re-instalar el XP :-(

jacotasa · Mensaje por **jacotasa** » 02 Sep 2005, 22:49

Mira, a mi me pasaba algo similar,

Pero en mi caso, estaba haciendo algo mal... Pasaba (en modo seguro y deshabilitada la restauración) el SpyBot y el EliStarA y si se eliminaban, pero al reiniciar volvían... Esto se debía a que no eliminaba las claves en modo seguro y antes de reiniciar.

Lo que hice es que en modo seguro, ademas de pasar SpyBot y EliStarA, borré con HijackThis las claves mentadas.... y una vez reiniciado ya habían desaparecido. Porque si se quitan las claves en modo normal (Según muestra el LOG que publicas) una vez reiniciado se vuelven a crear.

Saludos y ojalá ya con esto quede.

buitre · Mensaje por **buitre** » 03 Sep 2005, 02:18

en verdad dudo que alla fallado el elistara...bueno como dijo jacotasa, puede ser la restaurasion del equipo, para deshabilitarla desde na simple casilla bajate ese

http://www.zonavirus.com/descargas/srestore.asp

con este podras deshabilitar o habilitar la restauracion del sistema facilmente

tal vez la puedas quitar desde agregar o quitar programas....

intentalo

saludos

approved101 · Mensaje por **approved101** » 03 Sep 2005, 09:20

Finalmente parece ser ha desaparecido. Jocatasa hice lo que me dijiste, pero ademas borré una carpeta en Archivo de programas llamada "chi bat" donde habian una serie de ejecutables que por nombre se parecian a los iconos y la barra.

Bueno creo que se ha solucionado el bichito .... 1000 gracias a todos.

approved101 · Mensaje por **approved101** » 03 Sep 2005, 09:22

Por cierto, el EliStarA se me ha cargado una dll del mcafee y ya no me deja arrancarlo.

Mensaje por **msc hotline sat** » 03 Sep 2005, 09:33

No creo que fuera el ELISTARA, porque somos mayoristas de McAfee y mas de 100.000 usuarios asociados a nuestros servicios lo usan sin problemas, como nosotros mismos al hacer las pruebas de cada version, y seguimos teniendo operativo el McAfee.

Mas bien la desinstalacion de alguna aplicacion se llevó una DLL comun. O el mismo bicho, o se borró por error.

En tal caso, desinstala el antivirus y vuelvelo a instalar

Si tyvieras mayor porblema al respecto indicanoslo posteando nuevo Tema en PROBLEMAS CON EL SOFTWARE

Y habiendo quedado solucionado este Tema, procedemos a cerrarlo

saludos

ms, 3-09-2005

approved101 · Mensaje por **approved101** » 03 Sep 2005, 09:48

Pues nada de nada. Apareció otra vez la barra y los iconos.

Cuando ejecutaba el EliStarA me marcó una dll a borrar : mcagntps.dll, después de esto no arrancaba el Mcafee center.

Sigo con el mismo problema.

Me rindo.

Mensaje por **msc hotline sat** » 03 Sep 2005, 10:03

Abre con el bloc de notas el fichero C:\Infosat.txt que tienes en este ordenador, lo seleccionas todo (CTRL-E), lo copias al portapapeles (CTRL-C) y nos lo pegas en tu próximo post (CTRL-V) de respuesta a este Tema, y lo estudiamos y obramos en consecuencia.

Si tuvieramos que rendirnos por cada inconveniente que nos provocan los virus, hace 16 años y un día que ya nos habríamos retirado de esta guerra!

saludos

ms, 3-09-2005

approved101 · Mensaje por **approved101** » 03 Sep 2005, 10:27

Aquí teneis :

Thu Sep 01 20:43:20 2005

EliStartPage v10.21 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "QuickTime Task"=""C:\Archivos de programa\QuickTime\qttask.exe" -atboottime"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Sep 01 20:44:27 2005

EliStartPage v10.21 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Azureus\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\CoolStreaming\uninstall.exe --> AutoExtraible

C:\Archivos de programa\McAfee.com\Agent\mcagntps.dll --> Eliminado, AltNet

C:\Archivos de programa\ratDVD\uninst.exe --> AutoExtraible

C:\Archivos de programa\SpeedFan\uninstall.exe --> AutoExtraible

C:\WINDOWS\system32\ltfil13n.dll --> Eliminado, WinAd

Thu Sep 01 20:54:35 2005

EliStartPage v10.21 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Sep 01 20:56:23 2005

EliStartPage v10.21 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Azureus\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\CoolStreaming\uninstall.exe --> AutoExtraible

C:\Archivos de programa\ratDVD\uninst.exe --> AutoExtraible

C:\Archivos de programa\SpeedFan\uninstall.exe --> AutoExtraible

Thu Sep 01 22:55:22 2005

EliStartPage v10.21 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Sep 01 22:56:12 2005

EliStartPage v10.21 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Azureus\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\CoolStreaming\uninstall.exe --> AutoExtraible

~~[b]~~[color=red]C:\Archivos de programa\McAfee.com\Agent\mcagntps.dll --> Eliminado, AltNet[/color][/b]

C:\Archivos de programa\ratDVD\uninst.exe --> AutoExtraible

C:\Archivos de programa\SpeedFan\uninstall.exe --> AutoExtraible

Mensaje por **msc hotline sat** » 03 Sep 2005, 11:14

Bueno, aunque no resuelva el problema de la reaparicion de la barra y los iconos que te incordian, por lo menos vemos que en el fichero indicado se detectaron rutinas del ALTNET y por eso se eliminó.

Esta version de McAfee no es la que tenemos nosotros, la 8.0i ENTERPRISE, que es la que montan nuestros clientes a los que damos soporte.

He buscado este fichero en mi ordenador y no lo tengo. No sé si es una version "retail" de otra linea domestica, en cualquier caso lo miraremos el lunes (hoy sabado la empresa no está abierta) y excluiríamos dicha deteccion si fuera una falsa alarma, sobre fichero original que por casualidad contuviera dicha rutina, pero tambien podría ser que el fichero hubiera sido modificado. En cualquier caso copiando de nuevo el fichero o reinstalando el antivirus se volvería a disponer de él-

Mientras, una vez instalado de nuevo el fichero, copieselo a un disquete, por si requiere pasar de nuevo el ELISTARA y se lo vuelve a borrar, en cuyo caso es muy sencillo copiar puntualmente el fichero indicado, hasta que estudiemos esta deteccion y procedamos en consecuencia.

El problema lo tenemos en la eliminacion del troyano o lo que sea. Para solucionarlo, copienos un log del HiJacjThis como respuesta de este Tema, procediendo de la siguiente manera:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras ello te indicamos las claves a eliminar y probamos...

saludos

ms, 3-09-2005

approved101 · Mensaje por **approved101** » 03 Sep 2005, 11:40

Hola,

1000 gracias por vuestra ayuda.

Sobre el Mcafee, tengo la version 8 que viene con la suite.

Parece ser que despues de varios reinicios, el bichito ha desaparecido (vamos eso parece). Aquí os pongo lo que me has pedido :

Logfile of HijackThis v1.99.1

Scan saved at 11:36:17, on 02/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\McAfee\McAfee Privacy Service\GUARDDOG.EXE

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\System32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\McAfee\McAfee Privacy Service\GUARDDOG.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\System32\sstray.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsescn.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe

C:\Archivos de programa\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\Archivos de programa\SpeedFan\speedfan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: McAfee Privacy Service - {cc4b2ee5-4803-11d7-8a38-00b0d0c6b814} - C:\Archivos de programa\McAfee\McAfee Privacy Service\GDIEHELP.DLL

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Stupid help dvd camp] C:\Documents and Settings\All Users\Datos de programa\debug math stupid help\skip draw.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKDetct.exe /startup

O4 - HKLM\..\Run: [McAfee Guardian] C:\Archivos de programa\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe /SU

O4 - HKLM\..\Run: [McRegWiz] C:\Archivos de programa\McAfee.com\Agent\McRegWiz.exe /autorun

O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [TS 5 ] C:\Archivos de programa\Torrent Searcher 5\ts.exe /hide

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Wait exit] C:\DOCUME~1\Frodo\DATOSD~1\CHICBA~1\math bolt send.exe

O4 - Startup: SpeedFan.lnk = C:\Archivos de programa\SpeedFan\speedfan.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Privacy Bar - {cc4b2ee5-4803-11d7-8a38-00b0d0c6b814} - C:\Archivos de programa\McAfee\McAfee Privacy Service\GDIEHELP.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {0DAF3B86-2439-11D3-8181-02608CDC552E} (NDateEdit Control) - http://hjshamlx.hamur.hanjin.com/nexus/engcontrols/common/ndateedit.ocx

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5C9F81DE-A951-11D5-BCA0-009027E7804D} (EInputDlgPrj.EInputDlgCtrl) - http://hjshamlx.hamur.hanjin.com/nexus/engcontrols/common/einputdlg.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121456660031

O16 - DPF: {6A868C04-B942-11D8-8D76-0008C7FF1716} (BanServidorFicherosBPP.DownloadBPP) - https://www.bancajaproxima.com/arq_activex/particulares/BanServidorFicherosBPP.CAB

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab

O16 - DPF: {D8FE488A-410D-11D3-8181-02608CDC552E} (NVersionMan Control) - http://iplaza.hanjin.com/nexus/engcontrols/common/nversionman.ocx

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: McAfee Privacy Service (GuardDogEXE) - Unknown owner - C:\Archivos de programa\McAfee\McAfee Privacy Service\GUARDDOG.EXE" /SERVICE (file missing)

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

Mensaje por **msc hotline sat** » 03 Sep 2005, 12:03

Estas ckaves no sñe lo que son, pero no aparentan ser peligrosoas, si son voluntarias

O4 - HKLM\..\Run: [Stupid help dvd camp] C:\Documents and Settings\All Users\Datos de programa\debug math stupid help\skip draw.exe

O4 - HKCU\..\Run: [TS 5 ] C:\Archivos de programa\Torrent Searcher 5\ts.exe /hide

O4 - HKCU\..\Run: [Wait exit] C:\DOCUME~1\Frodo\DATOSD~1\CHICBA~1\math bolt send.exe

Estas otras en cambiom son ActiveX y deden ser eliminadas, salvo que estuvieras muy seguro de ellas:

O16 - DPF: {0DAF3B86-2439-11D3-8181-02608CDC552E} (NDateEdit Control) - http://hjshamlx.hamur.hanjin.com/nexus/engcontrols/common/ndateedit.ocx

Possibly nasty Unknown ActiveX-Objects, or ActiveX-Objects from unknown sites should always be fixed. If the name of the ActiveX-Object or the URL contains the words 'dialer', 'casino', 'free plugin' etc, it should be fixed!

Check if you know this site and fix it if you do not.

O16 - DPF: {5C9F81DE-A951-11D5-BCA0-009027E7804D} (EInputDlgPrj.EInputDlgCtrl) - http://hjshamlx.hamur.hanjin.com/nexus/engcontrols/common/einputdlg.ocx

Possibly nasty Unknown ActiveX-Objects, or ActiveX-Objects from unknown sites should always be fixed. If the name of the ActiveX-Object or the URL contains the words 'dialer', 'casino', 'free plugin' etc, it should be fixed!

Check if you know this site and fix it if you do not.

O16 - DPF: {6A868C04-B942-11D8-8D76-0008C7FF1716} (BanServidorFicherosBPP.DownloadBPP) - https://www.bancajaproxima.com/arq_activex/particulares/BanServidorFicherosBPP.C AB

Possibly nasty Unknown ActiveX-Objects, or ActiveX-Objects from unknown sites should always be fixed. If the name of the ActiveX-Object or the URL contains the words 'dialer', 'casino', 'free plugin' etc, it should be fixed!

Check if you know this site and fix it if you do not.

O16 - DPF: {D8FE488A-410D-11D3-8181-02608CDC552E} (NVersionMan Control) - http://iplaza.hanjin.com/nexus/engcontrols/common/nversionman.ocx

Possibly nasty Unknown ActiveX-Objects, or ActiveX-Objects from unknown sites should always be fixed. If the name of the ActiveX-Object or the URL contains the words 'dialer', 'casino', 'free plugin' etc, it should be fixed!

Check if you know this site and fix it if you do not.

Y esta es de McAfee, pero si le falta el fichero debe eliminarse:

O23 - Service: McAfee Privacy Service (GuardDogEXE) - Unknown owner - C:\Archivos de programa\McAfee\McAfee Privacy Service\GUARDDOG.EXE" /SERVICE (file missing)

y sobre esta 8 de McAfee quizas es la version HOME, la domestica, pues la 8 EMTERPRISE no tiene dicho fichero ni crea la ruta en cuestion. Si quieres, envianos el fichero que elimina el ELISTARA a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques la referencia "REF mcagntps" y obraremos en consecuencia, informandote al respecto como respuesta de este Tema

saludos

ms, 3-09-2005

approved101 · Mensaje por **approved101** » 03 Sep 2005, 12:59

Hola.

Ya os he enviado el fichero por e-mail.

Sobre los Active X, estoy seguro de ellas. No hay problema. El resto lo he borrado.

De momento no me ha vuelto a ocurrir lo de la barra. Cruzemos los dedos.

Un saludo y buen fin de semana

Mensaje por **msc hotline sat** » 03 Sep 2005, 13:10

Bien, el lunes analizaremos el fichero a ver si tiene originalmente la rutina o no, y obraremios en consecuencia, gracias

Y esperemos que con lo hehco se ghayan solucionado los problemas...hasta que entren otros nuevos, pero para esto estamos :lol: :lol: :lol: sino, no haríamos falta !!!

saludos e igualmente buen fin de semana

ms, 3-09-2005

Mensaje por **msc hotline sat** » 05 Sep 2005, 11:05

Analizado el fichero recibido y detectada la coincidencia de la rutina identificadora del malware en el fichero en cuestion, se ha cambiado en el ELISTARA a partir de la v. 10.22, por otra que siga controlando el malware pero no exista en dicho fichero, para que no dé el falso positivo

Gracias por la colaboracion, y ya puede comprobarlo descargando la nueva version de esta web.

saludos

ms, 5-09-2005

approved101 · Mensaje por **approved101** » 08 Sep 2005, 08:03

Msc hotline, muchisimas gracias por tu ayuda. Llevo ya una semana sin la dichosa barrita ...

Gracias

Mensaje por **msc hotline sat** » 08 Sep 2005, 09:17

Lo celebramos. y entendiendo solucionado el problema, procedemos a cerrar el TEma

saludos

ms, 8-09-2005

OmegaSearch (SOLUCIONADO)

OmegaSearch (SOLUCIONADO)

A ver si sirve