BLOQUEO DE WEBS EN ARABE (ISU URL y proxy) (SOLUCIONADO)

Orethen · Mensaje por **Orethen** » 12 Feb 2007, 01:08

Hola y gracias de antemano.

Bueno, mi problema es el siguiente! Hace unos dias instale en mi pc el hide ip platinium, y de buenas a primeras, en mi navegador(mozilla firefox) aparecia el bloqueo de algunas paginas ( newpct.com entre otras) desinstale el prgorama para ver si ese era el problema, pero sigue =. El caso esque la pagina que m sale, hay algunas cosas en arabe y no se que hacer! Aki les dejo lo que m sale!

-------(LETRAS EN ARABE)-------

Access to the requested URL is not allowed!

-------(LETRAS EN ARABE)-------

Please, fill out the form below if you believe the requested page should not be blocked:

Form for URL unblocking request

-------(LETRAS EN ARABE)-------

Please, send other sites you feel should be blocked using the following form:

Blocking Request Form

This page was generated by cache6.jed.isu.net.sa on Sun, 11 Feb 2007 05:15:21 GMT

Si algun alma caritativa sabria explikarme como solucionar este problema le daria mil gracias!

espero respuesta xfavoe :D

Salu2!

Aqui dejo mi Logfile de HijackThis despues de haber limpiado mi registro...

Logfile of HijackThis v1.99.1

Scan saved at 2:26:24, on 11/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\XP\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 212.138.64.142:8000

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BAEAFF3-5EA5-4E7E-82E0-1680897DE21A}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Salu2 y asias de new~~[b]~~[/b]~~[b]~~[u] :!: [/u][/b]~~[b]~~[/b]

Nuker · Mensaje por **Nuker** » 12 Feb 2007, 01:13

FIX CHECKED A ESTA EN MODO SEGURO:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 212.138.64.142:8000

Al parecer es un proxy falso o anonimo, eliminala y comentanos resultado.

Orethen · Mensaje por **Orethen** » 12 Feb 2007, 01:50

elimine esa entrada pero sigue = las paginas siguen stando blokeadas! elimino la entrada, vuelvo a eskanear con hihackthis y no me aparece,me meto en http://www.newpct.com x ejemplo, no m deja entar! vuelvo a eskanear y m vuelve a aparecer esa dixosa entrada

asias x la respuesta!

salu2

Nuker · Mensaje por **Nuker** » 12 Feb 2007, 01:55

Pasate ELISTARA en modo seguro, te generara un log en unidad c, abres un bloc de notas con nombre infosat.txt copia contenido y pegalo aqui...

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

modo seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Nuker · Mensaje por **Nuker** » 12 Feb 2007, 02:07

Y tengo entendido que el IP platinum es un ocultador de IP's yo mismo tenia uno, el (HIDE IP). Lo que hacen estos programas es agarrar tu IP y ocultarla sacando una falsa, en este caso una de Arabia Saudita, es muy probable que se haya quedado con esa configuracion y tu IP siga oculta.

Verificalo en: http://whatsmyip.org/

Y checa que concuerde con esta de aca.

Inicio/Ejecutar/escribes "cmd" sin comillas/y de ahi escribe en MS-DOS (ipconfig) sin corchetes. Y ve donde dice direccion IP y concuerdala con la que dice en la pagina de internet.

Mensaje por **msc hotline sat** » 12 Feb 2007, 06:42

Ojo Nuker !

La IP que se obtiene ejecutando un IPCONFIG es la de intranet, esto es, tu IP privada, la de tu puerta de enlace, no la IP publica con la que sales a Internet y es la que se muestra en http://whatsmyip.org/

Nunca van a coincidir !!!

Y efectivamente este usuario está haciendo proxy y sale con una IP de Arabia Saudita, por lo que conviene revise la clave en cuestion, no sea que persista y sea la causa del problema.

Lance de nuevo el HJT y vea si ya no existe la clave del proxy.

Y nos informa del resultado, gracias

saludos

ms, 12.02-2007

Nota: informacion sobre la direccion del proxy que utiliza:

212.138.64.142 SA Saudi Arabia 10 Ar Riyad Riyadh 24.6408 46.7728 Saudi Network Information Center, ISU Internet Service Unit ISU

saludos

ms, 12-02-2007

Orethen · Mensaje por **Orethen** » 12 Feb 2007, 17:42

bueno pues aki esta el infosat de EliStartPage:

Mon Feb 12 15:09:35 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SAREMOVE.EXE.Muestra EliStartPage v13.30

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ACCOONA\SAREMOVE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v13.30

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SERVICE\SERVICES.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SERVICE\SERVICE.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 12 15:23:09 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Carpeta "%WinSys%\Service"

Mon Feb 12 15:23:24 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Room Arranger\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Valve\Steam\SteamApps\ormuz\counter-strike source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\XP Codec Pack\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\XP\Mis documentos\Mis descargas\ROOARR391.EXE --> AutoExtraible

C:\WINDOWS\Downloaded Program Files\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.6\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

volvi a pasar el hihackthis y aki les dejo el logfile! sigue apareciendo esa entrada:@:

Logfile of HijackThis v1.99.1

Scan saved at 15:40:21, on 12/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\devldr32.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\XP\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.138.64.142:8000

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BAEAFF3-5EA5-4E7E-82E0-1680897DE21A}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ademas compare las ips! y no, no coincide!

Muxisimias gracias x vuestra colaboracion se agradece muxo!

Xfavor si pudierais dar con la solucion les estaria el doble de agradecido!

espero respuesta salu2

MrKogoyo · Mensaje por **MrKogoyo** » 12 Feb 2007, 17:58

Pues como te indica el log Envia estos ficheros:

[quote]Por favor, envienos una muestra del fichero

C:\Muestras\SAREMOVE.EXE.Muestra EliStartPage v13.30 [/quote]

[quote]Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v13.30[/quote]
~~[b]~~

¿COMO ENVIAR?[/b]

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

~~[b]~~Slds. ¡¡

MrKogoyo.[/b]

Orethen · Mensaje por **Orethen** » 12 Feb 2007, 18:18

ya envie! ahora esperar de new! asias

salu2

Nuker · Mensaje por **Nuker** » 12 Feb 2007, 19:29

Pero los virus detectados ya estan fuera de circulacion como bien me explico MSC.. solo estan en cuarentena, las muestras que envies se implementaran para limpiar restos...

Otra cosa, desinstalaste por completo el IP Platinum ?? Verificalo y usa esta herramienta por si hubieran quedado rastros en el registro...

[u]BUSCAREG[/u]:

http://www.zonavirus.com/descargas/buscareg.asp

Abrelo y busca IP platinum, o bien busca Platinum, si te salen algunas del programa haz doble click sobre ellas y te dara la opcion de borrarlas.. ya nos comentaras... Y sigue intentando en modo seguro borrar la clave del HJT, algunas veces se resisten...

Mensaje por **msc hotline sat** » 12 Feb 2007, 20:32

Y mañana (ahora SATINFO ya está cerrado) se analizaran las muestras que se reciban...

saludos

ms, 12-02-2007

Mensaje por **msc hotline sat** » 13 Feb 2007, 12:09

Analizadas las muestras, el SAREMOVE.EXE es un adware que pasa a ser controlado por la nueva version de hoy del ELISTARA 13.32

y el SERVICES.EXE está en proceso en estos momentos, ya informaremos aqui mismo

Pues eguimos dando cuenta del examen de este EXPLORER.EXE: No es un EXE sino un HTML de AOL indicando no encontrar una pagina. No es vírico pero se considera basura a eliminar.

Con el ELISTARA ya se ha eliminado de su carpeta y queda en c:\muestras, aparcado fuera de uso.

saludos

ms, 13-02-2007

Orethen · Mensaje por **Orethen** » 13 Feb 2007, 16:27

ms hotline! no he entendido del todo tu respuesta! lo siento por ser medio ignorante en esto pero...¿ que es lo k tengo k hacer aora?:(

salu2 y muxisimas asias de nuevo :cry:

Mensaje por **msc hotline sat** » 13 Feb 2007, 16:33

Tal como decimos

"Analizadas las muestras, el SAREMOVE.EXE es un adware que pasa a ser controlado por la nueva version de hoy del ELISTARA 13.32 "

Pues a partir de las 20 h te bajas la nueva version del ELISTARA (con el mismo link que usastes) y tras guardarla, la pruebas y luego tras reiniciar, nos posteas el contenido de c:\infosat.txt para comprobar que se haya eliminado satisfactoriamente

Y si ya no persiste ninguna anomalía, nos lo indicas para procveder a considerar solucionado el Tema

saludos

ms, 12-02-2007

Orethen · Mensaje por **Orethen** » 13 Feb 2007, 16:51

okis! muxas asias hotline :D

Orethen · Mensaje por **Orethen** » 14 Feb 2007, 02:22

aki teneis de nuevo el log de elistara con esa nueva version!

el problemas persiste, sigo sin acceso a diversas paginas! probe con el buscareg y no enkuentra nada!

aki el log:

Mon Feb 12 15:09:35 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SAREMOVE.EXE.Muestra EliStartPage v13.30

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ACCOONA\SAREMOVE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v13.30

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SERVICE\SERVICES.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SERVICE\SERVICE.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 12 15:23:09 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Carpeta "%WinSys%\Service"

Mon Feb 12 15:23:24 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Room Arranger\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Valve\Steam\SteamApps\ormuz\counter-strike source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\XP Codec Pack\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\XP\Mis documentos\Mis descargas\ROOARR391.EXE --> AutoExtraible

C:\WINDOWS\Downloaded Program Files\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.6\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

Wed Feb 14 00:00:15 2007

EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Carpeta "%Archivos de Programa%\Accoona"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 14 00:00:47 2007

EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Room Arranger\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\XP Codec Pack\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\XP\Mis documentos\Mis descargas\ROOARR391.EXE --> AutoExtraible

C:\Muestras\SAREMOVE.EXE.MUESTRA ELISTARTPAGE V13.30 --> Eliminado, Accoona

Wed Feb 14 00:13:03 2007

EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 14 00:13:13 2007

EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Room Arranger\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\XP Codec Pack\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\XP\Mis documentos\Mis descargas\ROOARR391.EXE --> AutoExtraible

aver si aora se soluciona!

:(

muxisimas gracias de nuevo y sald2

Mensaje por **msc hotline sat** » 14 Feb 2007, 13:27

Pues el malware ha sido eliminado:

C:\Muestras\SAREMOVE.EXE.MUESTRA ELISTARTPAGE V13.30 --> Eliminado, Accoona

Si persiste el problema, posteenos de nuevo el log del HJT, pero arrancando en modo seguro, no sea que haya algun rootkit que oculte claves y procesos...

Y se supone que ya quitó la clave del proxy, como le decíamos ...

a la vista del log, informaremos

saludos

ms, 14-02-2007

Orethen · Mensaje por **Orethen** » 14 Feb 2007, 16:29

pase el hihackthis de nuevo en modo seguro y di en fixchecked sobre sobre las 4 primeras entradas q me aparecian! el problema sigue!

Logfile of HijackThis v1.99.1

Scan saved at 13:10:52, on 14/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\XP\Escritorio\Malware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

gracias de new! salu2

Mensaje por **msc hotline sat** » 14 Feb 2007, 16:58

Solo se le indicó que hiciera fix en :

FIX CHECKED A ESTA EN MODO SEGURO:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 212.138.64.142:8000

y ahora dice:

"pase el hihackthis de nuevo en modo seguro y di en fixchecked sobre sobre las 4 primeras entradas q me aparecian! el problema sigue!"

???

No sé en verdad lo que hizo, pero si no hace lo que se le dice, puede ser peor el remedio que la enfermedad ...

Expliquenos qué es lo que eliminó, gracias

saludos

ms, 14-02-2007

Orethen · Mensaje por **Orethen** » 14 Feb 2007, 18:05

ise fixchecked sobre estas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

y aora no m vengan a dsir que el problema esta x eliminar eso xk ya me pego un tiro...

salu2

Mensaje por **msc hotline sat** » 14 Feb 2007, 18:18

Pues si lo hizo a su criterio, podía haberse cargado el windows...

afortunadamente tuvo suerte!

y como que el otro fichero muestra no era realmente un EXE sino un HTML, pagina de error de AOL, el log está limpio y por nuestra parte eliminados los virus y troyanos ya lo que le hizo por utilizar un proxy de arabia saudita, es algo que los de aquel servidor quizas saben.

Pida explicaciones a quien le aconsejó hacer proxy y salir a traves de aquel servidor...

Por nuestra parte damos el Tema por solucionado y procedemos a cerrarlo

saludos

ms, 14-02-2007