Desde hace una semana se me abren paginas con un encabezamiento que pone CiD y la dirección de la pagina que se abre.
Ni el Elistara ni el Spybot me encuentran nada anormal. Las paginas que se abren van variando (pornografia, venta de tonos musicales, venta de antivirus,...
Espero vuestra ayuda.
Saludos.
Se me abren paginas con el encabezamiento CiD (SOLUCIONADO)
ves pasando el elistara en modo seguro y luego peganos el log que te dejara en C llamado infosat.txt. Ademas te recomiendo que tengas un buen antiespias si no es que tienes ya, te dejo el link del spybot y lo actualizas antes de pasarlo. Saludos.
http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp
http://www.zonavirus.com/descargas/elistara.asp
http://www.zonavirus.com/descargas/spybot-sd.asp
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
y posteanos log del HJT para darle una ojeada:
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, informaremos
saludos
ms, 4-03-2007
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, informaremos
saludos
ms, 4-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Logs de Elistara i de HijackThis
He arrancado el ordenador en modo seguro y he vuelto a pasar el elistara. Este es el log que ha generado:
Sun Mar 04 14:37:53 2007
EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Mar 04 14:37:57 2007
EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Tambien he pasado el Hijackthis y esta es la información generada:
Logfile of HijackThis v1.99.1
Scan saved at 14:47:56, on 04/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Power File Gold\pfile.exe
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe
E:\elistara.13032007.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL =http://www.urv.net/proxy/proxy-urv-pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VolPanel] "C:\Archivos de programa\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Archivos de programa\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Archivos de programa\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [TalkRun] "C:\Archivos de programa\NCH Swift Sound\Talk\talk.exe" -logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Registry Crawler] C:\ARCHIV~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Flaw Internet] C:\DOCUME~1\JOSEPM~1\DATOSD~1\COALBA~1\ANTI CHIN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} -http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} -http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139872336656
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} -https://aeat.es/imagenes/comun/cactivex.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} -http://www.creative.com/su/ocx/15021/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADS2005A - Macrovision Corporation - e:\ADS2005A\licenses\bin\lmgrd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: CST License Manager - Macrovision Corporation - C:\Archivos de programa\CST STUDIO SUITE 2006\License Manager\lmgrd.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - e:\altera\quartus60\win\JTAGServer.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: LicenseServ - Unknown owner - C:\LSERV4\lservnt.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SSH Tectia Server (SSHTectiaServer) - Unknown owner - C:\Archivos de programa\SSH Communications Security\SSH Tectia\SSH Tectia Server\ssh-server-g3.exe" --start-service (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe[b]Logs[/b]
Sun Mar 04 14:37:53 2007
EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Mar 04 14:37:57 2007
EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Tambien he pasado el Hijackthis y esta es la información generada:
Logfile of HijackThis v1.99.1
Scan saved at 14:47:56, on 04/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Power File Gold\pfile.exe
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe
E:\elistara.13032007.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VolPanel] "C:\Archivos de programa\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Archivos de programa\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Archivos de programa\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [TalkRun] "C:\Archivos de programa\NCH Swift Sound\Talk\talk.exe" -logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Registry Crawler] C:\ARCHIV~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Flaw Internet] C:\DOCUME~1\JOSEPM~1\DATOSD~1\COALBA~1\ANTI CHIN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} -
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} -
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADS2005A - Macrovision Corporation - e:\ADS2005A\licenses\bin\lmgrd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: CST License Manager - Macrovision Corporation - C:\Archivos de programa\CST STUDIO SUITE 2006\License Manager\lmgrd.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - e:\altera\quartus60\win\JTAGServer.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: LicenseServ - Unknown owner - C:\LSERV4\lservnt.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SSH Tectia Server (SSHTectiaServer) - Unknown owner - C:\Archivos de programa\SSH Communications Security\SSH Tectia\SSH Tectia Server\ssh-server-g3.exe" --start-service (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Envianos estos ficheros para analizar:
C:\Program Files\Power File Gold\pfile.exe
C:\Archivos de programa\NCH Swift Sound\Talk\talk.exe
C:\DOCUME~1\JOSEPM~1\DATOSD~1\COALBA~1\ANTI CHIN.exe
C:\LSERV4\lservnt.exe
y tras analizarlos informaremos
recordar:https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 5-03-2007
C:\Program Files\Power File Gold\pfile.exe
C:\Archivos de programa\NCH Swift Sound\Talk\talk.exe
C:\DOCUME~1\JOSEPM~1\DATOSD~1\COALBA~1\ANTI CHIN.exe
C:\LSERV4\lservnt.exe
y tras analizarlos informaremos
recordar:
saludos
ms, 5-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
[quote="lucl"]nota para msc: me llama la atencion que el tal[b]cidle sale a gente que usa el firefox , sera ese el detonante? saludos [/b] [/quote]
Utilizo indistintamente el Firefox y el Internet Explorer, pero las páginas con el encabezamiento CiD solo me aparecen cundo trabajo con el Internet Explorer.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Si, pero podría ser que la existencia del firefox tuviera algo que ver, como muy bien apunta lucl.
Como ya sabe, no damos soporte a dicho navegador, pero antes que proponer desinstalarlo, veamos los ficheros que le hemos pedido, los analizaremos e informaremos, esperando que en ellos encontremos la causa, y si no, aprovecharemos el apunte de lucl y veriamos si es causa del susodicho...
saludos
ms, 5-03-2007
Como ya sabe, no damos soporte a dicho navegador, pero antes que proponer desinstalarlo, veamos los ficheros que le hemos pedido, los analizaremos e informaremos, esperando que en ellos encontremos la causa, y si no, aprovecharemos el apunte de lucl y veriamos si es causa del susodicho...
saludos
ms, 5-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Bueno, pues en el examen previo al analisis del primero de los ficheros que nos ha enviado, ya se detecta Swizzor, aunque ni Kaspesky, ni McAfee, ni NOD32, ni otros antivirus lo detecten, segun puede verse en el analisis con VIRUSTOTAL:
Pues por ello pasamos a implementar su control y eliminacion en la nueva verison del ELISTARA de hoy 13.46 que estará disponible para evaluacion en esta web hoy a partir de 20 h GMT
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 5-03-2007
[quote]
ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "ANTI_CHIN.exe" que VirusTotal ha recibido el día 05.03.2007 a las 11:05:14 (CET).
Antivirus Version Actualización Resultado
AntiVir 7.3.1.38 05.03.2007 TR/Dldr.Swizzor.Gen
Authentium 4.93.8 04.03.2007 no ha encontrado virus
Avast 4.7.936.0 03.03.2007 no ha encontrado virus
AVG 7.5.0.447 04.03.2007 Downloader.Obfuskated
BitDefender 7.2 05.03.2007 Trojan.FatObfus.Gen
CAT-QuickHeal 9.00 05.03.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 05.03.2007 no ha encontrado virus
DrWeb 4.33 05.03.2007 no ha encontrado virus
eSafe 7.0.14.0 04.03.2007 no ha encontrado virus
eTrust-Vet 30.6.3455 05.03.2007 no ha encontrado virus
Ewido 4.0 05.03.2007 no ha encontrado virus
FileAdvisor 1 05.03.2007 no ha encontrado virus
Fortinet 2.85.0.0 05.03.2007 suspicious
F-Prot 4.3.1.45 04.03.2007 no ha encontrado virus
F-Secure 6.70.13030.0 05.03.2007 no ha encontrado virus
Ikarus T3.1.1.3 05.03.2007 no ha encontrado virus
Kaspersky 4.0.2.24 05.03.2007 no ha encontrado virus
McAfee 4975 02.03.2007 no ha encontrado virus
Microsoft 1.2204 05.03.2007 no ha encontrado virus
NOD32v2 2095 05.03.2007 no ha encontrado virus
Norman 5.80.02 02.03.2007 no ha encontrado virus
Panda 9.0.0.4 05.03.2007 Adware/Lop
Prevx1 V2 05.03.2007 Adware.Lop.Downloader
Sophos 4.14.0 03.03.2007 no ha encontrado virus
Sunbelt 2.2.907.0 01.03.2007 no ha encontrado virus
Symantec 10 05.03.2007 no ha encontrado virus
TheHacker 6.1.6.069 05.03.2007 no ha encontrado virus
UNA 1.83 02.03.2007 no ha encontrado virus
VBA32 3.11.2 03.03.2007 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.19:9 04.03.2007 Adware.Lop.Gen
Información adicional
Tamaño archivo: 441344 bytes
MD5: 609e245ec3d27e3225115b9f9b4db9d9
SHA1: 05ba75c72b350897b15cd9ff83d7459106b44b98[/quote]
Pues por ello pasamos a implementar su control y eliminacion en la nueva verison del ELISTARA de hoy 13.46 que estará disponible para evaluacion en esta web hoy a partir de 20 h GMT
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 5-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
LAFRANÇAISE
- Mensajes: 22
- Registrado: 01 Mar 2007, 19:41
[quote="msc hotline sat"]Si, pero podría ser que la existencia del firefox tuviera algo que ver, como muy bien apunta lucl.
Como ya sabe, no damos soporte a dicho navegador, pero antes que proponer desinstalarlo, veamos los ficheros que le hemos pedido, los analizaremos e informaremos, esperando que en ellos encontremos la causa, y si no, aprovecharemos el apunte de lucl y veriamos si es causa del susodicho...
saludos
ms, 5-03-2007[/quote]
Efectivamente, empezaron a aparecerme cuando instalé Firefox, por eso lo desinstalé, pero el problema sigue.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pero ya le hemos indicado que el ANTI_CHIN.exe es una variante del troyano SWIZZOR, controlado con el ELISTARA 13.46 que ya está disponible.
Descarguelo, pruebelo y nos postea el resultado:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 5-03-2007
Descarguelo, pruebelo y nos postea el resultado:
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 5-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
[quote="msc hotline sat"]Pero ya le hemos indicado que el ANTI_CHIN.exe es una variante del troyano SWIZZOR, controlado con el ELISTARA 13.46 que ya está disponible.
Descarguelo, pruebelo y nos postea el resultado:
ELISTARA:http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 5-03-2007[/quote]
Hola,
Con vuestras indicaciones y con la ayuda del ZoneAlarm Anti-Spyware (que he instalado esta tarde una versión de prueba) he descubierto que el problema reside en el fichero ANTI_CHIN.exe , que a su vez es llamado por otros ficheros (BOLD LONG.exe, BYTE LINK.exe, POKE BROWSE LONG.exe, WOCIVQSS.exe, QXDPRORH.exe) que les enviaré para su análisis.
Les envio el log generado por la nueva versión de Elistara:
Mon Mar 05 07:55:29 2007
EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Mon Mar 05 07:55:34 2007
EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\copSSH\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\copSSH\bin\USERACTIVATIONWIZARD.EXE --> AutoExtraible
C:\Archivos de programa\copSSH\bin\USERDEACTIVATIONWIZARD.EXE --> AutoExtraible
Mon Mar 05 20:09:30 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Mar 05 20:09:49 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\copSSH\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\copSSH\bin\USERACTIVATIONWIZARD.EXE --> AutoExtraible
C:\Archivos de programa\copSSH\bin\USERDEACTIVATIONWIZARD.EXE --> AutoExtraible
C:\Documents and Settings\Josep Maria Jornet\Datos de programa\Coal ball scr\ANTI CHIN.EXE --> Eliminado, Swizzor(lop)
C:\RECYCLER\NPROTECT\00006577.EXE --> Eliminado, Swizzor(lop)
Mon Mar 05 20:27:24 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\ADS2006A\tools\bin\COLRM.EXE --> Eliminado, Puper-Is
E:\ADS2006A\tools\bin_64\COLRM.EXE --> Eliminado, Puper-Is
E:\OMNeT++\UNINSTALL.EXE --> AutoExtraible
E:\RECYCLER\NPROTECT\00000000.EXE --> Eliminado, Puper-Is
E:\RECYCLER\NPROTECT\00000001.EXE --> Eliminado, Puper-Is
Mon Mar 05 20:41:51 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\\EWIDO-SETUP.EXE --> AutoExtraible
F:\vi\ANTI CHIN.EXE --> Eliminado, Swizzor(lop)
Mon Mar 05 20:48:53 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Mon Mar 05 21:29:14 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Mar 05 21:29:33 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\copSSH\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\copSSH\bin\USERACTIVATIONWIZARD.EXE --> AutoExtraible
C:\Archivos de programa\copSSH\bin\USERDEACTIVATIONWIZARD.EXE --> AutoExtraible
Mon Mar 05 21:45:25 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\OMNeT++\UNINSTALL.EXE --> AutoExtraible
Mon Mar 05 21:54:35 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\\EWIDO-SETUP.EXE --> AutoExtraible
F:\RECYCLER\NPROTECT\00000197.EXE --> Eliminado, Swizzor(lop)
Mon Mar 05 21:56:36 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Saludos.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues este ya ha sido eliminado de:
Mon Mar 05 20:41:51 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\\EWIDO-SETUP.EXE --> AutoExtraible
F:\vi\ANTI CHIN.EXE --> Eliminado, Swizzor(lop)
y hasta de la papelera !!!
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\\EWIDO-SETUP.EXE --> AutoExtraible
F:\RECYCLER\NPROTECT\00000197.EXE --> Eliminado, Swizzor(lop)
Y si al parecer tienes otras variantes, envianoslas y las analizaremos
saludos
ms, 6-03-2007
Mon Mar 05 20:41:51 2007
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\\EWIDO-SETUP.EXE --> AutoExtraible
F:\vi\ANTI CHIN.EXE --> Eliminado, Swizzor(lop)
y hasta de la papelera !!!
EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\\EWIDO-SETUP.EXE --> AutoExtraible
F:\RECYCLER\NPROTECT\00000197.EXE --> Eliminado, Swizzor(lop)
Y si al parecer tienes otras variantes, envianoslas y las analizaremos
saludos
ms, 6-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibidos 6 nuevas muestras, 5 son nuevas variantes del Swizzor que pasamos a controlar y eliminar con la nueva version 13.47 del ELISTARA de hoy, que subiremos para evaluacion en esta web a partird e las 20 h GMT y el ANTI CHIN.EXE es el mismo que ya eliminamos con el 13.46 de ayer
Tras probar la nueva version de hoy, comentenos el resultado, gracias
saludos
ms, 6-03-2007
Tras probar la nueva version de hoy, comentenos el resultado, gracias
saludos
ms, 6-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibidos 6 nuevas muestras, 5 son nuevas variantes del Swizzor que pasamos a controlar y eliminar con la nueva version 13.47 del ELISTARA de hoy, que subiremos para evaluacion en esta web a partird e las 20 h GMT y el ANTI CHIN.EXE es el mismo que ya eliminamos con el 13.46 de ayer
Tras probar la nueva version de hoy, comentenos el resultado, gracias
saludos
ms, 6-03-2007
Tras probar la nueva version de hoy, comentenos el resultado, gracias
saludos
ms, 6-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
[quote="msc hotline sat"]Recibidos 6 nuevas muestras, 5 son nuevas variantes del Swizzor que pasamos a controlar y eliminar con la nueva version 13.47 del ELISTARA de hoy, que subiremos para evaluacion en esta web a partird e las 20 h GMT y el ANTI CHIN.EXE es el mismo que ya eliminamos con el 13.46 de ayer
Tras probar la nueva version de hoy, comentenos el resultado, gracias
saludos
ms, 6-03-2007[/quote]
Acabo de pasar la nueva versión del ELISTARA y ya ha eliminado los ficheros sospechosos, tal como puede verse por el log que ha generado:
Tue Mar 06 20:08:38 2007
EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Mar 06 20:08:47 2007
EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\copSSH\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\copSSH\bin\USERACTIVATIONWIZARD.EXE --> AutoExtraible
C:\Archivos de programa\copSSH\bin\USERDEACTIVATIONWIZARD.EXE --> AutoExtraible
C:\Documents and Settings\All Users\Datos de programa\Idle second blah blue\BOLD LONG.EXE --> Eliminado, Swizzor(lop)
C:\Documents and Settings\All Users\Datos de programa\Idle second blah blue\BYTE LINK.EXE --> Eliminado, Swizzor(lop)
C:\Documents and Settings\Josep Maria Jornet\Datos de programa\Coal ball scr\POKE BROWSE LONG.EXE --> Eliminado, Swizzor(lop)
C:\Documents and Settings\Josep Maria Jornet\Datos de programa\Coal ball scr\QXDPRORH.EXE --> Eliminado, Swizzor(lop)
C:\Documents and Settings\Josep Maria Jornet\Datos de programa\Coal ball scr\WOCIVQSS.EXE --> Eliminado, Swizzor(lop)
Igualmente les envio el log que acabo de generar con el HIJACKTHIS, para que me indiquen que tengo que hacer:
Logfile of HijackThis v1.99.1
Scan saved at 20:27:42, on 06/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Power File Gold\pfile.exe
F:\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] "C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [LogitechCameraAssistant] "C:\Archivos de programa\Logitech\Video\CameraAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Registry Crawler] "C:\ARCHIV~1\RCrawler\RCrawler.exe" -TRAYONLY
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Flaw Internet] "C:\DOCUME~1\JOSEPM~1\DATOSD~1\COALBA~1\ANTI CHIN.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} -
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) -
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} -
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Openssh SSHD (copSSHD) - Unknown owner - C:\Archivos de programa\copSSH\bin\cygrunsrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
CREO que estamos ya en la fase final y les estoy muy agradecido por su interés.
Esperando su respuesta reciban un cordial saludo.
Para rematar desinstala 2 anti-spyware, por que tienes 3 de solo uno que deberia estar instalado. Tienes el SPYBOT, AVG ANTI-SPYWARE Y EL SUPER-ANTISPYWARE. De esos deja uno.
Y tienes esta entrada:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL =http://www.urv.net/proxy/proxy-urv-pac
Si la desconoces borrala, pero al parecer es basura, ya que la pagina no existe.
Y tienes esta entrada:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL =
Si la desconoces borrala, pero al parecer es basura, ya que la pagina no existe.
[DJ eXploit]
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues elimina tambien esta clave para eliminar restos :
O4 - HKCU\..\Run: [Flaw Internet] "C:\DOCUME~1\JOSEPM~1\DATOSD~1\COALBA~1\ANTI CHIN.exe"
aparte de la otra clave que te indicó nuker
y tras reiniciar mira si persiste alguna anomalía y nos lo cuentas en cualquier caso, para obrar en consecuencia.
saludos
ms, 7-03-2007
O4 - HKCU\..\Run: [Flaw Internet] "C:\DOCUME~1\JOSEPM~1\DATOSD~1\COALBA~1\ANTI CHIN.exe"
aparte de la otra clave que te indicó nuker
y tras reiniciar mira si persiste alguna anomalía y nos lo cuentas en cualquier caso, para obrar en consecuencia.
saludos
ms, 7-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
[quote="msc hotline sat"]Pues elimina tambien esta clave para eliminar restos :
O4 - HKCU\..\Run: [Flaw Internet] "C:\DOCUME~1\JOSEPM~1\DATOSD~1\COALBA~1\ANTI CHIN.exe"
aparte de la otra clave que te indicó nuker
y tras reiniciar mira si persiste alguna anomalía y nos lo cuentas en cualquier caso, para obrar en consecuencia.
saludos
ms, 7-03-2007[/quote]
Hola,
He hecho todo lo que me habeis dicho y ya no tengo ningún problema con el internet explorer. Ya no me salen páginas con el encabezamiento CiD y puedo navegar tranquilamente.
Gracias, una vez más, por vuestra ayuda.
Saludos.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
[img]Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 08-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online