Hola a todos. Soy nueva por aquí y la verdad es que no tengo mucha idea de informática, pero llevo unos días que al pasar el Ad-Aware (SE Professional) detecta una llave de registro que pertenece a Istbar y que no soy capaz de eliminar. He pasado el antivirus (Norton) que no detecta nada. El Spybot detecta el Istbar, pero no lo elimina porque "los archivos implicados están siendo usados (en memoria). El Adware lo detecta, pero tampoco lo elimina.
He intentado eliminarlo pasando estos antyspy actualizados en modo a prueba de fallos, pero no me solucionaron nada. También fui al registro e intenté borrar los valores de la llave, pero me dice que no se pueden eliminar (mensaje literal: "No se puede eliminar Istbar: error al eliminar la clave").
Me gustaría que alguien pudiese ayudarme. Ya tuve en otras ocasiones el Istbar y conseguí eliminarlo con el ad-aware y el norton en modo a prueba de fallos, pero esta vez no hay manera. Gracias.
ISTBAR (SOLUCIONADO)
- Reinicia la máquina en modo seguro con funciones de red
- Pasale este aplicación[url=http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp][b]Descargar KillBox[/b] [/url]
- Cierra el proceso que te da problemas
- Pasale el Adware
- Pasale este aplicación
- Cierra el proceso que te da problemas
- Pasale el Adware
Un amigo es uno que lo sabe todo de ti y a pesar de ello te quiere
Gracias por la respuesta.
Bueno, después de mucho revolver, creo que no es este el problema. La otra vez que lo tuve, aparecía en procesos, pero en este caso no (o yo no me entero, que también puede ser). Los 14 procesos que encuentro en modo a prueba de errores creo que son "normales". Lo que no soy capaz es de eliminar manualmente una carpeta que se encuentra en el registro HKEY_LOCAL_MACHINE\SOFTWARE\ISTbar, porque cuando lo intento pone error al eliminar la clave. Los procesos que tengo en modo a prueba de errores son svchost.exe (5),lsass.exe, servicess.exe, winlogon.exe, csrss.exe, smss.exe, system y el explorer.
Lo siento si no me entero mucho. Menos mal que ya llevo la etiqueta de Novata al lado:lol:
Bueno, después de mucho revolver, creo que no es este el problema. La otra vez que lo tuve, aparecía en procesos, pero en este caso no (o yo no me entero, que también puede ser). Los 14 procesos que encuentro en modo a prueba de errores creo que son "normales". Lo que no soy capaz es de eliminar manualmente una carpeta que se encuentra en el registro HKEY_LOCAL_MACHINE\SOFTWARE\ISTbar, porque cuando lo intento pone error al eliminar la clave. Los procesos que tengo en modo a prueba de errores son svchost.exe (5),lsass.exe, servicess.exe, winlogon.exe, csrss.exe, smss.exe, system y el explorer.
Lo siento si no me entero mucho. Menos mal que ya llevo la etiqueta de Novata al lado
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Leyendo lo indicado por garaabela creo portuno comentar que arrancando en modo seguro o a prueba de errores solo se cargan los residentes básicos del sistema operativo, por lo que las tareas que indica son propias del mismo, y justamente arrancamos asi cuando queremos eliminar los virus y spywares, para que no esten en uso los ficheros a eliminar, virus, gusanos, troyanos, etc, pues de lo contrario windows no dejaría eliminarlos.
Y muy acertada la sugerencia de zynthia de probar con el ELISTARA, ya que muchas de las variantes del ISTBAR.
Si con ello no lo solucionara, podría enviarnos muestras de los ficheros donde le detectan la existencia de este ISTBAR, para analizarlas e implementar su control y eliminacion en proxima version del ELISTARA. Informenos en tal caso y ya le indicaríamos como proceder.
saludos
ms, 9-09-2005
Y muy acertada la sugerencia de zynthia de probar con el ELISTARA, ya que muchas de las variantes del ISTBAR.
Si con ello no lo solucionara, podría enviarnos muestras de los ficheros donde le detectan la existencia de este ISTBAR, para analizarlas e implementar su control y eliminacion en proxima version del ELISTARA. Informenos en tal caso y ya le indicaríamos como proceder.
saludos
ms, 9-09-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hola otra vez. No ha habido suerte y no he sido capaz de pasar el elistara. Se queda colgado "procesando 753 files y 1192 class.". He probado a descargarlo y a lanzarlo y nada.
Cuando paso el Spybot me sale lo siguiente:
ISearchTech.SideFind
Configuración
HKEY_LOCAL_MACHINE\SOFTWARE\ISTbar
y no lo elimina (No se pueden resolver los problemas. Podría ser que los archivos implicados todavía están siendo usados en memoria) . Si paso el Ad-Aware encuentra un objeto crítico, fabricante "Istbar"; Tipo: llave de Reg.; Categoría: Malware; HKEY_LOCAL_MACHINE:\SOFTWARE\ISTbar\, pero tampoco lo eliminar.
Las carpetas que intento eliminar manualmente son dos: Historyfiles y Historystring. La primera contiene unos archivos del estilo C:\Archivos de programa\ISTbar\version.txt;C:\Archivos de programa\ISTbar\imagemap_normal.bmp. En archivos de programa no encuentro ninguna carpeta que se llame istbar, la eliminé hace unos días ya. A lo mejor está ahí el problema??
Espero que podáis ayudarme con el Elistara.
Gracias por vuestra atención y ayuda.
Cuando paso el Spybot me sale lo siguiente:
ISearchTech.SideFind
Configuración
HKEY_LOCAL_MACHINE\SOFTWARE\ISTbar
y no lo elimina (No se pueden resolver los problemas. Podría ser que los archivos implicados todavía están siendo usados en memoria) . Si paso el Ad-Aware encuentra un objeto crítico, fabricante "Istbar"; Tipo: llave de Reg.; Categoría: Malware; HKEY_LOCAL_MACHINE:\SOFTWARE\ISTbar\, pero tampoco lo eliminar.
Las carpetas que intento eliminar manualmente son dos: Historyfiles y Historystring. La primera contiene unos archivos del estilo C:\Archivos de programa\ISTbar\version.txt;C:\Archivos de programa\ISTbar\imagemap_normal.bmp. En archivos de programa no encuentro ninguna carpeta que se llame istbar, la eliminé hace unos días ya. A lo mejor está ahí el problema??
Espero que podáis ayudarme con el Elistara.
Gracias por vuestra atención y ayuda.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ante todo mira de arrancar en modo seguro y deshabilitar la restauracion de sistema si usas XP, es la manera de que el gusano no esté en uso y windows permita eliminarlo
Si ni aun asi puedes, en modo seguro lanza un REPARAR ERRORES, pues esto de que el ELISTARA se quede colgado en un punto, es posible que sea por no poder acceder a una zona que se le indique estar una parte del fichero pero que esté corrupta.
Arranca en modo seguro, ve a MIPC, boton derecho sobre unidad C:, -> PROPIEDADES, -> HERRAMIENTAS -> y la primera utilidad es la de REOARAR ERRORES
Lanzala, y tras ello prueba de nuevo el ELISTARA o el SPYBOT, siempre arrancando en modo seguro para poder eliminar el gusano si lo detectan
saludos
ms, 10-09-2005
Si ni aun asi puedes, en modo seguro lanza un REPARAR ERRORES, pues esto de que el ELISTARA se quede colgado en un punto, es posible que sea por no poder acceder a una zona que se le indique estar una parte del fichero pero que esté corrupta.
Arranca en modo seguro, ve a MIPC, boton derecho sobre unidad C:, -> PROPIEDADES, -> HERRAMIENTAS -> y la primera utilidad es la de REOARAR ERRORES
Lanzala, y tras ello prueba de nuevo el ELISTARA o el SPYBOT, siempre arrancando en modo seguro para poder eliminar el gusano si lo detectan
saludos
ms, 10-09-2005
Última edición por msc hotline sat el 10 Sep 2005, 15:59, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Acabo de bajarme el Hijackthis y os dejo el log.
Logfile of HijackThis v1.99.1
Scan saved at 14:52:52, on 10/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\en-gb\msnappau.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Fernando\CONFIG~1\Temp\Rar$EX00.172\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TVWDMDrv] C:\WINDOWS\system32\drivers\tvwdmdrv.exe
O4 - HKLM\..\Run: [TVremote] C:\ARCHIV~1\GENIET~1\TVremote.exe
O4 - HKLM\..\Run: [TVdiag] C:\ARCHIV~1\GENIET~1\TVdiag.exe /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mmtask] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\en-gb\msnappau.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [MessengerDiscovery] C:\Archivos de programa\MessengerDiscovery\MessengerDiscovery.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{878D0583-2E9F-440A-888D-A28D77475F3B}: NameServer = 192.168.1.3
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
Logfile of HijackThis v1.99.1
Scan saved at 14:52:52, on 10/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\en-gb\msnappau.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Fernando\CONFIG~1\Temp\Rar$EX00.172\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TVWDMDrv] C:\WINDOWS\system32\drivers\tvwdmdrv.exe
O4 - HKLM\..\Run: [TVremote] C:\ARCHIV~1\GENIET~1\TVremote.exe
O4 - HKLM\..\Run: [TVdiag] C:\ARCHIV~1\GENIET~1\TVdiag.exe /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mmtask] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\en-gb\msnappau.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [MessengerDiscovery] C:\Archivos de programa\MessengerDiscovery\MessengerDiscovery.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{878D0583-2E9F-440A-888D-A28D77475F3B}: NameServer = 192.168.1.3
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
De este log cabe eliminar la siguiente clave:
R3 - Default URLSearchHook is missing
Y es haciendo lo indicado en anteriores post de este Tema como debe eliminarse lo que hubiera de malware, no con el HJT
saludos
ms, 10-09-2005
R3 - Default URLSearchHook is missing
Y es haciendo lo indicado en anteriores post de este Tema como debe eliminarse lo que hubiera de malware, no con el HJT
saludos
ms, 10-09-2005
Última edición por msc hotline sat el 10 Sep 2005, 17:59, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
He eliminado ese registro del log. No sé qué más deciros. El Elistara no va, el istbar sigue ahí como llave de registro y lo único que me queda deciros es que si queréis que os mande algo (documentación), me lo hagáis saber.
Creo que este spy pudo haber venido en un ejecutable que era para un juego, pero que me instaló una cantidad de porquería impresionante. Si lo necesitáis, a lo mejor puedo intentar conseguir una copia de ese archivo si os hace falta, que con solo 2 MB me instaló más de 30 virus en el ordenador hace unos 20 días. Creí que los había limpiado, pero no sé si esto puede tener algo que ver.
De cualquier manera, gracias por vuestra ayuda una vez más. Quedo a la espera. Un saludo.
Creo que este spy pudo haber venido en un ejecutable que era para un juego, pero que me instaló una cantidad de porquería impresionante. Si lo necesitáis, a lo mejor puedo intentar conseguir una copia de ese archivo si os hace falta, que con solo 2 MB me instaló más de 30 virus en el ordenador hace unos 20 días. Creí que los había limpiado, pero no sé si esto puede tener algo que ver.
De cualquier manera, gracias por vuestra ayuda una vez más. Quedo a la espera. Un saludo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Si el ELISTARA no va arrancando en modo seguro, y ya has REPARADO ERRORES, prueba de lanzarlo arrancando en modo seguro en solo simbolo de sistema (tercera opcion del menu de inicio)
saludos
10-09-2005
saludos
10-09-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Algo del sistema operativo le falta a tu PC. ¿Seguro que REPARASTE el sistema???
Bueno, vamos a probar con el BUSCAREG-
Baja esta utilidad y dale a buscar ISTbar y cuando lo encientre, doble clicl t elimina la clave que encientre:
[size=150][color=darkblue][b]BuscaReg[/b] [/color] [/size] (SATInfo)
Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.
[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b] [/url]
salydos
ms, 16-09-2005
Bueno, vamos a probar con el BUSCAREG-
Baja esta utilidad y dale a buscar ISTbar y cuando lo encientre, doble clicl t elimina la clave que encientre:
Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.
salydos
ms, 16-09-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
De estas entradas conoces algo?
O4 - HKLM\..\Run: [TVWDMDrv] C:\WINDOWS\system32\drivers\tvwdmdrv.exe
O4 - HKLM\..\Run: [TVremote] C:\ARCHIV~1\GENIET~1\TVremote.exe
O4 - HKLM\..\Run: [TVdiag] C:\ARCHIV~1\GENIET~1\TVdiag.exe /startup
Alguna puede que si...
Saludos
maura63
O4 - HKLM\..\Run: [TVWDMDrv] C:\WINDOWS\system32\drivers\tvwdmdrv.exe
O4 - HKLM\..\Run: [TVremote] C:\ARCHIV~1\GENIET~1\TVremote.exe
O4 - HKLM\..\Run: [TVdiag] C:\ARCHIV~1\GENIET~1\TVdiag.exe /startup
Alguna puede que si...
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Era de suponer, por esto no se indicó que hicieras nada con ellas. Gracias por decirnoslo.
Mira de hacer lo del BUSCAREG y nos informas del resultado, gracias
saludos
ms, 16-09-2005
Mira de hacer lo del BUSCAREG y nos informas del resultado, gracias
saludos
ms, 16-09-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Sí pude lanzar la comprobación de disco desde modo seguro, pero como os dije no detectó ningún problema. Hoy he vuelto a hacerlo y lo mismo. Eso sí, solo marco "reparar automáticamente errores en el sistema de archivos" y no "examinar e intentar recuperar los sectores defectuosos" (está bien así??).
Por otra parte, pasé el Buscareg (en modo seguro!!), me deja eliminar esos registros istbar, pero vuelvo a pasarlo sin reiniciar ni nada y vuelven a aparecer.
En búsqueda, metí el nombre del archivo que bajé para un juego y me aparecieron tres ejecutables en una carpeta. Al abrir esta carpeta, os prometo que no estaban allí. Los eliminé desde búsqueda y me sorprendió mucho ver que al volver a pasar el buscareg aparecieron tres entradas de registro nuevas o diferentes a las cuatro clásicas que me habían aparecido hasta ese momento del istbar, además de esas cuatro que se han quedado ahí vitam eternam. Con esto quiero deciros que puede haber una relación entre ese ejecutable y este istbar, que yo ya empiezo a pensar que de istbar solo tiene el nombre y nada más, y que es algo más complicado, porque siempre conseguí eliminar el istbar de una u otra manera (adware, spybot, eliminado las entradas de registro directamente...), Con este parece imposible.
Gracias por vuestra paciencia y ayuda.
Por otra parte, pasé el Buscareg (en modo seguro!!), me deja eliminar esos registros istbar, pero vuelvo a pasarlo sin reiniciar ni nada y vuelven a aparecer.
En búsqueda, metí el nombre del archivo que bajé para un juego y me aparecieron tres ejecutables en una carpeta. Al abrir esta carpeta, os prometo que no estaban allí. Los eliminé desde búsqueda y me sorprendió mucho ver que al volver a pasar el buscareg aparecieron tres entradas de registro nuevas o diferentes a las cuatro clásicas que me habían aparecido hasta ese momento del istbar, además de esas cuatro que se han quedado ahí vitam eternam. Con esto quiero deciros que puede haber una relación entre ese ejecutable y este istbar, que yo ya empiezo a pensar que de istbar solo tiene el nombre y nada más, y que es algo más complicado, porque siempre conseguí eliminar el istbar de una u otra manera (adware, spybot, eliminado las entradas de registro directamente...), Con este parece imposible.
Gracias por vuestra paciencia y ayuda.
Última edición por garabela el 17 Sep 2005, 03:57, editado 1 vez en total.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues te faltan DLL o tienes corrupto algun fichero de sistema
Arranca con el CD de instalacion y tras aceptar el contrato. cuando detecta la pàrticion instalada, escoje REPARAR) no reinstalar) y finaliza con un windowsuopdate
Tras ello lanza el ELISTARA
saludos
ms, 17-09-2005
Arranca con el CD de instalacion y tras aceptar el contrato. cuando detecta la pàrticion instalada, escoje REPARAR) no reinstalar) y finaliza con un windowsuopdate
Tras ello lanza el ELISTARA
saludos
ms, 17-09-2005
Última edición por msc hotline sat el 18 Sep 2005, 10:34, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
¡Solucionado!
Hola, soy un amigo de Garabela que se pasó por aquí en vista de la desesperación en que se encontraba sumida la pobre mujer :-)
Eliminar las claves del registro, por si sirve de ayuda a alguien en la misma situación, fue tan sencillo como entrar en modo seguro como administrador, pulsar con el botón derecho en la clave, seleccionar "permisos" y establecerlos en "control total". Una vez hecho eso, el regedit ya nos permite editar la clave, borrarla, o hacer lo que queramos con ella.
Un saludo y gracias de todas formas a los que habeis colaborado con este tema:-)
Eliminar las claves del registro, por si sirve de ayuda a alguien en la misma situación, fue tan sencillo como entrar en modo seguro como administrador, pulsar con el botón derecho en la clave, seleccionar "permisos" y establecerlos en "control total". Una vez hecho eso, el regedit ya nos permite editar la clave, borrarla, o hacer lo que queramos con ella.
Un saludo y gracias de todas formas a los que habeis colaborado con este tema
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Los tecnicos no tenemos ningun problemna en eliminar claves con el REGEDIT, pero los destrozos que nos hacen algunos usarios nos ha hecho crear utilidades de eliminacion sencillas y sin riesgos, como es el BUSCAREG o todos los ELI... que ya eliminan las clabes necesarias automaticamente
Y agradeciendo que ayudaras a garabela a terminar de solucionar el problema, si es que era de alguna clave que se le resistía a ser eliminada, solucionado el caso procedenmos a cerrarlo
saludos
ms, 18-09-2005
Y agradeciendo que ayudaras a garabela a terminar de solucionar el problema, si es que era de alguna clave que se le resistía a ser eliminada, solucionado el caso procedenmos a cerrarlo
saludos
ms, 18-09-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online