intenta conectarse a Internet al arrancar(Adjunto Hijackthis

quitus · Mensaje por **quitus** » 01 Dic 2006, 21:30

Hola a todos, a ver si me podeis ayudar.

Cuando arranco el Pc se intenta conectar a internet, lo se porque me salta el norton, no se lo permito pero esto (supongo) me impide conectarme a internet (ahora lo estoy haciendo desde otra máquina).

Tambien me da error la Google desktop toolbar y no puedo desinstalarla porque dice que tiene un conflicto con "aelupsvc32.dll" que esta alojada en system32 y que no puedo eliminar.

No se, tenia mala pinta y he pasaso el hijackthis con este resultado:

Logfile of HijackThis v1.99.1

Scan saved at 19:48:01, on 01/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Norton Internet Security\NISUM.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\essspk.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Symantec\LiveUpdate\AUpdate.exe

C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopDisplay.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinStar] C:\WINDOWS\IEXPL0RE.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\aelupsvc32.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\aelupsvc32.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2D74F9C2-E156-4267-AE73-1F011BFBEE93}: NameServer = 62.14.63.245,62.14.2.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{2D74F9C2-E156-4267-AE73-1F011BFBEE93}: NameServer = 62.14.63.245,62.14.2.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\NISUM.EXE

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: Creative NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

A ver si me podeis dar alguna pista.

Muchas gracias por anticipado.

Mensaje por **lucl** » 01 Dic 2006, 21:41

Has probado pasar el elistara por si fuera algun bichillo raro? Descargate la ultima version y pasalo no estara de mas

http://www.zonavirus.com/descargas/elistara.asp

y si sale algo les pegas el resultado que te de en el infosat

saludos y suerte

Mensaje por **msc hotline sat** » 02 Dic 2006, 14:58

Envianos muestra para analizar del:

c:\windows\system32\aelupsvc32.dll

Elimina estas claves:

O4 - HKLM\..\Run: [WinStar] C:\WINDOWS\IEXPL0RE.exe

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 2-12-2006

quitus · Mensaje por **quitus** » 03 Dic 2006, 22:49

Gracias a los dos por contestar.

Para lucl: intento descargarme el EliStarA per me pide usuario y contraseña.

Para msc: he eliminado la clave que me has dicho pero el problema persiste, vuelo a ejecutar el hijackthis y vuelve a aparecer la dichosa entrada. Respecto a la muestra, al intentar enviarla desde el portatil del trabajo me salta el antivirus y me dice que el aelupsvc32.dll contiene el virus "TROJ_AGENT.FZX" por lo que no puedo enviarlo. Espero que sea una buena pista.

Gracias.

Mensaje por **lucl** » 03 Dic 2006, 23:10

Hola, acabo de comprobar el link y funciona, te lo pego de nuevo , intentalo que ayuda mucho en serio. Yo he accedido a el incluso sin poner mi nick en el foro.

http://www.zonavirus.com/descargas/elistara.asp

y sobre que te lo intercepte el antivirus recuerda lo que dice msc y cito :

si hay problemas en el envio:

Para que el envio no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y asi se encriptará de manera que nadie lo detecte

Prueba de nuevo.. suerte!

Mensaje por **msc hotline sat** » 04 Dic 2006, 09:56

Al menos ahora ya sabe que este fichero "aelupsvc32.dll" es un malware: "TROJ_AGENT.FZX"

Conforme indica Luci, envienoslo empaquetado con password, y para hacer el paquete o arranca en modo seguro o desacyiva el antivirus,. luego el ZIP ya podrá manejarlo normalmente

saludos

ms, 4-12-2006

quitus · Mensaje por **quitus** » 10 Dic 2006, 12:40

Bueno, por fin he tenido un poco de tiempo para dedicarme al problema.

Ya esta mandada la muestra.

Tambien he pasaso el EliStarA y el resultado es el siguiente:

Sun Dec 10 11:37:29 2006

EliStartPage v12.84 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Sun Dec 10 11:37:29 2006

EliStartPage v12.84 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\UltraEdit\UEDOS32.EXE --> Eliminado, Puper-Isa

C:\Documents and Settings\Papa Mama i Txell\Configuración local\Temp\AU_SETUPH.DLL --> Eliminado, NavHelper (BHO)

Gracias por vuestro interes.

Un saludo.

Mensaje por **msc hotline sat** » 10 Dic 2006, 12:47

Pues un downloader menos ! y ya ve que ha de actualizar los parches lanzando un windowsupdate. ES MUY IMPORTANTE, sino lo que hagamos, de poco va a servir.

saludos

ms, 10-12-2006

quitus · Mensaje por **quitus** » 11 Dic 2006, 10:35

Hola, ya hace tiempo que no me funciona el Windows Update porque la instalación que me hicieron se ve que la hicieron a muchas mas personas y al final se bloqueó la licencia.

Me podeis indicar si puedo bajar esos parches de algun site?

Gracias.

Mensaje por **lucl** » 11 Dic 2006, 15:01

Hola, me temo que lo que pides no se te puede dar en este foro, si miras las normas veras que :

7. La piratería es delito, por lo que no está permitido pedir o facilitar cracks, números de serie o direcciones de páginas Web relacionadas con el software pirata.

Al margen de que te hayan podido engañar en la tienda o no, no discuto eso. Pero como te diran los moderadores lo que pides no esta permitido.

Suerte.

quitus · Mensaje por **quitus** » 11 Dic 2006, 15:50

Ante todo, si he incumplido las normas pido disculpas.

De todas formas no creo que las haya incumplido ya que he preguntado por parches de Microsoft los cuales no son software pirata, ni cracks, ni numeros de serie ...

Diferente seria que preguntara como activar mi Windows para que vuelva a actualizarse solo, creo.

Sin ánimo de polemizar.

Saludos.

Mensaje por **msc hotline sat** » 11 Dic 2006, 16:13

Tranquilos que no es que seamos BSA, pero no hacemos apología del pirateo, todo lo contrario, defendemos la proteccion intelectual (Copyright), si bien las grandes marcas como Microsoft ya se defienden solas, impidiendo las actualizaciones si el producto no está debidamente registrado.

Me consta que existe un sistema paralelo de actualizacion de parches, pero ofrecerlo aqui sería promocionar el pirateo, y eso no está permitido en este foro

Logicamente en sistemas legalmente registrados, con el windowsuodate es suficiente y actualmente hasta automatico...

Y nadie dice que hayas incumplido por preguntar, pero entiende que "con la Iglesia hemos topado"

Voy a mirar si veo lo que tienes de parches por si te puedo aconsejar algo mientras...

Te faltan por lo menos todos los parches de este año, instala por lo menos el del WMF (MS06-001), el del servicio servidor (MS06-040) y el del I.E. de ejecucion remota MS06-042. cuyos links indico a cont¡nuacion, al menos si bien no son todos, son muy importantes:

http://www.microsoft.com/en/us/default.aspxspain/technet/seguridad/boletines/ms06-001-it.mspx

http://www.microsoft.com/en/us/default.aspxlatam/technet/seguridad/boletines/ms06-040.mspx

http://www.microsoft.com/en/us/default.aspxlatam/technet/seguridad/boletines/ms06-042.mspx

saludos

ms, 11-12-2006

quitus · Mensaje por **quitus** » 12 Dic 2006, 09:25

Gracias ms por indicarme los parches que me hacen falta y el sitio de microsoft desde donde los puedo descargar.

En cuanto pueda los instalaré en mi ordenador, aunque mejor esperaré a que me deis una solución para eliminar el virus.

Saludos.

Mensaje por **msc hotline sat** » 12 Dic 2006, 10:53

La muestra acaba de entrar en proceso.

informaremos cuando sepamos algo al respecto

Se trata de un adware que ya está identificado por McAfee como ROOGOO

Se implementa su control y eliminacion en el ELISTARA 12.88 de hoy

saludos

ms, 12-12-2006

posterior proceso de analisis detecta en su interior otro EXE con un Dowloader...

resumen del VIRUSTOTAL

[quote]
ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "aelupsvc32.dll" que VirusTotal ha recibido el día 12.12.2006 a las 10:38:20 (CET).

Antivirus Version Actualización Resultado

AntiVir 7.2.0.49 12.12.2006 TR/Agent.IT.7

Authentium 4.93.8 11.12.2006 no ha encontrado virus

Avast 4.7.892.0 12.12.2006 no ha encontrado virus

AVG 386 11.12.2006 Adware Generic.SBT

BitDefender 7.2 12.12.2006 Trojan.Agent.IT

CAT-QuickHeal 8.00 11.12.2006 AdWare.WSearch.l (Not a Virus)

ClamAV devel-20060426 11.12.2006 no ha encontrado virus

DrWeb 4.33 12.12.2006 no ha encontrado virus

eSafe 7.0.14.0 11.12.2006 no ha encontrado virus

eTrust-InoculateIT 23.73.83 12.12.2006 Win32/Firo.A!Dropper

eTrust-Vet 30.3.3246 12.12.2006 Win32/Wosrist.A

Ewido 4.0 11.12.2006 Adware.WSearch

Fortinet 2.82.0.0 12.12.2006 Misc/LSP

F-Prot 3.16f 11.12.2006 no ha encontrado virus

F-Prot4 4.2.1.29 11.12.2006 no ha encontrado virus

Ikarus T3.1.0.26 12.12.2006 not-a-virus:AdWare.Win32.WSearch.l

Kaspersky 4.0.2.24 12.12.2006 not-a-virus:AdWare.Win32.WSearch.l

McAfee 4916 11.12.2006 potentially unwanted program Adware-Roogoo

Microsoft 1.1804 12.12.2006 no ha encontrado virus

NOD32v2 1915 12.12.2006 Win32/Agent.NEN

Norman 5.80.02 11.12.2006 no ha encontrado virus

Panda 9.0.0.4 12.12.2006 Adware/Roogoo

Prevx1 V2 12.12.2006 Trojan.Holica

Sophos 4.12.0 10.12.2006 Troj/DwnLdr-FVD

Sunbelt 2.2.907.0 30.11.2006 Trojan.Agent.IT

TheHacker 6.0.3.131 10.12.2006 Adware/WSearch.l

UNA 1.83 11.12.2006 Adware.WSearch.EF65

VBA32 3.11.1 11.12.2006 AdWare.Win32.WSearch.l

VirusBuster 4.3.15:9 11.12.2006 no ha encontrado virus

Información adicional

Tamaño archivo: 167936 bytes

MD5: 81df8d3b2e4f9e5bfe3174694cd25e77

SHA1: e0f208e377d4b6544d8835cd4a5c4908af81c803

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=f05453078016

[/quote]

quitus · Mensaje por **quitus** » 13 Dic 2006, 09:29

Gracias otra vez ms.

Ya me he bajado el Elistara 12.88, por la noche lo ejecutaré en mi PC.

Respecto al "otro EXE con un Dowloader", que es lo que puedo hacer? O pasando el Elistara ya quedara solucionado? Lo siento, soy un completo ignorante en estos temas.

Gracias por vuestra dedicacion.

Mensaje por **msc hotline sat** » 13 Dic 2006, 12:01

Al estar en su interior, este otro EXE desaparecerá cuando se elimine elk que lo contiene, lo cual está contemplado en el ELISTARA 12.88

Cuando lo pruebes nos ionformas del resultado, gracias

saludos

ms, 13-12-2006

quitus · Mensaje por **quitus** » 14 Dic 2006, 15:33

Hola, por fin un rato tranquilo para escribir!

Ayer noche ejecuté el Elistara a las 22:00 en modo seguro y se quedó colgado en la primera ventanita que sale (¿"Eliminando componentes" puede ser?).

Ejecuté el administrador de tareas y habia una carga de CPU que oscilaba entre el 92 y 98% pero el disco duro apenas hacia nada.

Lo he dejado toda la noche a ver que tal pero a las 6:30 de la mañana continuaba igual, con carga de CPU a tope pero si moverse de ahí.

Lo he parado.

¿Sabeis lo que haber pasado?

Saludos.

Mensaje por **msc hotline sat** » 14 Dic 2006, 15:56

Qie tienes el registro con maraña, y no se ha podido desenredar...

Copia el ELISTARA en la carpeta de sistema y arranca en modo seguro con solo sismboo de sistema y lo ejecutas con la opcion /SALTAREG :

ELISTARA /SALTAREG <ENTER>

asi saltara la exploracion del registro y podras proceder a la exploracion por cadenas sin que se encalle por los laberintos del registro.

No es usual, pero dado un 1 por mil de casos, hicinos oara ellos esta opcion, pues ordenadores PC hay millones, todos compatibles pero cada uno con su historia... ninguno igual !

saludos

ms, 14-12-2006

quitus · Mensaje por **quitus** » 14 Dic 2006, 16:30

Ms, muchas gracias por la rapidez de tus respuestas.

Esta noche pruebo lo que me has dicho.

El tener maraña en el registro afecta al rendimiento de la máquina, sólo en el arranque? Me temo que la respuesta sea que depende de lo que haya en el registro, no?

Saludos.

quitus · Mensaje por **quitus** » 14 Dic 2006, 22:18

Hola Ms, malas noticias.

He copiado el elistara en c:\windows, he arrancado en modo seguro con símbolo sistema y he ejecutado el elistara con /saltareg tal como me has indicado.

Pues bien, se ha vuelto a quedar "pajarito" mostrando la ventanita "eliminando complementarios", con una carga de CPU de 96-98% pero sin hacer nada, lleva así casi una hora.

¿Puedo hacer algo mas?

Saludos.

Mensaje por **msc hotline sat** » 15 Dic 2006, 07:22

Recuerda que se te dijo: "Copia el ELISTARA en la carpeta de sistema" y la de windows no es la de sistema, sino la que cuelga de ella con el nombre de SYSTEM32 en XP... para otra ocasion tenlo en cuenta

Si aun asi se ha ejecutado, el hecho de indicarle la opcion en cuestion ya no examina el registro, por lo que el problema puede estar ademas en ficheros, pues ahora el mensaje reza "eliminando complementarios", pasa antes una comprobacion de errores:

MIPC -> Boton derecho sobre Unidad C => PROPIEDADES => HERRAMIENTAS => COMPROBAR ERRORES

y tras ellos probar de nuevo lo de ELISTARA /SALTAREG

saludos

ms, 15-12-2006

quitus · Mensaje por **quitus** » 17 Dic 2006, 23:12

Hola Ms.

He pasado la comprobación de errores de disco y no hay ningún sector defectuoso.

He copiado el elistara en c:\Windows\system32 y lo he vuelto a ejecutar desde modo seguro con simbolo sistema y me ha pasado lo mismo, se queda colgado en "Eliminando complementarios" con la barra de progreso a tope, con gran carga de CPU pero sin mover disco ni nada de nada.

¿Se os ocurre alguna cosa mas?

Saludos.

Mensaje por **msc hotline sat** » 18 Dic 2006, 07:49

Pues posteanos log actual del HJT y trataremos de encontrar la anomalia

saludos

ms, 18-12-2006

quitus · Mensaje por **quitus** » 18 Dic 2006, 20:59

Hola Ms.

Adjunto el HJT actual. Solo decirte que ahora, cada vez que enciendo el PC se arranca el elistara y tengo que pararlo con el administrador de tareas porque se queda consumiendo 95-98% de CPU.

Saludos.

Logfile of HijackThis v1.99.1

Scan saved at 20:00:45, on 18/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Norton Internet Security\NISUM.EXE

C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

C:\WINDOWS\system32\MRTServ.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\essspk.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinStar] C:\WINDOWS\IEXPL0RE.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe

O4 - HKLM\..\Run: [SOUNDM] win32smd.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunOnce: [ReEXEc] C:\WINDOWS\system32\elistara.exe /SaltaReg

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\aelupsvc32.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\aelupsvc32.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2D74F9C2-E156-4267-AE73-1F011BFBEE93}: NameServer = 62.14.63.245,62.14.2.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{2D74F9C2-E156-4267-AE73-1F011BFBEE93}: NameServer = 62.14.63.245,62.14.2.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: IPicture - {D94D666A-0F7B-5892-A7E3-29340333F07E} - c:\archivos de programa\internet explorer\PLUGINS\IPictureEx.dll

O21 - SSODL: QQMusic - {E16A6111-85DD-4877-8E67-017B0193D359} - C:\WINDOWS\QQMusic.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\NISUM.EXE

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: Creative NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

Mensaje por **msc hotline sat** » 19 Dic 2006, 08:23

Ademas elimina estas claves:

O4 - HKLM\..\Run: [WinStar] C:\WINDOWS\IEXPL0RE.exe

y lanza el LPSFIX:

[url=http://www.zonavirus.com/descargas/lsp-fix.asp]~~[b]~~Descargar LSP-FIX[/b][/url]

· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp]~~[b]~~Manual LSP-FIx[/b][/url] (Español)

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 19-12-2006

quitus · Mensaje por **quitus** » 19 Dic 2006, 22:56

Hola Ms.

He hecho lo que me has indicado pero la clave eliminada vueve a aparecer al re-iniciar el PC.

Respecto al LSPFix te adjunto una imagen, aparece el aelups32 pero no me permite pasarlo a la lista para eliminar.

Además el Elistara se sigue ejecutando al iniciar el PC consumiendo practicamente toda la CPU impidiendo que termine de arrancar hasta que no lo paro desde el administrador de tareas.

Espero que me puedas ayudar.

Saludos.

Mensaje por **msc hotline sat** » 20 Dic 2006, 08:14

Lo del ELISTARA lo solucionartas ekliminabndo esta clave:

O4 - HKLM\..\RunOnce: [ReEXEc] C:\WINDOWS\system32\elistara.exe /SaltaReg

al parecer algo no se deja eliminar y reinsiste en el siguiente arranque...

No ejecutes mas el ELISTARA y pruebe con el LPSFIX indicado, por lo de las O10

saludos

ms, 20-12-2006

quitus · Mensaje por **quitus** » 20 Dic 2006, 09:07

Buenos dias.

Perdon pero no entiendo lo del LSP-Fix: ya lo he ejecutado incluso he adjuntado una imagen, no me deja meter el dichoso aelupsvc32.dll en la parte "Remove". No entiendo el comentario " por lo de las O10 ", lo siento, quizas es demasiao temprano.

Gracias por indicarme como quitar el elistara el arranque.

Saludos

Mensaje por **msc hotline sat** » 20 Dic 2006, 13:11

Tienes razon, falta ampliarlo

En el HJT hay items que identifican secciones o apartados, como supongo que habrás visto en el tutorial del HJT: https://foros.zonavirus.com/viewtopic.php?f=13&t=11007

En tu log, en el apartado de las O10 indica:

O10 - Unknown file in Winsock LSP: c:\windows\system32\aelupsvc32.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\aelupsvc32.dll

y relativo a estas dos claves, en el tutorial se indica:

[quote]
Sección O10

Esta sección corresponde a los Hijackers del Winsock, también conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu computadora. Desde que los LSPs están encadenados, cuando el Winsock es usado, los datos también son transportados a través de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet.

Extrema precauciones cuando borres estos objetos, si es removido sin el arreglo adecuado en la cadena, puedes llegar a perder tu acceso a Internet.

Ejemplo de la Lista O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing

Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cuál puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberías consultar a un experto cuando arregles estos errores. También puedes usar LSPFix para arreglar esto.

SpyBot generalmente puede arreglar esto pero asegúrate de que tienes la última versión, ya que las antiguas tienen problemas. También hay una herramienta diseñada para este tipo de ediciones que sea probablemente mejor usar, llamada LSPFix (http://www.cexx.org/lspfix.htm). Para una lista de LSP y saber si son o no válidas puedes visitar la Lista de LSP de Zupe (http://www.angeltowns.com/members/zupe/lsps.html).

[/quote]

Pues a eso me refería, pero no por la hora, pues cada día empiezo a las 4 A.M. sino presuponer que lo que hay en el foro ya es sabido (mucho suponer) lo obvié...

saludos

ms, 20-12-2006

quitus · Mensaje por **quitus** » 20 Dic 2006, 15:24

Hola Ms.

Lo de la coña de si era demasiado temprano iba por mi porque no entendia lo que me habias escrito, no por tí. Me pareceria una falta de respeto hacia una persona que me esta ayudando.

Lo cierto es que el tutorial del HJT ni me lo habia mirado.

Lo que si he hecho ha sido ejecutar el LSP-Fix pero no me deja eliminar ningún elemento, de este sí que he leido el manual pero claro, no me he atrevido a marcar la casilla "I know what I'm doing" porque realmente no es así.

Me puedes indicar si debo marcarla y así podré eliminar el aelupsvc32?

Debo eliminar las entradas O10 con el HJT? Si es así, antes o despues de ejecutar el LSP-Fix?

Lo siento, necesito instrucciones para monos.

Saludos.

intenta conectarse a Internet al arrancar(Adjunto Hijackthis

intenta conectarse a Internet al arrancar(Adjunto Hijackthis

Ya esta mandado.

Fracaso !!!

Malas noticias ...

Nada de nada ...

Estoy como al principio (o un poco peor)