Se me abren continuamente paginas de internet (SOLUCIONADO)

xaica · Mensaje por **xaica** » 10 Abr 2007, 19:59

Hola amigos,de nuevo necesito vuestra ayuda :oops: ,llevo unos dias que continuamente se me abren paginas de internet sin venir a cuento,la principio era de vez en cuando pero ahora es continuo y muy molesto,pase el antivirus ,me detecto uno y lo elimino y el ad aware tb detecto un troyano y lo elimino ,pero el problema sigue igual,la apgina que mas se abre es la de drivecleaner,me dice que tengo 284 virus y que acepte una ventana si deseo eliminarlos,le doy a acancelar pero aun asi intenta descargar algo en mi pc,cancelo de nuevo pero sigue abriendose hasta el infinito,podeis ayudarme,espero no estar abusando mucho :oops: ya que es la tercera vez que os lanzo un help :wink:

Os dejo el log de hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 18:59:34, on 10/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\ATK0100\HControl.exe

c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\stsystra.exe

C:\Archivos de programa\ASUS\ATK Media\DMEDIA.EXE

C:\Archivos de programa\ASUSTek\ASUSDVD\PDVDServ.exe

C:\Archivos de programa\ASUS\Power4 Gear\BatteryLife.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\ASUS\Splendid\ACMON.exe

C:\ARCHIV~1\SCROLL~1\MouseElf.EXE

C:\Archivos de programa\Wireless Console 2\wcourier.exe

C:\WINDOWS\system32\ACEngSvr.exe

C:\Archivos de programa\ScrollMate Mouse\EMouse.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\acovcnt.exe

C:\ARCHIV~1\Intel\Wireless\Bin\Dot1XCfg.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\ramos\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe

O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [ATKMEDIA] C:\Archivos de programa\ASUS\ATK Media\DMEDIA.EXE

O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\ASUSTek\ASUSDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Power_Gear] C:\Archivos de programa\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] "C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe"

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Acmon] C:\Archivos de programa\ASUS\Splendid\ACMON.exe

O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\SCROLL~1\MouseElf.EXE

O4 - HKLM\..\Run: [Wireless Console 2] C:\Archivos de programa\Wireless Console 2\wcourier.exe

O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\nagnnavo.dll",setvm

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

Gracias de antemano

Mensaje por **msc hotline sat** » 10 Abr 2007, 20:25

Tienes claves de symantec simultaneamente con las de Avast. Desinstala uno de los dos, o elimina restos del que no uses.

Envianos este fichero para analizar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

C:\WINDOWS\system32\nagnnavo.dll

recuerda:

y prueba el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/EliStarA.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 10-04-2007

xaica · Mensaje por **xaica** » 10 Abr 2007, 21:14

Ok,te acabo de mandar la muestra,tengo pequeña duda....veras cuando bajo el elistara entonces el hijackthis me dice que encuentra un error y que ha de cerrarse ademas el avast me lo detecta como troyano win32:Small-CPR[TRJ],esto no es muy normal no?

Si no es mucho pedir me puedes decir como eliminar los restos de Symantec porque no se como hacerlo :oops:

DEjo lo que me pedias:

Tue Apr 10 20:24:12 2007

EliStartPage v13.71 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTUTU]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTU.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\CBXUUVU.DLL.Muestra EliStartPage v13.71

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\CBXUUVU.DLL --> Acceso Denegado.

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Apr 10 20:25:18 2007

EliStartPage v13.71 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Tue Apr 10 20:30:38 2007

EliStartPage v13.71 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTUTU]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTU.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\CBXUUVU.DLL.Muestra EliStartPage v13.71

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\CBXUUVU.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Apr 10 20:30:46 2007

EliStartPage v13.71 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.04.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\cbxuuvu.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\cbxuuvu"

Desinstalado EliNotif.dll

Tue Apr 10 20:38:05 2007

EliStartPage v13.71 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTUTU]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTU.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Apr 10 20:38:15 2007

EliStartPage v13.71 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Gracias

Nuker · Mensaje por **Nuker** » 10 Abr 2007, 22:08

Y envie muestra tambien de este fichero que le pide el Elistara:

C:\WinLogon\~~[b]~~VTUTU.DLL[/b]

Saludos y espere resultados del analisis.

Atendido a las 2:15 p.m. (Hora México) 10/04/07

xaica · Mensaje por **xaica** » 10 Abr 2007, 22:55

Gracias Nuker,envio esa muestra tb

saludos,quedo a la espera :wink:

Mensaje por **msc hotline sat** » 11 Abr 2007, 09:01

Y la deteccion del ELISTARA por el AVAST es un falso positivo, pero descarguelo y lancelo desactivando el antivirus.

Sepa que todas nuestras utilidades estan protegidas por checksum y que si se infectaran, detectarian estarlo y no funcionarian

saludos

ms, 11-04-2007

xaica · Mensaje por **xaica** » 11 Abr 2007, 09:11

OK, desactivare la proteccion del avast,muchas gracias

Mensaje por **msc hotline sat** » 11 Abr 2007, 10:38

Recibidas muestras, entran en proceso

saludos

ms. 11-04-2007

Mensaje por **msc hotline sat** » 11 Abr 2007, 11:18

Ls muestras reportadas son variantes de VUNDOs conocidos y de uno nuevo, todos los cuales pasan a ser controlados y eliminados con la version del ELISTARA 13.72 de hoy y que estara disponible en esta web, para pruebas de evaluacion del foro de zonavirus, a partir de las 20 h UTC

saludos

ms, 11-04-2007

xaica · Mensaje por **xaica** » 11 Abr 2007, 12:32

Gracias msc hotline sat, esta tarde descargare la nueva version de elistara y la pasare,os colocare el infosat que me salga :wink:

Mensaje por **msc hotline sat** » 11 Abr 2007, 12:48

Y como que son VUNDO, complemantalos con el ELINOTIF, claro:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 11-04-2007

xaica · Mensaje por **xaica** » 11 Abr 2007, 20:26

Bien pues ya pase el elistara,creo que se soluciono el problema, de momento no se me ha abierto ninguna pagina como antes, os dejo el infosat

Wed Apr 11 19:24:05 2007

EliStartPage v13.72 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\VTUTU] -> C:\WINDOWS\SYSTEM32\VTUTU.DLL

C:\WINDOWS\SYSTEM32\VTUTU.DLL --> Vundo6 Acceso Denegado.

C:\WINDOWS\SYSTEM32\VTUTU.DLL --> Vundo6 Acceso Denegado.

C:\WINDOWS\SYSTEM32\UTUTV.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SoundService"="rundll32.exe "C:\WINDOWS\system32\nagnnavo.dll",setvm"

Eliminada Class, "{7E65464F-07AE-4C0F-82A5-D88D61BD157A}" -> C:\WINDOWS\system32\vtutu.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Apr 11 19:24:33 2007

EliStartPage v13.72 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\NAGNNAVO.DLL --> Acceso Denegado, Vundo5

C:\WINDOWS\system32\VTUTU.DLL --> Acceso Denegado, Vundo6

C:\WinLogon\VTUTU.DLL --> Eliminado, Vundo6

Wed Apr 11 19:27:50 2007

EliStartPage v13.72 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Wed Apr 11 19:27:54 2007

EliStartPage v13.72 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtutu"

Elininado BHO: "{7E65464F-07AE-4C0F-82A5-D88D61BD157A}"

Elininada Class: "{7E65464F-07AE-4C0F-82A5-D88D61BD157A}"

Desinstalado EliNotif.dll

gracias,a ver que tal lo veis :wink:

Claudia34 · Mensaje por **Claudia34** » 11 Abr 2007, 22:18

Por lo que veo necesitas actualizar tu S.O. o sea lanzar un (windows update) urgentemente. Saludos.

xaica · Mensaje por **xaica** » 11 Abr 2007, 22:25

Gracias Claudia me pondre al dia tb con el windows update :wink:

Mensaje por **msc hotline sat** » 12 Abr 2007, 07:22

Bien, perfecto !

A titulo de informacion, ya con la 13.72 del ELISTARA se controlan parches de este mes de abril, y el WINDOWSUPDATE INCOMPLETO de ahora indica no encontrar una de dichos parches de esta semana...

y dando ya el Tema por solucionado, procedemos a cerrarlo

saludos

ms, 12.04.2007