Instant Access, un problemon!!!

Weisheit · Mensaje por **Weisheit** » 01 Ago 2006, 17:20

Resulta que ne mi computadora salen y salen paginas con publicidad, asi como un mensaje de Error Safe, que quiere intalar un programa para poder solucionarlo, ya pasa el Elistara asi como el AD-aware, los dos en sus ultimas versiones, segun los programas los encuentra y borra, pero sin embargo despues de un rato, vuelven a aparecer, espero me puedan ayudar, aqui esta mi log de HijackThis, espero su ayuda.

Logfile of HijackThis v1.99.1
Scan saved at 10:17:23 a.m., on 01/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE
C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\General\Mis documentos\anti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://adds.aviationweather.noaa.gov/metars/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB002" /M "Stylus C45"
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGACCESS4_1064.dll,InstantAccess
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .tif: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin6.dll
O16 - DPF: ChatSpace Full Java Client 3.1.0.235N - http://69.31.7.116/Java/cfsn31235.cab
O16 - DPF: ChatSpace Full Java Client 4.0.0.320 - http://69.31.7.116/Java/cfs40320.cab
O16 - DPF: ChatSpace Java Client 4.0.0.320 - http://63.99.211.87/ChatSpace/Java/cms40320.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://200.33.20.13:2003/activex/AxisCamControl.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D48F6E2E-FD85-44EA-BFF5-4F2B2E6B21F8}: NameServer = 200.33.146.161 200.33.146.153
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

*NOTA.- He eliminado un sin fin de veces esta clave que obviamente esta infectada:
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGACCESS4_1064.dll,InstantAccess

pero me vuelve a parecer cuando hago de nuevo un scan, no se que es lo que pasa, espero su ayuda

Mensaje por **msc hotline sat** » 01 Ago 2006, 18:29

Si ya usas la v 12.21 del ELISTARA y no te controla el EGACCESS4_1064.dll , envianos muestra de dicho fichero. Pero si usas una version anterior del ELISTARA, actuializa, que cada día hacemos una version nueva !

En cualquier caso, tras ejecutar el ELISTARA y reiniciar, posteanos el contenido de C:\infosat.txt

Recuerda: Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y así podremos informarle si hay alguna incidencia sobre el particular, gracias.

saludos
ms, 1-8-2006

nota: Y las webs de estas claves no responden, puedes eliminarlas para no perder tiempo cada vez:
O16 - DPF: ChatSpace Full Java Client 3.1.0.235N - http://69.31.7.116/Java/cfsn31235.cab
O16 - DPF: ChatSpace Full Java Client 4.0.0.320 - http://69.31.7.116/Java/cfs40320.cab

Weisheit · Mensaje por **Weisheit** » 03 Ago 2006, 19:53

hola que tal, ya te envie la muestar del archivo asi como aqui te posteo el archivo infosat, espero tu ayuda muchas gracias:

Sun Jan 08 14:23:39 2006
EliStartPage v10.89 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
L

Código: Seleccionar todo

ista de Acciones:
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue Feb 21 08:00:30 2006
EliStartPage v11.17  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinSys%\LogFiles"

	  Mon Feb 27 19:38:40 2006
EliStartPage v11.17  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\ARCHIVOS DE PROGRAMA\SHOPPERREPORTS\BIN\1.1.0.0\SHPRRPRT.DLL --> Eliminado ShopprReports
Por favor, envienos una muestra del fichero
C:\DOCUME~1\GENERAL\CONFIG~1\TEMP\HBTHOSTIE.DLL.Muestra EliStartPage v11.17
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\HBTOOLS\BIN\4.7.3.0\HBTHOSTIE.DLL --> Eliminado 
Eliminada Class, "{0774F696-D801-4C18-81A7-A3A32B8BEF19}" -> C:\Archivos de programa\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
Eliminada Class, "{1E6AC766-9094-4BCF-ABD3-39E2EAEA5FCD}" -> C:\Archivos de programa\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
Eliminada Class, "{454B4812-E572-4703-A1BB-63490809EAC0}" -> C:\Archivos de programa\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
Eliminada Class, "{580A1F3F-89B4-433B-BBDB-B97AEB13F3FC}" -> C:\Archivos de programa\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
Eliminada Class, "{66B90ADB-0BE3-40AE-8680-84A6F0577CA0}" -> C:\Archivos de programa\HbTools\Bin\4.7.3.0\HbtHostIE.dll
Eliminada Class, "{ED8525EA-2BFC-4440-BD8A-20EFB9D5E541}" -> C:\Archivos de programa\HbTools\Bin\4.7.3.0\HbtHostIE.dll
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Mar 06 08:47:00 2006
EliStartPage v11.17  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\ARCHIVOS DE PROGRAMA\SHOPPERREPORTS\BIN\1.1.0.0\SHPRRPRT.DLL --> ShopprReports Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\DOCUME~1\GENERAL\CONFIG~1\TEMP\HBTHOSTIE.DLL.Muestra EliStartPage v11.17
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\HBTOOLS\BIN\4.7.5.0\HBTHOSTIE.DLL -->  Renombrado a .VIR
Eliminada Class, "{0774F696-D801-4C18-81A7-A3A32B8BEF19}" -> C:\Archivos de programa\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
Eliminada Class, "{1E6AC766-9094-4BCF-ABD3-39E2EAEA5FCD}" -> C:\Archivos de programa\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
Eliminada Class, "{2178C864-B8BC-41AE-A1FB-EB6A32F87EB1}" -> C:\Archivos de programa\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
Eliminada Class, "{2A8A997F-BB9F-48F6-AA2B-2762D50F9289}" -> C:\Archivos de programa\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
Eliminada Class, "{454B4812-E572-4703-A1BB-63490809EAC0}" -> C:\Archivos de programa\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
Eliminada Class, "{580A1F3F-89B4-433B-BBDB-B97AEB13F3FC}" -> C:\Archivos de programa\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
Eliminada Class, "{66B90ADB-0BE3-40AE-8680-84A6F0577CA0}" -> C:\Archivos de programa\HbTools\Bin\4.7.5.0\HbtHostIE.dll
Eliminada Class, "{74CC49F7-EB32-4A08-B204-948962A6E3DB}" -> C:\Archivos de programa\HbTools\Bin\4.7.5.0\HbtHostIE.dll
Eliminada Class, "{7E66936C-FEA0-4984-AD26-7B6661AC5B2E}" -> C:\Archivos de programa\HbTools\Bin\4.7.5.0\HbtHostIE.dll
Eliminada Class, "{ED8525EA-2BFC-4440-BD8A-20EFB9D5E541}" -> C:\Archivos de programa\HbTools\Bin\4.7.5.0\HbtHostIE.dll
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Mar 06 09:04:54 2006
EliStartPage v11.17  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%Archivos de Programa%\ShopperReports"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Mar 27 07:54:11 2006
EliStartPage v11.17  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado 
C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).
C:\Documents and Settings\General\Favoritos\Antivirus Test Online.url --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).
Eliminada Carpeta "%WinSys%\1024"
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon May 01 10:43:17 2006
EliStartPage v11.40  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\DOCUME~1\GENERAL\CONFIG~1\TEMP\EGACCESS4_1061.DLL.Muestra EliStartPage v11.40
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\EGACCESS4_1061.DLL --> Eliminado 
Entrada Eliminada [HKCU\...\Run] "Instant Access"="rundll32.exe EGACCESS4_1061.dll,InstantAccess"
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed May 03 09:54:29 2006
EliStartPage v11.61  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\EGACCESS4_1061.DLL --> Eliminado Dialer-InstantAccess
Eliminada Class, "{82FC4503-8459-4239-9B85-0617BEAA950A}" -> C:\WINDOWS\system32\egaccess4_1061.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed May 10 08:32:34 2006
EliStartPage v11.61  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminados Ficheros Temporales del IE

	  Wed May 10 08:53:46 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\WINANTIVIRUS PRO 2006\WAPCHK.DLL --> Eliminado WinAntiVirus Pro 2006
Eliminada Class, "{B2A3156E-3332-4b47-AF5A-5B121503514F}" -> C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2006\WapCHK.dll
Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"
Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu May 11 11:43:19 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%Archivos Comunes%\WinAntiVirus Pro 2006"
Eliminados Ficheros Temporales del IE

	  Thu May 11 11:46:00 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu May 11 11:46:47 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\WINDOWS\system32\EGACCESS.DLL --> Eliminado, Dialer-InstantAccess
C:\Documents and Settings\General\Configuración local\Temp\EGACCESS4_1061.DLL.MUESTRA ELISTARTPAGE V11.40 --> Eliminado, Dialer-InstantAccess
C:\Documents and Settings\General\Mis documentos\anti\XOFTSPY421_163.EXE --> AutoExtraible
C:\System Volume Information\_restore{9B0E514D-426C-4FA8-ABA5-E420CEBADDA6}\RP2\A0000028.DLL --> Eliminado, Dialer-InstantAccess

	  Tue May 16 09:02:23 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\EGACCESS4_1061.DLL --> Eliminado Dialer-InstantAccess
Eliminada Class, "{82FC4503-8459-4239-9B85-0617BEAA950A}" -> C:\WINDOWS\system32\egaccess4_1061.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue May 16 09:06:04 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\General\Mis documentos\anti\XOFTSPY421_163.EXE --> AutoExtraible
C:\System Volume Information\_restore{9B0E514D-426C-4FA8-ABA5-E420CEBADDA6}\RP7\A0000334.DLL --> Eliminado, Dialer-InstantAccess

	  Mon May 22 08:42:10 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\EGACCESS4_1061.DLL --> Eliminado Dialer-InstantAccess
Eliminada Class, "{82FC4503-8459-4239-9B85-0617BEAA950A}" -> C:\WINDOWS\system32\egaccess4_1061.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon May 22 08:45:36 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\General\Mis documentos\anti\XOFTSPY421_163.EXE --> AutoExtraible
C:\System Volume Information\_restore{9B0E514D-426C-4FA8-ABA5-E420CEBADDA6}\RP13\A0003109.DLL --> Eliminado, Dialer-InstantAccess

	  Tue May 23 06:26:15 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\LastGood"
Eliminados Ficheros Temporales del IE

	  Tue May 23 06:53:28 2006
EliStartPage v11.73  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue May 23 06:56:43 2006
EliStartPage v11.73  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\General\Mis documentos\anti\XOFTSPY421_163.EXE --> AutoExtraible

	  Fri Jun 09 09:19:11 2006
EliStartPage v11.73  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\EGACCESS4_1062.DLL.Muestra EliStartPage v11.73
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\EGACCESS4_1062.DLL --> Eliminado 
Entrada Eliminada [HKCU\...\Run] "Instant Access"="rundll32.exe EGACCESS4_1062.dll,InstantAccess"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Jun 09 10:30:28 2006
EliStartPage v11.85  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminados Ficheros Temporales del IE

	  Fri Jul 07 11:47:20 2006
EliStartPage v11.85  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Jul 20 07:23:00 2006
EliStartPage v12.12  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%Application Data%\ShopperReports"
Eliminada Carpeta "%Archivos de Programa%\Instant Access"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Jul 20 07:27:18 2006
EliStartPage v12.12  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\General\Mis documentos\anti\XOFTSPY421_163.EXE --> AutoExtraible

	  Mon Jul 31 11:55:41 2006
EliStartPage v12.20  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%Archivos de Programa%\Instant Access"
Eliminados Ficheros Temporales del IE

	  Mon Jul 31 12:09:04 2006
EliStartPage v12.20  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\General\Mis documentos\anti\XOFTSPY421_163.EXE --> AutoExtraible
C:\Documents and Settings\General\Mis documentos\anti\backups\BACKUP-20060327-113035-994.INF --> Eliminado, QDial.Internazionale(inf)
C:\Documents and Settings\General\Mis documentos\anti\backups\BACKUP-20060327-113035-994.DLL --> Eliminado, QDial.Internazionale

	  Tue Aug 01 11:50:22 2006
EliStartPage v12.20  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\EGACCESS4_1064.DLL.Muestra EliStartPage v12.20
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\EGACCESS4_1064.DLL --> Eliminado 
Entrada Eliminada [HKCU\...\Run] "Instant Access"="rundll32.exe EGACCESS4_1064.dll,InstantAccess"
Eliminada Carpeta "%Archivos de Programa%\Instant Access"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Aug 03 10:22:48 2006
EliStartPage v12.23  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\EGACCESS4_1064.DLL.Muestra EliStartPage v12.23
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\EGACCESS4_1064.DLL --> Eliminado 
Entrada Eliminada [HKCU\...\Run] "Instant Access"="rundll32.exe EGACCESS4_1064.dll,InstantAccess"
Eliminada Carpeta "%Archivos de Programa%\Instant Access"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Aug 03 10:26:56 2006
EliStartPage v12.23  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\General\Mis documentos\anti\XOFTSPY421_163.EXE --> AutoExtraible

Mensaje por **msc hotline sat** » 03 Ago 2006, 20:19

Ya has visto que en los ultimos informes el ELISTARA lo pedia:

Por favor, envienos una muestra del fichero
C:\Muestras\EGACCESS4_1064.DLL.Muestra EliStartPage v12.23 a "virus@satinfo.es". Gracias.

Mañana, cuando volvamos al trabajo lo analizamos e implementaremos su control y eliminacion en la 12.24 del ELISTARA

Mañana por la tarde lo pruebas y nos dices el resultado

saludos
ms, 3-8-2006

Mensaje por **msc hotline sat** » 04 Ago 2006, 11:02

Recibida la muestra y se implemente su control y eliminacion en el ELISTARA 12.24

Resulta ser una variante de un dialer porno.

Cuando terminemos la nueva version de hoy 12.24 del ELISTARA la subiremos a esta web para evaluacion, y esta tarde la podras probar y comentarnos el resultado, gracias

saludos
ms, 4-8-2006

Mensaje por **msc hotline sat** » 04 Ago 2006, 13:46

Subida nueva versión 12.24 del ELISTARA a esta web para evaluación. Descargala, pruebala e informamos del resultado, gracias

saludos
ms, 4-8-2006

Weisheit · Mensaje por **Weisheit** » 06 Ago 2006, 18:08

Resulta que ya baje la ultima version, cuando la puse a escanear en modo a prueba de fallos me encontro aproximadamente 5 archivos de instant acces, y que los elimino correctamente, pero aun me siguen apareciendo los dialers hacia paginas porno, errorsafe, y amaena.com, que para bajar el winantiviruspro.

este es el log del hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 11:05:41 a.m., on 06/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE
C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\General\Mis documentos\anti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://adds.aviationweather.noaa.gov/metars/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB002" /M "Stylus C45"
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .tif: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin6.dll
O16 - DPF: ChatSpace Java Client 4.0.0.320 - http://63.99.211.87/ChatSpace/Java/cms40320.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://200.33.20.13:2003/activex/AxisCamControl.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D48F6E2E-FD85-44EA-BFF5-4F2B2E6B21F8}: NameServer = 200.33.146.161 200.33.146.153
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

Abra algo mas escondido por ahi???????????

ahi · Mensaje por **ahi** » 11 Ago 2006, 01:49

yo estaba super desesperado con ese mismo problema. descargate el superantispyware free edition le das a escaneo completo y luego le das a siguiente. a mi me funciono..

Weisheit · Mensaje por **Weisheit** » 11 Ago 2006, 16:24

Donde lo puedo conseguir??????????

javier_almeria · Mensaje por **javier_almeria** » 15 Ago 2006, 23:47

Hola.

Lo del instant access y error safe son programas instalados que te vienen de "regalito" al descargar otros programas de internet. Son una "vieja historia" ya.

Tu has aceptado que se instalen esos programas en tu ordenador. Búscalos en Panel de control/Agregar y quitar programas y lo desinstalas. Es lo primero que hay que hacer.

Luego, ve a Archivos de programa y elimina las carpetas de los programas. Por último pasa el elistara y el spybot. Ya verás como se soluciona.

Saludos

Mensaje por **msc hotline sat** » 30 Ago 2006, 17:48

Ya disponible nueva version de ELISTARA 12.25 para control y eliminacion de malware segun muestra enviada

---v12.25-(30 de Agosto del 2006) (Muestras de (4)Puper "DFRGSRV.EXE, ISHOST.EXE, ISMON.EXE y IXT*.DLL", Proxy-Raser "STONEDRV.EXE", (2)ZangoSA "ZANGO.EXE y ZANGOHOOK.DLL", Hotbar "HBTHOSTIE.DLL", (3)PWS-JA "IBM00***.EXE y DLL", Vundo(notify) y (2)BackDoor-CVT "WIN***32.DLL")

Ya puede probarla y comentarnos el resultado, gracias

saludos
ms, 30-8-2006

Instant Access, un problemon!!!

Instant Access, un problemon!!!

resultados

No se deja

recomendacion

?????????