PEGO MI LOG. SE ABREN VENTANAS DE PUBLICIDAD (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
IVANIVAN
Mensajes: 6
Registrado: 20 May 2006, 03:30

PEGO MI LOG. SE ABREN VENTANAS DE PUBLICIDAD (SOLUCIONADO)

Mensaje por IVANIVAN » 20 May 2006, 03:48

PRIMERO E PASADO DOS PROGRAMAS:



*Ad-Aware: consegui eliminar todo menos una cosa: Adware.Look2Me



*Spybot: elimine todo menos Command Service que tiene tres registros:



HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService



HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService



EL PROBLEMA FUNDAMENTAL QUE TENGO ES QUE SE ME ABREN VENTANAS DE PUBLICIDAD, CASI TODAS DE LA SIGUIENTE ESTRUCTURA:



http://............./tau.htlm



MUCHAS DE ESTAS VENTANAS PUBLICITAN PROGRAMAS PARA ELIMINAR SPYWARE.



DESPUES DE PASAR AD-AWARE Y SPYBOT NO E CONSEGUIDO SOLUCIONAR EL PROBLEMA.



LES DEJO MI LOG PARA QUE ALGUIEN ME AYUDE. GRACIAS POR ADELANTADO.



Logfile of HijackThis v1.99.1

Scan saved at 3:26:39, on 20/5/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\GbConfig.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\IVAN\UTILIDADES\SPYWARE\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.etsii.upm.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [defender] C:\\defender21.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] C:\Archivos de programa\Messenger\msmsgs.exe /background

O4 - HKCU\..\Run: [HijackThis startup scan] C:\IVAN\UTILIDADES\SPYWARE\hijackthis\HijackThis.exe /startupscan

O4 - Global Startup: GN-WIKG Utility.lnk = C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\GbConfig.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmesar.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmesar.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.gig.etsii.upm.es/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://drivecleaner.com/.freeware/installdrivecleanerstart.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BBE746C9-BCF9-4FCD-951A-C6B8EE1AAB9F}: NameServer = 195.235.113.3,195.235.96.90

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\lvl6093se.dll

O20 - Winlogon Notify: winxvy32 - C:\WINDOWS\SYSTEM32\winxvy32.dll

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 20 May 2006, 07:08

Efectivamente, lanza el ELISTARA, y al salir pon la página de inicio que quieras, o la del http://www.google.es por lo menos





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Si te pide enviar muestras, envianoslas !!!



saludos



ms, 20-5-2006
Última edición por msc hotline sat el 25 May 2006, 05:48, editado 1 vez en total.
Arriba
IVANIVAN
Mensajes: 6
Registrado: 20 May 2006, 03:30

Mensaje por IVANIVAN » 20 May 2006, 11:32

E ARRANCADO EL ORDENADOR Y EJECUTO EL ELISTAR PERO ME SALE EL SIGUIENTE ERROR:



WinLogon\Notify\SHELLSCRAP

Acceso denegado al fichero

C:\WINDOWS\SYSTEM32\RR6R6LG9S16.DLL



QUE TENGO QUE ACER?
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 20 May 2006, 11:45

Bingo !





Ahi tienes un rootlkit que te impide acceder, escanear, tocar, mover, y demas acciones que quisieramos hacer normalmente.



Debes enviarnos este fichero para su analisis, para lo cual debes arrancar con el CD de instalacion, y cuando te aparezca la posibilidad de escoger R (entrar en consola de recuperacion), lo haces y asi podras ciouare este fichero a un disquete para luego arracando normalmente. enviarnoslo anexado a un mail dirigido a zonavirus@satinfo.es uindicabndo como referencia "REF SHELLSCRAP"



Recuerda que dicha DLL la encontrarás en la carpeta de sistema, y ue puede estar con atributo H, R; S, etc



Si no te manejas bien en MSDOS, mira sin tienes un amigo "veterano" pues sino puede ser un calvario ...



saludos



ms, 20-5-2006
Arriba
IVANIVAN
Mensajes: 6
Registrado: 20 May 2006, 03:30

Mensaje por IVANIVAN » 20 May 2006, 11:59

ARRANCANDO EL ORDENADOR DE MANERA NORMAL NO ME DEJA COPIAR EL FICHERO PORQUE DICE QUE ESTA SIENDO UTILIZADO. OS MANDO EL INFORME DEL ELISTAR Y VOY A INTENTAR COPIAR EL FICHERO Y MANDARLO POR CORREO, SI TENGO PROBLEMAS OS AVISO. GRACIAS



--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\RELIABILITY]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\LVL6093SE.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

Key Eliminada [WinLogon\Notify\WINXVY32] -> C:\WINDOWS\SYSTEM32\WINXVY32.DLL

C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)

C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> Eliminado FlashGet (BHO)

C:\WINDOWS\SYSTEM32\WINXVY32.DLL --> BackDoor-CVT (notify) Renombrado a .VIR

Eliminada Class, "{A5366673-E8CA-11D3-9CD9-0090271D075B}" -> C:\ARCHIV~1\FLASHGET\jccatch.dll

Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}" -> C:\ARCHIV~1\FLASHGET\fgiebar.dll

Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}" -> C:\ARCHIV~1\FLASHGET\jccatch.dll

Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}" -> C:\ARCHIV~1\FLASHGET\jccatch.dll



Sat May 20 11:13:07 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\RELIABILITY]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\LVL6093SE.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Eliminado Look2Me (notify)



Sat May 20 11:23:42 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SHELLSCRAP]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\R6R6LG9S16.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Look2Me (notify) Renombrado a .VIR
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 20 May 2006, 12:32

Pero supongo que ya ves que cada vez que arrancas va cambiando el nombre... Espero que no borre los ficheros antiguos, pues sino será mas problema.





Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\LVL6093SE.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.





Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\R6R6LG9S16.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperaciónv



saludos



ms, 20-5-2006
Arriba
IVANIVAN
Mensajes: 6
Registrado: 20 May 2006, 03:30

Mensaje por IVANIVAN » 20 May 2006, 12:48

MALAS NOTICIAS, EFECTIVAMENTE CADA VEZ QUE ARRANCO EL ORDENADOR EL NOMBRE DEL ARCHIVO .DLL VA CAMBIANDO Y LO PEOR DE TODO ES QUE BORRA LOS ANTERIORES:



Sat May 20 12:42:46 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\APP MANAGEMENT]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\M4NQ0E55EH.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.



COMO HAGO PARA DETECTARLO CUANDO ARRANCO CON LA CONSOLA? LO UNICO QUE SE ME OCURRE ES MIRAR EL ARCHIVO EN C:\WINDOWS\SYSTEM32 QUE SE HALLA CREADO MAS RECIENTEMENTE.



HAY OTRA SOLUCION?

MUCHAS GRACIAS POR LA AYUDA
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 24 May 2006, 17:18

Es posible que los ficheros con el nombre anterior persistan, si es asi ya sabe cual enviarnos, y sino tal como dice, arrancando en consola de recuperacion, las DLL de fecha mas reciente que se hayan creado en la carpeta de sistema.



Cuando las recibamos, las examinaremos e implementaremos su control y eliminacion entre las dos utilidades previstas para ello, el ELISTARA y el ELINOTIF.DLL , utilidades que deberá copiar en la misma carpeta y luego arrancar en modo seguro yejecutar el ELISTARA



saludos



ms, 24-5-2006
Arriba
maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:
Contactar maura63

Mensaje por maura63 » 24 May 2006, 17:48

Sobre esto



[color=red]O4 - HKLM\..\Run: [defender] C:\\defender21.exe [/color]



Informacion al respecto



http://virusinfo.prevx.com/pxparall.asp?PXC=ffb121052925



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 24 May 2006, 17:51

Para este bicho es preciso copiar en la misma carpeta donde se copie el ELISTARA, y al ejecutar el ELISTARA podrá ejecutarse dicha DLL



Ahora con Incio -> Ejecutar , ejecuta esta instruccion:



RUNDLL32 ELINOTIF,Instala



Ojo con La I del Instala en mayuscula, sin espacios, y desde la ruta donde esté copiado el ELINOTIF.DLL



Si se conociera esta variante, se instalaría, y en el próximo reinicio eliminaría el bicho y luego se desinstalarça el ELINOTIF automaticamente.



Prueba de hacerlo tras enviarnos la muestra, fracias



saludos



ms, 24-5-2006
Arriba
IVANIVAN
Mensajes: 6
Registrado: 20 May 2006, 03:30

Mensaje por IVANIVAN » 24 May 2006, 20:44

MAURA 63 E ENTRADO AL ENLACE QUE ME MANDASTE PERO AY NO SE QE ACER. AGREDECERIA MAS AYUDAS. GRACIAS
Arriba
IVANIVAN
Mensajes: 6
Registrado: 20 May 2006, 03:30

Mensaje por IVANIVAN » 24 May 2006, 22:50

MAURA63 E INSTALADO EL PREVX1 Y LO E EJECUTADO, A DETECTADO VARIAS COSAS Y PARECE SER QUE YA NO ME APARECEN MAS VENTANAS DE PUBLICIDAD, NO SE SI PORQUE PREVX1 LAS BLOQUEA O PORQE EN REALIDAD ME A LIMPIADO LO QUE TENIA MAL. YA OS SEGUIRE CONTANDO COMO VA TODO.

MUCHAS GRACIASSSSSSSS
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 25 May 2006, 05:46

Pues solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms. 25-5-2006
Arriba
Cerrado

Volver a “Foro HijackThis - copia y pega tu log”