Problemas con StartPage.AMB (SOLUCIONADO)

[josema]

Saludos a tod@s!

Tengo un problema con el StartPage.AMB. El Ad aware y el Spybot no me lo detectan. Lo detecta el antivirus on line de panda. Vi varios problemas parecidos al mio pero no encontre la solucion.

Pase en modo seguro con funciones de red el Ad aware y el Spybot. Pase tambien el elistara me borro el StartPage.AMB pero cuando inicio de nuevo la computadora reaparece.



el elistara me dio este archivo:



C:\Documents and Settings\Yo\Mis documentos\Programas\slsk156c.exe --> AutoExtraible

C:\Documents and Settings\Yo\Mis documentos\Programas\compresores\7z423.exe --> AutoExtraible

C:\kav\personal5\spanish\kav5.0.227_personales.exe --> AutoExtraible

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\G8IJBCV5\patch_pers_5.0.121_236_to_237[1].exe --> AutoExtraible



Wed Jan 18 22:09:25 2006

EliStartPage v10.97 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Soulseek\uninstall.exe --> AutoExtraible

C:\Documents and Settings\Yo\Mis documentos\Programas\slsk156c.exe --> AutoExtraible

C:\Documents and Settings\Yo\Mis documentos\Programas\compresores\7z423.exe --> AutoExtraible

C:\kav\personal5\spanish\kav5.0.227_personales.exe --> AutoExtraible

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\G8IJBCV5\patch_pers_5.0.121_236_to_237[1].exe --> AutoExtraible



Muchas gracias

[msc hotline sat]

Pues posteanos el log del HJT ya que puede tratarse de una variante no controlada del todo:





[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]







Y como que vemos que tienes temporales en CONTENT\IE5, descarga y lanza el ELITENPO:





ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp







Y a la vista del log, lo analizaremos e informaremos al respecto



saludos





19.1.2006

[josema]

Saludos y gracias por la pronta respuesta, os mando el log del Hijackthis.

-------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 07:35:49 p.m., on 19/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\AppServ\Apache\Apache.exe

C:\WINDOWS\system32\crypserv.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\AppServ\Apache\Apache.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe

C:\Archivos de programa\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

C:\ARCHIV~1\A4Tech\Mouse\Amoumain.exe

C:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =



https://foros.zonavirus.com/viewtopic.php?t=10218

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =



http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_MX&c=Q305&bd=pavilion&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de



programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de



programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe



/Start

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless



Assistant.exe"

O4 - HKLM\..\Run: [WheelMouse] C:\ARCHIV~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hp\HP Software



Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus



Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe



Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos



comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de



programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de



programa\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de



programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -



C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -



C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -



C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de



programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -



C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF:



START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_MX&c=Q305&bd=pavilion



&pf=laptop

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -



http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -



"C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. -



C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky



Anti-Virus Personal\kavsvc.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown



owner - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos



comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe



-------------------------------

[msc hotline sat]

Pues claro que no lo encuentran, como que no lo tienes !!!



Posiblemente se trate de la deteccion de algun resto en el registro, pero no de la zona visible en el HJT, ni en procesos activos.



Lo que puedes eliminar es esta clave:



O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)



y mientras no te cambie la pagina de inicio que programes, no hay startpage !!! . Pon una como http://www.google.es y cuando arranques I.E. verñas con cual arrancam si es la indicada, olvidate del StartPage



saludos



ms, 20-1-2006

[josema]

MUchas gracias msc hotline sat.

:wink:

[msc hotline sat]

Pues ya, solucionado el Tema, procedemos a cerrarlo



saludos



ms, 20-1-2006