Necesito ayuda por favor (SOLUCIONADO)

adosantos · Mensaje por **adosantos** » 19 Ene 2006, 17:14

Hola a todos, desde hace algunos días al conectarme a internet se me abren paginas para adultos, casinos, etc. Ya le he pasado regdoctor, Ad aware SE y ElistarA y sigue igual, alguien me puede hechar un cable? Gracias por adelantado.

P.S.- adjunto el log de HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 17:02:32, on 19/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Archivos de programa\LANDesk\Shared Files\residentagent.exe

C:\Archivos de programa\LANDesk\LDClient\LocalSch.EXE

C:\WINDOWS\system32\CBA\pds.exe

C:\Archivos de programa\LANDesk\LDCLient\tmcsvc.exe

C:\ARCHIV~1\Iomega\System32\AppServices.exe

C:\ARCHIV~1\LANDesk\LDCLient\issuser.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Archivos de programa\LANDesk\LDCLient\softmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\ofcdog.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Lexmark\PHOTOC~1\LXBLKsk.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Archivos de programa\Iomega\Iomega Automatic Backup\ibackup.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\LANDesk\LDCLient\webportal\sdclientmonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe

C:\Archivos de programa\RegDoctor\RegDoctor.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://srvkdc09/officescan

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {A12628E3-DD04-0497-74CD-CA29D17DE2E8} - C:\DOCUME~1\ADOSSA~1\DATOSD~1\OKAYLI~1\logolive.exe (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [AzMixerSel] C:\Archivos de programa\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [LXBLKsk] C:\ARCHIV~1\Lexmark\PHOTOC~1\LXBLKsk.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Archivos de programa\Iomega\Iomega Automatic Backup\ibackup.exe

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\adossantos\Datos de programa\sgrunt\IE4321.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [AnyDVD] "C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe"

O4 - HKLM\..\Run: [BONE FUNK SUPPORT OBJ] C:\Documents and Settings\All Users\Datos de programa\Birdidolbonefunk\Bin this.exe

O4 - HKLM\..\Run: [IntelAPMClient] "C:\Archivos de programa\LANDesk\LDCLient\amclient.exe" /apm /s /ro

O4 - HKLM\..\Run: [SDClientMonitor] "C:\Archivos de programa\LANDesk\LDCLient\webportal\sdclientmonitor.exe"

O4 - HKCU\..\Run: [Iomega Automatic Backup] C:\Archivos de programa\Iomega\Iomega Automatic Backup\ibackup.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [BurnScr] C:\DOCUME~1\ADOSSA~1\DATOSD~1\THATAN~1\activeaxis.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://srvmail.pyrenees.ad:888

O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://srvkdc09/officescan/ClientInstall/WinNTChk.cab

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://srvkdc09/officescan/clientinstall/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://srvkdc09/officescan/clientinstall/setup.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://srvkdc09/officescan/clientinstall/RemoveCtrl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137089454041

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137089430292

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pyrenees.local

O17 - HKLM\Software\..\Telephony: DomainName = pyrenees.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{23012FA7-E673-48EB-B721-5355BCFF3E10}: NameServer = 192.168.209.201,192.168.205.192

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pyrenees.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = pyrenees.local,pyrenees.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pyrenees.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = pyrenees.local,pyrenees.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = pyrenees.local,pyrenees.com

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk Software, Ltd. - C:\Archivos de programa\LANDesk\Shared Files\residentagent.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\Archivos de programa\LANDesk\LDClient\LocalSch.EXE

O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINDOWS\system32\CBA\pds.exe

O23 - Service: Multidifusión Dirigida LANDesk (Intel Targeted Multicast) - LANDesk Software Ltd. - C:\Archivos de programa\LANDesk\LDCLient\tmcsvc.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\ARCHIV~1\Iomega\System32\AppServices.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio de Control remoto de LANDesk (ISSUSER) - LANDesk Software, Ltd. - C:\ARCHIV~1\LANDesk\LDCLient\issuser.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: LANDesk(R) Software Monitoring Service (Softmon) - LANDesk Software Ltd. - C:\Archivos de programa\LANDesk\LDCLient\softmon.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

Mensaje por **msc hotline sat** » 19 Ene 2006, 17:26

Elimina esta clave:

O2 - BHO: (no name) - {A12628E3-DD04-0497-74CD-CA29D17DE2E8} - C:\DOCUME~1\ADOSSA~1\DATOSD~1\OKAYLI~1\logolive.exe (file missing)

tienes otras solo sospechosas, pero empieza por la segura, y tras reiniciar nos informas, gracias

saludos

ms, 19-1-2006

adosantos · Mensaje por **adosantos** » 20 Ene 2006, 15:30

Hola a todos, despues de hacerlo tal y como me comentasteis sigo teniendo el mismo problema. Que hago ahora? Muchas gracias y saludos.

Mensaje por **msc hotline sat** » 20 Ene 2006, 16:35

Mira si las conoces y obra en consecuencia:

O4 - HKLM\..\Run: [AzMixerSel] C:\Archivos de programa\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\adossantos\Datos de programa\sgrunt\IE4321.exe

O4 - HKLM\..\Run: [BONE FUNK SUPPORT OBJ] C:\Documents and Settings\All Users\Datos de programa\Birdidolbonefunk\Bin this.exe

O4 - HKLM\..\Run: [IntelAPMClient] "C:\Archivos de programa\LANDesk\LDCLient\amclient.exe" /apm /s /ro

O4 - HKLM\..\Run: [SDClientMonitor] "C:\Archivos de programa\LANDesk\LDCLient\webportal\sdclientmonitor.exe"

O4 - HKCU\..\Run: [BurnScr] C:\DOCUME~1\ADOSSA~1\DATOSD~1\THATAN~1\activeaxis.exe

O14 - IERESET.INF: START_PAGE_URL=http://srvmail.pyrenees.ad:888

O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk Software, Ltd. - C:\Archivos de programa\LANDesk\Shared Files\residentagent.exe

O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\Archivos de programa\LANDesk\LDClient\LocalSch.EXE

O23 - Service: Multidifusión Dirigida LANDesk (Intel Targeted Multicast) - LANDesk Software Ltd. - C:\Archivos de programa\LANDesk\LDCLient\tmcsvc.exe

O23 - Service: LANDesk(R) Software Monitoring Service (Softmon) - LANDesk Software Ltd. - C:\Archivos de programa\LANDesk\LDCLient\softmon.exe

Solo debes eliminar la que no conozcas ni seas consciente de haberla instalado ni te suene.

Mejor en la duda no eliminarla !!!

Y tras ello, reinicia y nos cuentas el resultado, gracias

saludos

ms, 20-1-2006

Mensaje por **msc hotline sat** » 20 Ene 2006, 16:45

Además. buscando cinco pies al gato, estos servidores de DNS ocultan su identidad...

O17 - HKLM\System\CCS\Services\Tcpip\..\{23012FA7-E673-48EB-B721-5355BCFF3E10}: NameServer = 192.168.209.201,192.168.205.192

Sugiero confirmes con tu ISP (Servei de Telecomunicacions d'.......) que son las URL que ellos te recomiendan, y si no, que te las digan y con el DNSCNFG se cambian facilmente.

(Es que a través del servidor de DNS pasamos casi siempre -salvo que se tenga la web fijada en el HOSTS-, y el internauta está en las manos de lo que quiera hacerle dicho servidor dd DNS)

Informanos al respecto, gracias

saludos

ms, 20-1-2006

adosantos · Mensaje por **adosantos** » 21 Ene 2006, 15:16

hola otra vez, he eliminado todas y cada una de las claves anteriormente comentadas y sigo con el mismo problema que os detallo a continuacion: al abrir el explorer lo primero que me sale es una pantalla de "ErrorSafe" proponiendome la descarga de este programa para solventar aparentes problemas en mi maquina, aunque cancelo la operacion me siguen saliendo 5 ó 6 ventanas mas del mismo sítio. encuanto logro cerrarlas todas y accedo finalmente a mi pagina de inicio empiezan a abrirse al rato paginas de casinos, xxx, etc... Ruego tengais un poco de paciencia y me intenteis ayudar a solucionar este tema. Gracias x todo.

Mensaje por **msc hotline sat** » 21 Ene 2006, 16:37

Preguntaste a tu ISP sobre los servidores de DNS que debes usar,??? Pasar por un servidor de DNS es pasar por un tunel en el que te pueden dejar en pelotas, por eso has de asegurarte sonde te metes. Y piensa que lo haces siempre que intentas ir a cualquier web !

Mira, prueba de entrar en el google.es y dinos si te salen popups. Si es asi, en el HOSTS inserta la URL para dicha web, y asi pasarás del servidor de DNS cuando vayas al google.es

Por supuesrto, como pagina de inicio pon la del google.es

Para ello edita el fichero HOSTS de C:\windows\system32\drivers\etc y le añades esta linea, debajo de la del 127.0.0.1 LOCAL HOST:

216.239.59.147 http://www.google.es

y asi para entrar en el google no precisara del servidor del DNS y no pasará por donde pasa ahora

y recuerde poner como pagina de inicio la de http://www.google.es

comentenos el resultado, gracias

saludos

ms, 21.1.2006

adosantos · Mensaje por **adosantos** » 15 Mar 2006, 15:45

Hola a todos,

perdonar que haya estado tanto tiempo sin contestar pero he estado un poco liado. Respeto al tema sigue todo igual: se me abren paginas por todas partes sobretodo paginas de casinos, paginas de adultos, etc y lo que siempre se me abre es una pagina de error safe que cuando intento cerrarla me lleva directamente a una pagina de descargas del anti spyware en cuestion. Esto ocurre con cualquier pagina de inicio que ponga y en lo referente a cambiar los servidores no se si es posible ya que esta maquina esta integrada en la red de una compañia. Espero vuestros comentarios y un saludo a todos.

Mensaje por **msc hotline sat** » 15 Mar 2006, 16:11

Bueno, ante todo lanza el ELISTARA, a ver si te detecta algo:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Luego abre el navegador y entrale esta URL:

216.239.59.147

y dinos la pagina que te abre y si aparecen los popups dichosos

(pero tras reiniciar, sin entrar en ninguna otra web ni navegar esto es, sin usar los servidores de DNS !!!), para lo que haría falta eliminar la pagina de inicio para la prueba, luego ya la pìondrias de nuevo tras ello, lo cual puedes hacer cuandlo lances el ELISTARA axeptando en ELIMINAR PAGINA DE INICIO, y no poniendo ninguna cuando te lo pidiera al salir

Si tras ello, de esta manera no hay popupsm y en cambio cuando abres una web conocida como eata, aparecen, es que el servidor de DNS de carga popups.

En duncion del resultado, procederemos

saludos

ms, 15-3-2006

adosantos · Mensaje por **adosantos** » 17 Mar 2006, 12:11

Hola, ayer hize todo lo que me comentabais y ademas aproveché tambien para pasarle de nuevo el ad aware que me elimino algunos bichos en cambio el elistara no ha detectado nada. en principio parecia que estaba todo ok, aunque al iniciar esta mañana vuelve a dar el mismo problema (tambien poniendo la pagina de inicio que me indicabais.

Saludos,

AdS

Mensaje por **msc hotline sat** » 17 Mar 2006, 13:31

Te habiamos indicado ultimamente que con el ELISTARA eliminaras la pagina de inicio y nos indicaras la web donde te llevaba al arrancar el I.E. y luego ver donde llegaba entrando 216.239.59.14

Cointestanos las preguntas...

saludos

ms, 17-3-2006

adosantos · Mensaje por **adosantos** » 17 Mar 2006, 15:32

Perdonad el lapsus, eliminando la pagina de inicio con elistara al arrancar el IE me lleva a about:blank osea a ninguna parte y entrando la URL que me facilitasteis me lleva directamente a la pagina de inicio de Google.

Saludos y perdonad la falta de informacion anterior.

Mensaje por **msc hotline sat** » 17 Mar 2006, 16:32

Pues perfecto, ahora ponga la pagina de inicio que quiera, y listos !

Y recuerde:

https://foros.zonavirus.com/viewtopic.php?t=10771

y si ya se mantiene la pagina y no detecta malwares con las utilidades, indiquenos si ya considera solucionado su problema.

saludos

ms, 17-3-2006

adosantos · Mensaje por **adosantos** » 18 Mar 2006, 12:45

Hola a todos, siento comunicar que el problema persiste y paso a explicar: ayer tras realizar todos los pasos que se me indicaban el problema parecia solucionado, aunque al iniciar el explorer esta mañana ha vuelto a lo mismo de antes osea paralelamente a la pagina de inicio se abre otra de "winfix" que me lleva al supuesto antispy "errorsafe" el que me indica que se han detectado 57 errores y que descargue el mencionado programa para poder solucionarlo, aunque cierre esta pantalla se me vuelve a abrir otra con el mensaje de que "el analisis no ha finalizado y que le de a aceptar..." vuelvo a cerrar directamente esta ventana y automaticamente la pagina de inicio que mantengo abierta cambia a la de "errorsafe" de descargas. Cierro definitivamente todas las pantallas del IE y vuelvo a abrirlas y ya no sale lo de "errorsafe" y en su lugar me van saliendo paginas de casinos, xxx, publicidad varia, etc. Os ruego tengais un poco de paciencia y me ayudeis a solucionar este tema por favor. Gracias

Un saludo. AdS

adosantos · Mensaje por **adosantos** » 18 Mar 2006, 12:59

P.S. adjunto el log de Hijackthis por si fuera de ayuda:

Logfile of HijackThis v1.99.1

Scan saved at 12:52:32, on 18/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\adossantos\Mis Documentos\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pyrenees.ad/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://srvkdc09/officescan

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Archivos de programa\Iomega\Iomega Automatic Backup\ibackup.exe

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [AnyDVD] "C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe"

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [BurnScr] C:\DOCUME~1\ADOSSA~1\DATOSD~1\THATAN~1\activeaxis.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://srvmail.pyrenees.ad:888

O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://srvkdc09/officescan/ClientInstall/WinNTChk.cab

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://srvkdc09/officescan/clientinstall/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://srvkdc09/officescan/clientinstall/setup.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://srvkdc09/officescan/clientinstall/RemoveCtrl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137089454041

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137089430292

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pyrenees.local

O17 - HKLM\Software\..\Telephony: DomainName = pyrenees.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{23012FA7-E673-48EB-B721-5355BCFF3E10}: NameServer = 192.168.209.201,192.168.205.192

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pyrenees.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = pyrenees.local,pyrenees.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pyrenees.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = pyrenees.local,pyrenees.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = pyrenees.local,pyrenees.com

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk Software, Ltd. - C:\Archivos de programa\LANDesk\Shared Files\residentagent.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINDOWS\system32\CBA\pds.exe

O23 - Service: Multidifusión Dirigida LANDesk (Intel Targeted Multicast) - LANDesk Software Ltd. - C:\Archivos de programa\LANDesk\LDCLient\tmcsvc.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\ARCHIV~1\Iomega\System32\AppServices.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio de Control remoto de LANDesk (ISSUSER) - LANDesk Software, Ltd. - C:\ARCHIV~1\LANDesk\LDCLient\issuser.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: LANDesk(R) Software Monitoring Service (Softmon) - LANDesk Software Ltd. - C:\Archivos de programa\LANDesk\LDCLient\softmon.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

Mensaje por **msc hotline sat** » 18 Mar 2006, 13:02

Esto del errorsafe es un adware promotor de un escaneador de claves y ficheros, el cual, al instalarlo, te instala claves adrede para que sean detectadas por él y asi poder convencerte de comprar el producto, que te quieren vender la moto, vamos

Lo que no deberiuas haber hecho es aceptar, aunque ya sabemos que aun "cancelando", sigue instalando, los botones estan trucados. Lo unico que vale es la X de cerrar programa

Hay tropecientas variantesm diria que va mutando en cada ordenador, por eso no se detecta.

Con el ELISTARA es posible que pida muestras sospechosas. Baja la ultima version y pruebala, y nos posteas el C:\infosat que genere y otro log de un HJT actual

saludos

ms, 18-3-2006

adosantos · Mensaje por **adosantos** » 18 Mar 2006, 15:28

Hola. Pues aqui va el infosat:

Wed Feb 15 16:50:15 2006

EliStartPage v11.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Archivos de programa\SAP\FrontEnd\SAPgui\SAPSLIDE.OCX --> Eliminado, DollarRevenue (dldr)

C:\Archivos de programa\SAP\FrontEnd\SAPgui\viscarri.ocx --> Eliminado, DollarRevenue (dldr)

C:\Documents and Settings\adossantos\Mis Documentos\Alberto Pers\SOFTWARE\Xoftspy421\XoftSpy421_139.exe --> AutoExtraible

C:\Documents and Settings\adossantos\Mis Documentos\Alberto Pers\Software DVD 2\SetupDVDDecrypter_3.5.4.0.exe --> AutoExtraible

Wed Feb 15 17:30:11 2006

EliStartPage v11.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Feb 15 17:30:58 2006

EliStartPage v11.16 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Documents and Settings\adossantos\Mis Documentos\Alberto Pers\SOFTWARE\Xoftspy421\XoftSpy421_139.exe --> AutoExtraible

C:\Documents and Settings\adossantos\Mis Documentos\Alberto Pers\Software DVD 2\SetupDVDDecrypter_3.5.4.0.exe --> AutoExtraible

Wed Mar 15 17:15:58 2006

EliStartPage v11.33 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 15 17:17:56 2006

EliStartPage v11.33 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Documents and Settings\adossantos\Mis Documentos\Alberto Pers\SOFTWARE\Xoftspy421\XoftSpy421_139.exe --> AutoExtraible

C:\Documents and Settings\adossantos\Mis Documentos\Alberto Pers\Software DVD 2\SetupDVDDecrypter_3.5.4.0.exe --> AutoExtraible

Fri Mar 17 15:17:02 2006

EliStartPage v11.33 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Mar 17 15:18:50 2006

EliStartPage v11.33 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Documents and Settings\adossantos\Mis Documentos\Alberto Pers\SOFTWARE\Xoftspy421\XoftSpy421_139.exe --> AutoExtraible

C:\Documents and Settings\adossantos\Mis Documentos\Alberto Pers\Software DVD 2\SetupDVDDecrypter_3.5.4.0.exe --> AutoExtraible

Sat Mar 18 15:14:55 2006

EliStartPage v11.35 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Mar 18 15:16:21 2006

EliStartPage v11.35 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Documents and Settings\adossantos\Mis Documentos\Alberto Pers\SOFTWARE\Xoftspy421\XoftSpy421_139.exe --> AutoExtraible

C:\Documents and Settings\adossantos\Mis Documentos\Alberto Pers\Software DVD 2\SetupDVDDecrypter_3.5.4.0.exe --> AutoExtraible

y tambien el log de hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 15:23:13, on 18/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\adossantos\Mis Documentos\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pyrenees.ad

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://srvkdc09/officescan

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Archivos de programa\Iomega\Iomega Automatic Backup\ibackup.exe

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [AnyDVD] "C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe"

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [BurnScr] C:\DOCUME~1\ADOSSA~1\DATOSD~1\THATAN~1\activeaxis.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://srvmail.pyrenees.ad:888

O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://srvkdc09/officescan/ClientInstall/WinNTChk.cab

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://srvkdc09/officescan/clientinstall/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://srvkdc09/officescan/clientinstall/setup.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://srvkdc09/officescan/clientinstall/RemoveCtrl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137089454041

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137089430292

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pyrenees.local

O17 - HKLM\Software\..\Telephony: DomainName = pyrenees.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{23012FA7-E673-48EB-B721-5355BCFF3E10}: NameServer = 192.168.209.201,192.168.205.192

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pyrenees.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = pyrenees.local,pyrenees.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pyrenees.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = pyrenees.local,pyrenees.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = pyrenees.local,pyrenees.com

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk Software, Ltd. - C:\Archivos de programa\LANDesk\Shared Files\residentagent.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINDOWS\system32\CBA\pds.exe

O23 - Service: Multidifusión Dirigida LANDesk (Intel Targeted Multicast) - LANDesk Software Ltd. - C:\Archivos de programa\LANDesk\LDCLient\tmcsvc.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\ARCHIV~1\Iomega\System32\AppServices.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio de Control remoto de LANDesk (ISSUSER) - LANDesk Software, Ltd. - C:\ARCHIV~1\LANDesk\LDCLient\issuser.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: LANDesk(R) Software Monitoring Service (Softmon) - LANDesk Software Ltd. - C:\Archivos de programa\LANDesk\LDCLient\softmon.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

y gracias por el apoyo prestado.

Saludos. AdS

Mensaje por **msc hotline sat** » 19 Mar 2006, 09:02

La unica clave que veo sospechosa es la del activeaxis.exe que ya habiamos indicado anteriormente y nos habia dicho que habia sido eliminado ???:

O4 - HKCU\..\Run: [BurnScr] C:\DOCUME~1\ADOSSA~1\DATOSD~1\THATAN~1\activeaxis.exe

mueva este fichero a una carpeta de cuarentena, reinicie y comentenos el resultado

Si nos envia el fichero en cuestion, lo analizaremos. Puede hacerlo anexandolo a un mail dirigido a zonavirus@satinfo.es en cuyo texto indique como referencia "REF activeaxis"

saludos

ms, 19-3-2006

adosantos · Mensaje por **adosantos** » 20 Mar 2006, 10:06

perdonad mi torpeza pero no se como buscar y mover el fichero en cuestion.

Saludos cordiales, AdS

Mensaje por **msc hotline sat** » 20 Mar 2006, 11:40

Con Inicio > Buscar > todos los ficheros y carpetas, le entra el nombre y que busque

Y una vez encontrado, boton derecho del mouse sobre el fichero y mober a cualquier parte, por ejemplo al escritorio para asi tenerlo a mano y poder enviarnoslo como le hemos indicado

saludos

ms, 20-3-2006

adosantos · Mensaje por **adosantos** » 20 Mar 2006, 12:27

Acabo de enviar el mail con el archivo en cuestion.

Saludos. AdS

Mensaje por **msc hotline sat** » 20 Mar 2006, 13:50

Recibido el fichero. En una primera inspeccion es bicho. Se conecta a una web remota, de la que posiblemente baje el ERRORSAFE que nos ocupa.

Entra en proceso, y esta tarde será incluido su control y eliminacion en el ELISTARA de hoy

Pero, Bingo ! hemos dado con un bicho nuevo todavíia no controlado... Esperemos que esto sea todo.

Si ha movido este fiochero a cuarentena, al reiniciar ya no lo pondrá en marcha y asi evitará la reinfeccion.

saludos

ms, 20-3-2006

Mensaje por **msc hotline sat** » 20 Mar 2006, 18:36

Ya puede probar la nueva version del ELISTARA que controla las muestras enviadas:

---v11.36-(20 de Marzo del 2006) (Muestras de PestTrap, SpySheriff, Puper(dr) "NVCTRL.EXE", FakeAlert "BHOIMPL.DLL", EvidenceEliminator "SHDOCIE.EXE", Swizzor "ACTIVEAXIS.EXE" y Lager "TASKDIR.EXE")

Esperamos nos informe del resultado, gracias

saludos

ms, 20-3-2006

adosantos · Mensaje por **adosantos** » 21 Mar 2006, 19:42

Hola a todos. Despues de lanzar la nueva version de Elistara (y eliminar los "bichos" que comentais), parecen haber desaparecido todos los problemas anteriores y de momento no hay ninguna incidencia mas. Os quiero agradecer la paciencia que habeis tenido y el apoyo prestado en la solucion del problema. Muchas gracias.

Saludos cordiales. AdS

Mensaje por **msc hotline sat** » 21 Mar 2006, 20:03

Pues nos alegramos por ello, y solucionado el probema, procedemos a cerrar el Tema

saludos

ms. 21-3-2006