Tengo un spyware ke abre paginas de internet (SOLUCIONADO)

[eunice_navarro]

Tengo un problema con un spyware ke me abre paginas de internet de todo tipo sin haberlas solicitado.



Panda me lo reconoce como Winantivirus algo, pero no logra eliminarlo.



Les mando el log de hijackthis para ke me informen donde tengo ke eliminar.



gracias.



Logfile of HijackThis v1.99.1

Scan saved at 08:34:49 p.m., on 13/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus 2007\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus 2007\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\VM303_STI.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\Archivos de programa\Panda Software\Panda Antivirus 2007\PsImSvc.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\svchost.exe

c:\archivos de programa\panda software\panda antivirus 2007\WebProxy.exe

C:\Archivos de programa\Adobe\Reader 8.0\Reader\AcroRd32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\misael\Configuración local\Temp\wz4c5f\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elnorte.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173305167812

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://upload.mediamax.com/Upload/XUpload.ocx

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus 2007\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus 2007\PsImSvc.exe

[Nuker]

Lo indicado es Elistara ya que controla perfectamente al WinAntivirus, lanza Elistara en Modo Seguro, al terminar le creara un log en Unidad C, con el nombre de infoSat.txt copia contenido y pega aqui, para ver el resultado del log.



Elistara:

http://www.zonavirus.com/descargas/elistara.asp



Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Saludos.



[u]Atendido a las 8:51 p.m. (Hora México) 13/04/07[/u]

[eunice_navarro]

ya corri elistara, pero me dice infectado por virus vundo.

Y me pide elinotif.dll, pero no logro encontrarlo, me pueden ayudar.



Les adjunto el archivo ke genero elistara

[eunice_navarro]

Posteo la informacion del archivo.





Fri Apr 13 15:40:59 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OPNMKHE.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OPNMKHE.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSRS.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSRS.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SRSTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{F4B5E867-8AE1-4376-BBB8-9153730AA9A1}" -> C:\WINDOWS\system32\vtsrs.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Apr 13 15:41:30 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\ATIPTAXX.EXE --> Eliminado, ISTBar.B

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Sat Apr 14 00:04:17 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OPNMKHE.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OPNMKHE.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSRS.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSRS.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SRSTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{7853E1CF-8DF6-4FA8-AF93-71FE0BF61612}" -> C:\WINDOWS\system32\vtsrs.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 14 00:04:47 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sat Apr 14 00:16:56 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Sat Apr 14 00:26:55 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OPNMKHE.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OPNMKHE.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSRS.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSRS.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SRSTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{F9E4590F-D6B7-4DDD-A277-2DDC67AEE17F}" -> C:\WINDOWS\system32\vtsrs.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

[msc hotline sat]

A la vista de lo indicado, descargue el ELINOTIF.DLL en la misma carpeta que el ELISTARA y proceda:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 14-04-2007

[eunice_navarro]

Creo ke ya kedo solucionado.



agregue elinotif en la carpeta donde esta elistara, y la volvi a correr, y ya no me aparece nada y la makina funciona ya bien.



Muchisimas gracias, este foro es el mejor ke he podido encontrar, me ayuda muchisimo.



Felicito al staff y a los ke colaboran, porke brindan una excelente ayuda.

Anexo el log ke registro elistara.



Otra vez muchas gracias.





Fri Apr 13 15:40:59 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OPNMKHE.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OPNMKHE.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSRS.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSRS.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SRSTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{F4B5E867-8AE1-4376-BBB8-9153730AA9A1}" -> C:\WINDOWS\system32\vtsrs.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Apr 13 15:41:30 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\ATIPTAXX.EXE --> Eliminado, ISTBar.B

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Sat Apr 14 00:04:17 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OPNMKHE.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OPNMKHE.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSRS.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSRS.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SRSTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{7853E1CF-8DF6-4FA8-AF93-71FE0BF61612}" -> C:\WINDOWS\system32\vtsrs.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 14 00:04:47 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sat Apr 14 00:16:56 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Sat Apr 14 00:26:55 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OPNMKHE.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OPNMKHE.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSRS.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSRS.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SRSTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{F9E4590F-D6B7-4DDD-A277-2DDC67AEE17F}" -> C:\WINDOWS\system32\vtsrs.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Sat Apr 14 01:06:11 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTSRS]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTSRS.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\OPNMKHE.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OPNMKHE.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSRS.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSRS.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SRSTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{F9E4590F-D6B7-4DDD-A277-2DDC67AEE17F}" -> C:\WINDOWS\system32\vtsrs.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 14 01:06:26 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\opnmkhe.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\opnmkhe"

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtsrs"

Elininado BHO: "{F9E4590F-D6B7-4DDD-A277-2DDC67AEE17F}"

Elininada Class: "{F9E4590F-D6B7-4DDD-A277-2DDC67AEE17F}"

Desinstalado EliNotif.dll



Sat Apr 14 01:20:36 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 14 01:20:40 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[msc hotline sat]

Ah, bueno ! :roll: :oops: :lol:



[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 14-4-2007