MOVIEPASS!!! (SOLUCIONADO)

[Carlos18]

Hola! Estoy en plena época de examenes... y para colmo me pasa lo siguiente: desde ayer me sale una ventana cada vez que me conecto diciendome que tengo que pagar no se que programa que se llama moviepass, al que yo no he entrado nunca. creo que esta instalado pero desde el panel de control no se puede eliminar, aunk si e podido desinstalar un programa que se llamaba 2.47 cams o algo asi... Si por favor me decis como puedo acabar con esto... me e descargado el hijackthis y el elistara... pero no se k tengo k acer... ayudadme cuanto antes por favor!!!

Un saludo y gracias.

[maura63]

Descarga y pasas esta utilidad



http://www.zonavirus.com/descargas/elistara.asp





Saludos

maura63

[Carlos18]

Ok, ya lo he hecho. Qué hago ahora??

[AcX]

Ejecutarla??? :roll: 8)



te crea un log en c:/ lo copias y nos lo peas aqui en otro post

[Carlos18]

Fri May 12 22:57:59 2006

EliStartPage v11.63 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\LICENSE_MANAGER.EXE.Muestra EliStartPage v11.63

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\LICENSE_MANAGER\LICENSE_MANAGER.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\AGENT.DLL --> Eliminado Agent.QG

Entrada Eliminada [HKCU\...\Run] "License Manager"=""C:\Archivos de programa\License_Manager\license_manager.exe " /silent"

Eliminada Class, "{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}" -> NULL1

Eliminada Class, "{B3E19860-0CD5-4991-A066-4FCA2704DE59}" -> C:\WINDOWS\system32\Agent.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri May 12 23:25:33 2006

EliStartPage v11.63 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\License_Manager"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

esto???





Fri May 12 23:35:26 2006

EliStartPage v11.63 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri May 12 23:36:56 2006

EliStartPage v11.63 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[Carlos18]

iwal no era eso lo k me pedias... sorry, esk no tengo ni idea. Contestadme cuando podais para poder quitarlo yaaaaa!!

Un saludo, gracias

[maura63]

[quote]Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\LICENSE_MANAGER.EXE.Muestra EliStartPage v11.63

a "virus@satinfo.es". Gracias. [/quote]

Envia una muestra del fichero.



Copias y lo comprimes en ZIP y pones como referencia



REFMANAGER.ZIP tras analizarlo te contestaran como respuesta a este post.



Envio a virus@satinfo.es





Saludos

maura63

[Carlos18]

Ya he mandado el correo. Tambien he descargado el hijackthis, sirve para algo? y por cierto, es raro que no me salga la ventaita en un buen rato ya...

[maura63]

BUena señal... pero ....



Posiblemente hayas eliminado el parasito :lol:



Pero no obstante espera a que se reciban las muestras y tras analizar te contestaran en este mismo post.



Saludos

maura63

[Carlos18]

ojala... pero en el panel de control sigue apareciendo lo de "moviepass license manager"...

[Carlos18]

esto me sale kon el hijackthis:





Logfile of HijackThis v1.99.1

Scan saved at 0:22:40, on 13/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\Archivos comunes\Sonic Shared\CineTray.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX01.234\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [PTHOSTTR] C:\Archivos de programa\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [SetRefresh] C:\Archivos de programa\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Archivos de programa\Archivos comunes\Sonic Shared\CineTray.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{10D0D1B8-4BEA-4A52-8412-527B13F436AA}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{10D0D1B8-4BEA-4A52-8412-527B13F436AA}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\Shared\hpqwmi.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

[Carlos18]

weno k es tarde y es hora de dormir... ademas k estoy yo solo!!! :P asik kuando podais contestadme y eso aver si sirve lo k e mandado... kiero acabar con esto yaaaaaaaa. gracias!! :)

[AcX]

1 paso

Descargate el [b]Ad-Aware[/b]

http://www.lavasoft.de/default.shtml.es

Actualizalo y se lo pasas.



2 paso

Descargate el [b]Regseeker[/b]

http://regseeker.softonic.com/ie/23620

le das a [b]clean de registry[/b], y las entradas que te salgan las eliminas todas, y lo pasas otra vez asi hasta que no salga ninguna entrada.



3 paso

reinicia el sistema y comprueba si te sigue pasando lo mismo.



Si aun sigue el problema...

Reinicia el sistema en modo a prueba de fallos (modo seguro)

Abre el hijackthis y haz "fix cheked" en las siguietnes claves:



O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Archivos de programa\Archivos comunes\Sonic Shared\CineTray.exe



Busca este archivo y eliminalo

C:\Archivos de programa\Archivos comunes\Sonic Shared\[b]CineTray.exe[/b]



(comprueba si hay algo mas dentro de la carperta Sonic shared y si ves que no lo conoces o es algo sin importancia elimina la carpeta Sonic Shared tambien)



Si no te deja borrar el fichero usa el programa "killbox" para borrarlo te dejo aqui el enlace.

http://killbox.uptodown.com/

(descargatelo antes de entrar en modo a prueba de errores)





Para terminar reinicia de nuevo, comprueba si el fallo persiste, y si es así vuelve a sacar un log con el hijackthis y nos lo pegas aquí :wink:





nota: deja todos los programas que te descarges a la vista en una carpeta en c:, para que cuando inicies en modo seguro los puedas ver perfectamente para ejecutarlos

un saludo

[Carlos18]

Confirmado: el moviepass ha pasado a la historia! jaja :lol:

Muchas gracias!!!

[msc hotline sat]

Gracias a la muestra enviada, hemos podido incluir la deteccion, y control por cadenas de la misma en las nuevas versiones del ELISTARA, que acabo de subir junto con el ELITRIIP, que hemos desarrollado esta semana, mientras he estado de viaje. Mañana las documentare como siempre



De todas formas ya se habçioa eliminado el fichero de marras y "otras hierbas" segun se indicaba en el INFOSAT.TXT:



<C:\ARCHIVOS DE PROGRAMA\LICENSE_MANAGER\LICENSE_MANAGER.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\AGENT.DLL --> Eliminado Agent.QG

Entrada Eliminada [HKCU\...\Run] "License Manager"=""C:\Archivos de programa\License_Manager\license_manager.exe " /silent" >



Por ello desde entonces ya no incordió mas el bicho ! :lol:



Y solucionado el Tema, procedemos a cerrarlo



saludos



ms, 14-5-2006