sansujo y netster (SOLUCIONADO)

Allan · Mensaje por **Allan** » 15 Feb 2007, 16:35

Hola, desde hace unos dias mi explorer me redirige solo a una web llamada sansujo y otra netster, ademas de salirme todo tipo de popups de publicidad, a ver si me podeis echar una mano,

este es el log,

muchas gracias a todos.

Logfile of HijackThis v1.99.1

Scan saved at 15:26:38, on 15/02/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\IBM\SQLLIB\BIN\db2jds.exe

C:\IBM\SQLLIB\BIN\db2sec.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe

C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

C:\Archivos de programa\Panda Software\AVTC\pavsrv50.exe

C:\WINNT\system32\HPZipm12.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Panda Software\AVTC\AVENGINE.EXE

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\TortoiseSVN\bin\TSVNCache.exe

C:\WINNT\System32\keyhook.exe

C:\WINNT\SOUNDMAN.EXE

C:\Archivos de programa\Panda Software\AVTC\ClShield.exe

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Java\j2re1.4.2_12\bin\jusched.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\Panda Software\AVTC\SRVLOAD.EXE

c:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Panda Software\AVTC\WebProxy.exe

C:\WINNT\system32\wuauclt.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\JetBrains\IntelliJ IDEA 5.0\bin\idea.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\cdiaz\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2D86128A-F318-A748-A871-09AFA0430634} - C:\WINNT\system32\sciekad.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\googletoolbar5.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\googletoolbar5.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINNT\System32\keyhook.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\AVTC\ClShield.exe"

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] "c:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_12\bin\jusched.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Nord] C:\WINNT\system32\nordsys.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Startup: VirtualExpander.lnk = C:\WINNT\system32\VirtualExpander\VirtualExpander.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Archivos de programa\Altova\XMLSpy2006\spy.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Archivos de programa\Altova\XMLSpy2006\spy.htm

O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Archivos de programa\Altova\XMLSpy2006\spy.htm

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O23 - Service: Servidor de applet JDBC de DB2 (DB2JDS) - International Business Machines Corporation - C:\IBM\SQLLIB\BIN\db2jds.exe

O23 - Service: DB2 Management Service (ToadEval) (DB2MGMTSVC_ToadEval) - International Business Machines Corporation - C:\Archivos de programa\Quest Software\Toad for DB2 Trial 2.0\DB2 Client\BIN\db2mgmtsvc.exe

O23 - Service: Servidor de seguridad DB2 (DB2NTSECSERVER) - International Business Machines Corporation - C:\IBM\SQLLIB\BIN\db2sec.exe

O23 - Service: DB2 Security Server (ToadEval) (DB2NTSECSERVER_ToadEval) - International Business Machines Corporation - C:\Archivos de programa\Quest Software\Toad for DB2 Trial 2.0\DB2 Client\BIN\db2sec.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IBM WebSphere Application Server V6 - cdiazNode01 (IBMWAS6Service - cdiazNode01) - Unknown owner - C:\IBM\WebSphere\AppServer\bin\wasservice.exe" "IBMWAS6Service - cdiazNode01 (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe

O23 - Service: Panda ClientShield (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\AVTC\pavsrv50.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Mensaje por **lucl** » 15 Feb 2007, 16:38

pasate el elistara en modo seguro y peganos el log que te dejara en c llamado infosat.txt saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

http://www.zonavirus.com/descargas/elistara.asp

Allan · Mensaje por **Allan** » 15 Feb 2007, 17:16

gracias, este el el log de EliStart:

Thu Feb 15 15:51:49 2007

EliStartPage v13.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

C:\Documents and Settings\cdiaz\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "Nord"="C:\WINNT\system32\nordsys.exe"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 15 15:55:05 2007

EliStartPage v13.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\JetBrains\IntelliJ IDEA 5.0\bin\UNINSTALL.EXE --> AutoExtraible

Mensaje por **msc hotline sat** » 15 Feb 2007, 17:26

Eliminar estas claves:

O2 - BHO: (no name) - {2D86128A-F318-A748-A871-09AFA0430634} - C:\WINNT\system32\sciekad.dll

O4 - HKCU\..\Run: [Nord] C:\WINNT\system32\nordsys.exe

y envianos los ficheros respectivos para analizar:

C:\WINNT\system32\sciekad.dll

C:\WINNT\system32\nordsys.exe

y estas dos no las conocemos, pero...

O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Archivos de programa\Altova\XMLSpy2006\spy.htm

O23 - Service: IBM WebSphere Application Server V6 - cdiazNode01 (IBMWAS6Service - cdiazNode01) - Unknown owner - C:\IBM\WebSphere\AppServer\bin\wasservice.exe" "IBMWAS6Service - cdiazNode01 (file missing)

Dinos si sabes lo que son...

recuerda: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 15-02-2007

Allan · Mensaje por **Allan** » 15 Feb 2007, 17:30

ok,

las dos ultimas si las conozco, una es un editor de XML (XMLSpy) y la otra es un servidor de aplicaciones de IBM

borrare las otras, gracias!

Mensaje por **msc hotline sat** » 15 Feb 2007, 17:33

Pues dejalas estar y haz lo priemro que indicabamos, y aparte de enviar las muestras, tras reiniciar informanos del resultado, gracias

saludos

ms, 15-02-2007

Allan · Mensaje por **Allan** » 15 Feb 2007, 18:20

ya esta,

me parece que al eliminar las claves he debido de eliminar tambien los ficheros C:\WINNT\system32\sciekad.dll y

C:\WINNT\system32\nordsys.exe, porque ya no los encuentro...

De todas formas parace que ha funcionado, de momento todo el rato que he navegado no me ha redireccionado a ningun sitio,

asi que de momento todo ok, muchisimas gracias!

Un saludo.

Mensaje por **msc hotline sat** » 15 Feb 2007, 18:39

Mira que no estén ocultos:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

saludos

ms, 15-02-2007

Mensaje por **lucl** » 15 Feb 2007, 21:12

y actualizate el pc que

~~[b]~~No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto. [/b]

y eso les gusta mucho a los virus , spam y demas fauna :roll:

saludos

Allan · Mensaje por **Allan** » 16 Feb 2007, 11:01

Ok,

ha pasado un dia de prueba y no hay ningun problema, muchas gracias a todos.

Un saludo.

Mensaje por **msc hotline sat** » 16 Feb 2007, 11:07

Recuertda actualizar los parches...

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 16-02-2007