ZoneAlarm no arranca (SOLUCIONADO)

Cerrado
Jorge913
Mensajes: 75
Registrado: 13 Jul 2005, 21:28

ZoneAlarm no arranca (SOLUCIONADO)

Mensaje por Jorge913 » 10 Jul 2006, 11:28

Hola, tengo el ZoneAlarm 6.5.725.000 y lo tengo puesto para que arranque con el PC, pero el problema es que hay veces que lo enciendo y no arranca, entonces me voy a inicio-todos los programas-Zone Labs- Zone Labs Security para que se ponga al menos de forma manual, pero me sale un error que pone algo asi como:

Error al intentar acceder al archivo especificado. Puede que no tenga permisos para acceder a este elemento.

O algo asi. A ver si me podiais decir por que sucede esto, muchas gracias.



PD: Use el EliStarA y el EliTriIp, y uno de ellos me detecto un troyano que el nod 32 no lo hizo, pero aunque lo borre el ZoneAlarm sigue sin arrancar a veces al principio.
Imagen

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 10 Jul 2006, 11:40

Posteenos el contenido de C:\infosat.txt para ver el report de la deteccion indicada, y asi ver si el malware pudo haber eliminado alguna DLL, fichero o clave de registro que pudiera estar afectando



saludos



ms, 10-7-2006

Jorge913
Mensajes: 75
Registrado: 13 Jul 2005, 21:28

Mensaje por Jorge913 » 10 Jul 2006, 11:48

Este es el log del dia que borre lo que me decia que era un troyano





Tue Jun 27 16:15:08 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)

C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> FlashGet (BHO) Renombrado a .VIR

Eliminada Class, "{A5366673-E8CA-11D3-9CD9-0090271D075B}" -> C:\ARCHIV~1\FlashGet\jccatch.dll

Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}" -> C:\ARCHIV~1\FlashGet\fgiebar.dll

Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}" -> C:\ARCHIV~1\FlashGet\jccatch.dll

Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}" -> C:\ARCHIV~1\FlashGet\jccatch.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 27 16:18:42 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ewido\security suite\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\MAIET\Gunz\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Vi-Soft\V_KLay\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Winamp\eMusic\UNINST-EMUSIC-PROMOTION.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Documentos\GUNZINTERNATIONAL_20050915.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\TOASTER.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Ewido\EWIDO-SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Gunz\GUNZINTERNATIONALUPDATE_20050915.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Gunz\GUNZINTERNATIONALUPDATE_20060206.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Gunz\GUNZINTERNATIONAL_20050818.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\IRC\IRCAP-8.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\IRC\IRCAP-82.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\IRC\IRCAP-SKIN-AQUA.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Kapersky\KAV5.0.388_PERSONALES.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Mis archivos recibidos\GUNZINTERNATIONAL_20050818.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Winamp\WINAMP51_FULL_EMUSIC-7PLUS.EXE --> AutoExtraible



Tue Jun 27 16:55:36 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 27 19:33:45 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Archivos de programa\FlashGet\JCCATCH.DLL.VIR --> Eliminado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE
Imagen

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 10 Jul 2006, 12:02

Aparece el uso en 27 de Junio de este año de la version 11.48 del ELISTARA !!!



Las utilidades de esta web son para evaluacion, y siempre deben usarse las de ultima generacion, actualmente estamos en 12.04, mas de 45 versiones posteriores a la usada...



En aquel momento se eliminaba el acelerador de descargas por considerar peligrosas las versiones de entonces, pero no las de ahora, por lo cual ya no lo eliminamos, aunque no parece que tenga que ver, pero...



Descargue la ultima version del ELISTARA y pruebela, ya que cada día hay un promedio de 200 nuevas variantes de malwares, que contolamos día a dia con las nuevas versiones que desarollamos a diario...





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras ello posteenos nuevamente el c:\infosat.txt por si se hubiera detectado algo nuevo, y diganos si tras ello persiste aun o no el problema, gracias



ms, 10-7-2006

Jorge913
Mensajes: 75
Registrado: 13 Jul 2005, 21:28

Mensaje por Jorge913 » 10 Jul 2006, 12:34

Perdon no me di cuenta de lo de la nueva version :lol:



Mon Jul 10 12:12:52 2006

EliStartPage v12.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jul 10 12:19:15 2006

EliStartPage v12.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MAIET\Gunz\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Vi-Soft\V_KLay\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Winamp\eMusic\UNINST-EMUSIC-PROMOTION.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Documentos\GUNZINTERNATIONAL_20050915.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\TOASTER.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Aventuras Graficas\Loom bueno\LOOM.EXE --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\Jor\Mis documentos\Batch\RENOMBREITOR.EXE --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\Jor\Mis documentos\Gunz\GUNZINTERNATIONALUPDATE_20050915.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Gunz\GUNZINTERNATIONALUPDATE_20060206.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Gunz\GUNZINTERNATIONAL_20050818.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\IRC\IRCAP-8.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\IRC\IRCAP-82.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\IRC\IRCAP-SKIN-AQUA.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Kapersky\KAV5.0.388_PERSONALES.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Mis archivos recibidos\GUNZINTERNATIONAL_20050818.EXE --> AutoExtraible

C:\Documents and Settings\Jor\Mis documentos\Winamp\WINAMP51_FULL_EMUSIC-7PLUS.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-1844237615-261478967-725345543-1004\DC22.EXE --> AutoExtraible



Ahora mismo me voy, y volvere mas tarde, asi que no podre responder a lo que me digas hasta pasado un buen rato. Gracias! :wink:
Imagen

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 10 Jul 2006, 12:49

Pues ya lo encontrarás cuando vuelvas :lol:



FIjate que como era previsible, tenías y hemos eliminado este BIFROSE:



C:\Documents and Settings\Jor\Mis documentos\Aventuras Graficas\Loom bueno\LOOM.EXE --> Eliminado, Bifrose (dropper)



Mira si ahora persiste o no el problema, pero por lo menos te hemos librado del mencionado bicho



No lo comentas a tu vuelta, gracias



saludos



ms, 10-7-2006



NOTA: CARACTERISTICAS DE ESTE BACKDOOR:



http://securityresponse.symantec.com/avcenter/venc/data/backdoor.bifrose.html?Open

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 10 Jul 2006, 12:59

Y como que este era un DROPPER (Creador de troyanos), por si hubiera creado alguno desconocidos, posteenos el log del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]




[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Y tras analizarlo, informaremos al respecto como respuesta de este Tema.



saludos



ms, 10-7-2006

Jorge913
Mensajes: 75
Registrado: 13 Jul 2005, 21:28

Mensaje por Jorge913 » 10 Jul 2006, 14:49

Oh que bien que me deshice de eso, pero el EliStarA me ha eliminado por completo ese archivo con todas sus caracteristicas que sale en la web de Symantec?

Bueno aqui os dejo el log del Hijackthis



Logfile of HijackThis v1.99.1

Scan saved at 14:48:29, on 10/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\MSMSGS.EXE

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\Jor\Mis documentos\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [System Mechanic Popup Blocker] "C:\Archivos de programa\iolo\System Mechanic Professional 6\PopupBlocker.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127936928468

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8B57DDA0-14A1-4688-A7FD-8D0AB4E72682}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Imagen

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Jul 2006, 11:02

Pues conviene eliminar esta clave:



O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)



El no indicar fichero es propio de malwares.





Tras ello, reinicie y nos comenta si persiste alguna anomalía, y sino ya procederíamos a considerar el Tema como solucionado



saludos



ms, 11-7-2006

Jorge913
Mensajes: 75
Registrado: 13 Jul 2005, 21:28

Mensaje por Jorge913 » 11 Jul 2006, 13:40

Bueno, ya borre lo que me dijiste, reinicie y volvio a no arrancar, reinicie y tampoco arranco, reinicie otra vez y ya si. No se que puede ser esto... :cry:
Imagen

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Jul 2006, 13:51

El log ya ha quedado limpio. Puede ser cualquier mal acceso al disco duro, o a su informacion, pero no tiene porqué ser vírico.



Podría revivir el magnetismo y la zona de datos del disco duro con el SPINRITE, pero no es freeware. ( http://www.spinrite.com )



Por si no fuera problema de zonas ficicas sino logicas, arranquie en modo seguro y lance un comprobar errores y un defrag:



MIPC -> Boton derecho sobre unidad C: -> PROPIEDADES - > Herramientas -> Comprobar errores + Desfragmentar



Fuera de esto ya deberías revisar el hard, contactos de memoria, de tarjetas, de cables, ect



Cuentas tus progresos al respecto, gracias



saludos



ms, 11-7-2006

lorelore
Mensajes: 2
Registrado: 15 Jul 2006, 23:15

Mensaje por lorelore » 15 Jul 2006, 23:23

Hola: tengo el mismo síntoma.



El ZoneAlarm no arranca, cuando intento en forma manual me dice que no tengo permisos.

Desinstale e instalé varias veces el ZoneAlarm y el problema persiste.



Envio el log de EliStar (tenia un virus)





Sat Jul 15 18:08:54 2006

EliStartPage v12.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PAYTIME.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado

C:\WINDOWS\SECURE32.HTML --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jul 15 18:10:17 2006

EliStartPage v12.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Avi2Dvd\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Notepad++\UNINSTALL.EXE --> AutoExtraible



Sat Jul 15 18:15:11 2006

EliStartPage v12.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\software\NPP.3.5.INSTALLER.EXE --> AutoExtraible

D:\software\SETUPGFD.EXE --> AutoExtraible

D:\software\temas\FORESTGREEN.EXE --> Eliminado, Bifrose (dropper)



y el de HJT luego de esto



Logfile of HijackThis v1.99.1

Scan saved at 18:25:44, on 15/7/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\vsnct511.exe

C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Archivos de programa\Corel8\programs\MFIndexer.exe

C:\Archivos de programa\Mp3tag\Mp3tagQuickPick.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.BIN

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HJT\hijackthis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SNCT511] C:\WINDOWS\vsnct511.exe

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot

O4 - HKLM\..\Run: [!ewido] "C:\Archivos de programa\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Archivos de programa\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Archivos de programa\Corel8\programs\MFIndexer.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Mp3tag Quick Pick.lnk = C:\Archivos de programa\Mp3tag\Mp3tagQuickPick.exe

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119656886265

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe





Le apliqué fix a las entradas que decian No file y obtuve esto



Logfile of HijackThis v1.99.1

Scan saved at 18:26:19, on 15/7/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\vsnct511.exe

C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Archivos de programa\Corel8\programs\MFIndexer.exe

C:\Archivos de programa\Mp3tag\Mp3tagQuickPick.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.BIN

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HJT\hijackthis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SNCT511] C:\WINDOWS\vsnct511.exe

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot

O4 - HKLM\..\Run: [!ewido] "C:\Archivos de programa\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Archivos de programa\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Archivos de programa\Corel8\programs\MFIndexer.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Mp3tag Quick Pick.lnk = C:\Archivos de programa\Mp3tag\Mp3tagQuickPick.exe

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119656886265

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

lorelore
Mensajes: 2
Registrado: 15 Jul 2006, 23:15

Mensaje por lorelore » 16 Jul 2006, 00:41

Luego de hacer esto reinicie en modo seguro, defragmente las particiones C: y D:, instale Zone Alarm y reinicie.

No arranco, y ademas no tengo acceso a internet.

REinicie un par de veces y sigue sin arrancar.

Finalmente lo desinstale.

alguna sugerencias?

saludos

lorena

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 16 Jul 2006, 11:22

Imagino que seran colisiones de residentes, por algo no soy paridario de los cortafuegos por software...



Puedes elimnar estas dos claves:





O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)



O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)





Y enviarnos muestra de:



C:\WINDOWS\vsnct511.exe





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF Lorena" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





saludos



ms 16-7-2006

Huno
Mensajes: 20
Registrado: 16 Ene 2006, 21:40

Mensaje por Huno » 04 Ago 2006, 13:14

También he tenido el mismo problema. Justamente cuando actualicé el Zone Alarm. De hecho formateé el disco duro hace dos días y de nuevo la versión actualizada del zone alarm no funciona. Tuve que poner la anterior y sin problemas.

Creo que a mucha gente le está pasando lo mismo.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 04 Ago 2006, 14:37

Efectivamente, mejor usar la version comprobada



y solucionado el problema, procedfemoa a cerrar el Tema



saludos



ms, 4-8-2006

Cerrado

Volver a “Foro Firewalls y Cortafuegos”