-
av_david
- Mensajes: 7
- Registrado: 17 May 2006, 19:15
Mensaje
por av_david » 17 May 2006, 19:23
hola ante todo gracias x pararos a leer mis post, xk la verdad k nose k hacer,, cuando staba en internet se ve k se me ha metido algun tipo de virus,. el caso es el siguiente: nada mas meterme en internet me aparece sta pagina http://www.safetyuptodate.com/, y por mucho que intento poner de pagina principal a google, o lo que sea no me deja.. aparte de esto me sale aveces mensajes del mcafee de que tengo un archivo infectado nose..asi como propaganda de internet. spero que me podais ayudar, seria muy feliz,, jaja, nserio hace poco formatee el pc, y spero k no tengo k volver a hacerlo, un saludo
muchisimas gracias
(sto me sale en la pagina esa)
YOUR PRIVATE INFORMATION IS IN OPEN ACCESS TO OTHER COMPUTERS
Your IP address: 80.35.83.119
Your Country: ES, Spain
Your Browser: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Your Operation System: Windows XP SP2 VULNERABLE
System Security Status: CAUTION
Time of investigation: Wed May 17 10:16:32 PDT 2006
-
AcX
Mensaje
por AcX » 17 May 2006, 19:27
Buenas descargate estas herramientas y pasalas y nos comentas el resultado
http://www.zonavirus.com/descargas/elistara.asp
http://www.zonavirus.com/descargas/elitriip.asp
Luego pasale un antivirus online, te recomiendo uno de estos dos o los dos...como quieras, pasale los dos para quedar mas tranquilo.
https://www.eset.es/analisis-online/
http://www.pandasoftware.es/productos/activescan
si el problema persiste, te indicaremos lo siguiente que tienes que hacer.
pegamos el .txt que el EliStarA te crea en c:/ para ver los resultados
-
av_david
- Mensajes: 7
- Registrado: 17 May 2006, 19:15
Mensaje
por av_david » 17 May 2006, 19:46
losiento, pero la pagina principal esa me sigue apareciendo...
Wed May 17 19:33:21 2006
EliStartPage v11.70 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\DOCUME~1\GREGORIO\CONFIG~1\TEMP\DCOMCFG.EXE.Muestra EliStartPage v11.70
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DCOMCFG.EXE --> Eliminado
C:\WINDOWS\SYSTEM32\SIMPOLE.TLB --> Eliminado
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).
Eliminada Carpeta "%WinSys%\1024"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed May 17 19:35:32 2006
EliStartPage v11.70 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Acceso Denegado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed May 17 19:37:35 2006
EliStartPage v11.70 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Acceso Denegado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed May 17 19:37:44 2006
EliStartPage v11.70 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Acceso Denegado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed May 17 19:38:20 2006
EliStartPage v11.70 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Acceso Denegado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed May 17 19:39:57 2006
EliStartPage v11.70 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado
Eliminadas las Paginas de Inicio y de Busqueda del IE
Wed May 17 19:41:10 2006
EliStartPage v11.70 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed May 17 19:41:21 2006
EliStartPage v11.70 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
-
AcX
Mensaje
por AcX » 17 May 2006, 19:57
[quote="av_david"]
Wed May 17 19:33:21 2006
EliStartPage v11.70 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[b]Por favor, envienos una muestra del fichero
C:\DOCUME~1\GREGORIO\CONFIG~1\TEMP\DCOMCFG.EXE.Muestra EliStartPage v11.70
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DCOMCFG.EXE --> Eliminado[/b]
[/quote]
Sigue estos pasos y envianos una muestra del fichero que te indican
http://www.zonavirus.com/envia-un-virus.asp
Posteriormente, reinicia en modo a prueba de fallos y pasale otra vez la herramienta [b]EliStarA[/b], si te fijas al final te dira que metas tu la direccion de inicio que quieras.
Una vez pasada la herramieinta reinicia en modo normal :roll: y pasale el antivirus online:
https://www.eset.es/analisis-online/
y nos comentas si te ha salido algo.
Despues descargate esta aplicacion con todos los programas cerrados.
http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp
le das a la primera opcion para que se haga el Scan y te saque el log directamente y nos lo pegas aqui, junto a lo que te saque el [b]EliStarA[/b] probado esta vez en modo a prueba de fallos y si no se ha eliminado el archivo del principio envianos la muestra
Última edición por AcX el 17 May 2006, 21:47, editado 1 vez en total.
-
av_david
- Mensajes: 7
- Registrado: 17 May 2006, 19:15
Mensaje
por av_david » 17 May 2006, 20:42
todo igual, o pero justo como staba al principio...
Logfile of HijackThis v1.99.1
Scan saved at 20:41:04, on 17/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
c:\ARCHIV~1\mcafee.com\vso\OasClnt.exe
c:\archivos de programa\mcafee.com\vso\mcvsshld.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\atmclk.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Gregorio\CONFIG~1\Temp\Rar$EX12.859\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp34E4.tmp
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [OCAudioIni] C:\Archivos de programa\One-click Audio Converter\OCAudioIni.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Gregorio\Mis documentos\EliStarA.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
-
AcX
Mensaje
por AcX » 17 May 2006, 20:58
Descargate esta aplicacion "killbox" y tenla a mano porque la tendras que utilizar en modo a prueba de errores:
http://pocket-killbox.softonic.com/ie/4637
Reinicia en modo a prueba de errores, vuelve a ejecutar el hijackthis igual que antes, cierra el log que te sale y quedate con ola pantalla general donde podras marcar las claves.
Vale haber pulsa [b]"fixed checked"[/b] teniendo marcadas las siguientes instrucciones ok?:
[color=red]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp34E4.tmp
[/color]
Posteriormente busca y elimina estos ficheros (en modo prueba de errores)
C:\WINDOWS\system32\[b]atmclk.exe[/b]
C:\WINDOWS\system32\[b]hp34E4.tmp[/b]
en caso de que no te deje usa el "killbox" bajado anteriormentne.
Asegurate de que se borra todo, compruebalo.
Reinicias y nos comentas el resultado.
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 17 May 2006, 22:44
Tambien deberias de usar un anti-spy, como Ad_aware y Spybot, para que antes de elimnar nada manualmente, ellos limpien, sobre esto
C:\WINDOWS\system32\atmclk.exe
Saludos
maura63
-
av_david
- Mensajes: 7
- Registrado: 17 May 2006, 19:15
Mensaje
por av_david » 18 May 2006, 09:01
hola de nuevo!, parece ser que el problema ya no sta, o al menos aparentemente eso parece, me baje el killbox, y borre los dos archivos que me dijisteis,,, y ya todo vuelve a la normalidad. muchisimas gracias x a ayuda!, seguramente yo solo hubiese terminao cargandome el pc...
bye! gracias de nuevo
-
AcX
Mensaje
por AcX » 18 May 2006, 09:05
De nada para eso estamos, a ti por confiar en nosotros.
compi maura :wink: close the hilo :) thanks
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 18 May 2006, 09:16
Deberias haber enviado una copia del fichero [color=red]DCOMCFG.EXE[/color] del cual se pedian muestras.
Tras analizarlo y en caso positivo lo implementarian en la utilidad, asi como se restaurarian las claves del registro que modificara en su caso.
Tambien antes de borrar nada con hijackthis o cualquier otra utilidad, se deben pasar los programas oportunos para la limpieza, y en caso de quedar restos utilizarlos.
Damos por terminado el tema y cerramos.
Saludos
maura63
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 18 May 2006, 09:35
Nota: Tened en cuenta que eliminando el fichero sin enviar copia del mismo si no es controlado, se pierde la posibilidad de buscar por cadenas otros compañeros del mismo, de diferente nomvbre i ybucados en otro sitio, asi como dejar cadenas de claves no visibles el el log del HJT...
En este caso ya es tarde, pero que los errores sirvan para experiencia AcX...
saludos
ms, 18-5-2006
Nota: ademas no puede controlarse para otros casos de otros foreros, que es el interés del foro !
msc hotline sat Virus Research Engineer