Desktop.ActiveDesktop

[f_murciano]

Hola a tod@s;



No consigo sacar de mi pc a este pesao de "Desktop.ActiveDesktop". Le he pasado todas las herramientas acutalizadas que indicais en el foro. Ayer me tiré hasta las tantas pasando herramientas y nada de nada. Desde el modo seguro, con el cable de red quitado, etc... osea todo lo que se indica.



¿como lo puedo quitar?



Muchas gracias por todo.



PD: no puedo poner el log por que estoy en el trabajo y no puedo acceder a casa.

[msc hotline sat]

So ya ha pasado las utilidades correspondientes. desde el SPYBOT hasta el ELISTARA, como imdicamos en nuestro tutorial de antispywares:

https://foros.zonavirus.com/viewtopic.php?t=4795

de este mismo apartado, copienos un log del Hijackthis en su proximi post, como respuesta de ste Tema:





[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



y lo analizaremos e indicaremos como proceder



saludos



ms, 17-11-2005

[f_murciano]

Estimado amigo,



En el Hijackthis no me detecta el desktop.activedesktop. Me lo detecta el SPYBOT. Pero no logra eliminarlo.



¿que puedo hacer?



Muchas gracias por vuestra ayuda.

[msc hotline sat]

Posteanos el log del HJT como te decimos y te indicaremos las claves a eliminar o lo que veamos que hace falta, como hacemos con todos...



saludos



ms, 17-11-2005

[f_murciano]

Logfile of HijackThis v1.99.1

Scan saved at 22:53:02, on 17/11/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\oobe\qttask.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O20 - Winlogon Notify: Run - C:\WINNT\system32\m8nq0i55e8.dll

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe



Muchas gracias... estan podiendo conmigo los spyware... creo que voy a formatear... no aguantaré mucho... gracias y mil gracias!

[msc hotline sat]

Bien, pues ante todo te descargas el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Luego arrancas en modo seguro y ejecutas esta utilidad y luego el spybot, que en este modo posiblemente podrña eliminarlo.



Es posible que el ELIOSTARA te pioda enviar muestras, hazlo para que podamos implemetar su control en una proxima version



saludos



ms, 18-11-2005

[f_murciano]

Estimado amigo,



Me descargué ELISTARA, arranqué en modo seguro y al ejecutar la aplicación, efectivamente me pidió en enviara el archivo c:\winnt\system32\l8n40i5qe8.dll. Cuando voy a copiarlo para enviarlo me dice que no puedo por que está siento utilizado por otra aplicación. Bueno, continuo con el proceso. Y cuando sigue ejecutándose la aplicación, se rellena la barra de proceso de elistara y sale un mensaje que dice "procesando 815 files y 1219 class" y se queda hay pillao. Lo dejo durante ¡2 horas! y sigue igual. El disco duro sin trabajar ni nada. Con lo que decido reiniciar la máquina.



Cuando reinicio me doy cuenta que el problema aún persiste y no está el archivo .dll que tenía que enviaros.



¿que hago ahora?



Muchas gracias.

[msc hotline sat]

Tal y como informamos hoy en la noticia de la nuieva version del ELISTARA 10.61, con la opcion /DEBUG creará un log de salida en C:\logdbg.txt, el cual conviene que nos copies abriendolo con el bloc de notas y copiar.pegar en tu proximo post, de respuesta a este Tema



Pero dado que tienes problemas en enviarnos dichos fichero, simplemente arranca en modo seguro com solo simbolo de sistema y lanza el elistara desde DOS,. entrando:



C:\ELISTARA /DEBUG



suponiendo claro que el ELISTARA.EXE lo hayas copiado en el directorio raiz.



Al mismo tiempo. el fichero en cuestion, que será diferente en cada arranque, lo mueves a una carpeta diferente de donde está, como por ejemplo al directorio raiz, con MOVE C:\xxxx C:\

poniendo en lugar de xxxx la ruta y nombre del fichero en cuestion.



Ya veras como asi, arrancando de esta forma lo dejara mover y ñluego podrás enviarnoslo.



saludos



ms, 18-11-2005

[f_murciano]

Aquí te posteo el log.

Una cosa, como mi SO es Winn2000 me deja arrancar en modo seguro con símbolo de sistema, pero la aplicación se ejecuta igual que antes y se me queda pillá.



El problema sigue persistiendo.



Mon Feb 09 16:04:20 1970

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

00 - Modo Debuger Iniciado

01 - Ficheros Viricos, OK.

02 - URLs y Links, OK.

03 - Ficheros Complementarios, OK.

04 - BHOs, OK.

TestReg00, OK.

TestReg01, OK.

TestReg02, OK.

TestReg03, OK.

TestReg04, OK.

TestReg05, OK.

TestReg06, OK.

TestReg07, OK.

TestReg08, OK.

TestReg09, OK.

TestReg10, OK.

TestReg11, OK.

TestReg12, OK.

TestReg13, OK.

TestReg14, OK.

TestReg15, OK.

TestReg16, OK.

TestReg17, OK.

TestReg18, OK.

TestReg19, OK.

TestReg20, OK.

TestReg21, OK.





Muchas gracias por todo.

[msc hotline sat]

Pero arrancando así, has podido mover el fichero o no???



En este mismo modo, lanza el HJT y podrñas eliminar la clave y ver el fichero como se llama ahora, y poder obrar en consecuencia.



Comentanos lo que ves y puedes haver al respecto, pero ta te digo que lanzando el HJT arrancando en modo seguro con solo simbolo de sistema, gracias



y respecto al debug del ELISTARA no tengo aqui el código fuente (hoy es fiesta! y estoy en casa) y lo examinaremos en lunes en SATINFO, y te diremos algo. (516354)



saludos



ms, 19-11-2005

[f_murciano]

Pues aun reiniciando en el modo que me dices no puedo mover el fichero al directorio puesto que no lo encuentro. He revisado por si estuviera oculto pero nada de nada. No se encuentra. No te lo puedo mandar. Lo siento.



¿Que paso tengo que seguir ahora?





Muchas gracias.

[maura63]

Comprueba si sigues teniendo esta entrada en un nuevo log o a cambiado de nombre



O20 - Winlogon Notify: Run - C:\WINNT\system32\m8nq0i55e8.dll



Saludos

maura63

[msc hotline sat]

Efectivamente, la que indica Maura63 es la clave de marras, y lo que nos indicará si la detectamos con el ELISTARA y si la ha movido a otra parte, posible razon por la que no la encuentras, es el informe contenido el c:\infosat.txt , que te pido abras y nos copies(pegues si comtenido en tu proximo post, y asi veremos como proceder, igual ya estamos casi al final del camino !!!



saludos



ms, 22.-11-2005

[msc hotline sat]

Sobre el debug del ELISTARA, a partir del TESTREG 21 procede en el 22 a borrar 6 claves malwares, entre ellas las del CommAd, del DELF, y demas, pero que no deben presentar problemas de eliminacion, salvo que no tenga derechos de Administrador.



Cuando arranque en modo seguro, hafalo como Administrador, no Usuario Administradorm por si este fuera el problema, y mantenganos informados, gracias



saludos



ms, 22-11-2005

[msc hotline sat]

Además de lo indicado, las claves que pretende eliminar el ELISTARA en el paso TESTREG22 que no ha poidido culminar en su caso, son las siguientes, dentro del script que puede lanzar salvando este script a un fichero .REG que puede llamar desde el REGEDIT:


[quote]REGEDIT4



[HKEY_CURRENT_USER\\SoftWare\\Microsoft\\Netscape\\Netscape Navigator\\Viewers]

"application/x-iad"=-

"application/x-bwpreview"=-



[-HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunWindowsUpdate]



[-HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\cmdService]



[-HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\cmdService]



[-HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\\cmdService]



[-HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet003\\Services\\cmdService]



[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\SharedTaskScheduler]

"{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}"=-



[-HKEY_CURRENT_USER\\SoftWare\\Microsoft\\st3]


[/quote]

salvas en contenido del script como TEST.REG y abres una sesion de DOS y ejecutas REGEDIT TEST.REG y nos cuentas el resultado, gracias



saludos



ms, 22-11-2005