lo he intentado todo (SOLUCIONADO)

[franjuan]

Hola,



Desde que formatee el ordenador tengo problemas con la conexion, va un poco lenta, y hay paginas que no se llegan a abrir, el Search and Destroy, el Adware SE, y otros antitroyanos no han encontrado nada extraño.

He leido que este programa, HijackThis es bueno para encontrar lo que otros no consiguen, a continuacion le pongo lo que me sale en el log:



Logfile of HijackThis v1.99.1

Scan saved at 18:00:35, on 03/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\Mixer.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Documents and Settings\Sobrino Plata\Escritorio\hijackthis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1589cfda1f2ae5998b10e1d2e9577d7b\update\update.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.orange.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F3 - REG:win.ini: run=

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [TEAM SOFT NAME PILE] C:\Documents and Settings\All Users\Datos de programa\Body Safe Team Soft\Coal surf.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Espero que puedan ayudarme porque me estoy volviendo loco, muchas gracias

[Nuker]

Fix Checked a estas en Modo Seguro:



1-R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home



2-F3 - REG:win.ini: run=



Aparte envianos muestra de estos ficheros:



C:\WINDOWS\SoftwareDistribution\Download\[b]S-1-5-18[/b]



Como Enviar ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Y pruebate ELISTARA en Modo Seguro tambien, al terminar el escaneo regresate a Modo Normal y busca este fichero: C:/infosat.txt, copia su contenido y pegalo aqui.



ELISTARA: http://www.zonavirus.com/descargas/elistara.asp

[franjuan]

A continuacion pego lo que pone en el archivo c:/infosat.txt





Sun Mar 04 16:47:07 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD



Sun Mar 04 16:49:20 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Mar 04 17:01:58 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Programas\NPP.3.9.INSTALLER.EXE --> AutoExtraible

D:\Programas\SLSK155.EXE --> AutoExtraible

D:\Programas\SLSK156C.EXE --> AutoExtraible



El mail con la copia del archivo pedido no me deja mandarlo aunque lo haya convertido a RAR con el antivirus desconectado, seguire intentando de todas formas



Muchas gracias

[Nuker]

Recuerda encriptar el paquete con la contraseña "VIRUS" asi no te lo interceptara. Saludos.

[msc hotline sat]

Recibido el fichero muestra, que resulta no ser mas que una parte de un update de un parche de microsoft:



C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1589cfda1f2ae5998b10e1d2e9577d7b\update\update.exe (version 6.1.22.4)



_______



para nuker:

realmente el fichero que lanza es el update.exe, lo de 5-1-5-18 es solo una carpeta, pero en cualquier caso no es propio de virus

________



Vea si tras eliminar las claves indicadas y reiniciar persiste algun problema y nos lo indica , y en cualquier caso nos comenta el resultado



saludos



ms, 5-03-2007

[franjuan]

Todavia seguimos teniendo problemas con la conexion, sigue lenta y ademas no podemos descargar archivos ni adjuntarlos, para mandarles el archivo de muestra he tenido que utilizar otro ordenador.

[msc hotline sat]

Pues si anularon esta clave:



F3 - REG:win.ini: run=





Solo nos queda por pedirles muestra de este otro fichero sospechoso:





C:\Documents and Settings\All Users\Datos de programa\Body Safe Team Soft\Coal surf.exe





recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334





Tras analizarla, informaremos, pero si no encontramos nada raro, deberemos considerar que es por utilizar firefox, para el cual no desarrollamos utilidades ni damos soporte, solo para el standar, I.E. que es el que usan la inmensa mayoria de nuestros asociados.



saludos



ms, 6-03-2007

[franjuan]

Pues ya mandé el archivo pedido, el registro que me indicó ya se eliminó. El explorador que utilizamos no es siempre firefox, tb IE y pasa lo mismo, ¿es posible que no sea un bicho y que sea otro problema totalmente diferente?.

[msc hotline sat]

Analizada la muestra recibida, ha resultado ser un swizzor que ya controlamos con la version actual del ELISTARA 13.48





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







Pruebalo y nos comentas el resultado, gracias



saludos



ms, 8-03-2006

[franjuan]

He realizado el escaneo con la nueva version de elistara y ha encontrado 3 archivos infectados que ha eliminado, cuando he vuelto a modo normal no he visto que había escrito la información a continuación del mensaje de la vez anterior y pensando que lo que había pasado es que se conservaba el texto del análisis del otro día, lo he borrado. Ha sido una torpeza por mi parte. Luego he vuelto a hacer otro escaneo, no sé si servirá de algo:





Thu Mar 08 23:38:09 2007

EliStartPage v13.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Mar 08 23:39:00 2007

EliStartPage v13.49 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[Nuker]

Pues ahora si comentenos ud si ya nota nuevos cambios en su PC...

[msc hotline sat]

Hubiera sido importante ver el informe correspondiente a la deteccion y eliminacion de los ficheros, pero si dice que lo borró... entendemos que en ellos se veía que quedaba solucionado el problema, y lo damos por solucionado, y mas cuanto ya no indica detectar nada el actual ELISTARA





saludos



ms, 9-03-2007

[franjuan]

Seguimos con el mismo problema, seguramente sea un problema del pc que no tenga que ver con bichos. De todas formas agradecemos mucho la ayuda prestada y, por favor, disculpen las molestias.

Saludos

[msc hotline sat]

Pues pruebe estas dos AV ONLINE, el primero de ficheros y el segundo de memoria, este ultimo solo tarda 1 minuto, y si cualquiera de los dos le detecta alguna anomalia, diganoslo y obraremos en consecuencia:



URL=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/URL]



[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]



saludos



ms, 10-03-2007

[franjuan]

Ya está, muchas gracias, no sé con cuál fue pero se solucionó el problema con uno de los dos análisis de los virus on line que nos recomendó. Estamos muy agradecidos por toda la ayuda y, una vez más, nos disculpamos por las molestias.



Un saludo

[lucl]

No ha sido ninguna molestia, nos alegramos se haya solucionado , volved cuando querais, saludos

[msc hotline sat]

Pues debió ser el primer analisis, porque el segundo no limpia, solo informa si encuentra algo en memoria.





[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 25-03-2007

[msc hotline sat]

nota postcierre, aun ya estando solucionado, para el historico del caso


[quote="msc hotline sat"]Aparte, paso informacion recibida ultimamente:


[quote]Pero a partir de ahora, a todos los afectados por el CiD, lo primero será tratar de desinstalar el programa desde Inicio -> Panel de Control -> Agregar o Quitar programas , luego pasar el ELISTARA y por ultimo y en modo seguro, lanzar el HJT y postearnos el log resultante.
[/quote]

saludos



ms, 4-04-2007[/quote]