Registro de Windows (SOLUCIONADO)

NTL · Mensaje por **NTL** » 07 May 2007, 18:57

Hoy he actualizado el Arovax AntiSpyware y al pasarlo ha detectado 12 procesos en el registro. Son más o menos así:HKEY/currentuser/windows/microsoft/.../searchmiracle.com

He pasado los otros antiespías que tengo (Ad-Aware, Windows Defender y AVG) y no detectan nada. ¿Qué hago, los meto en cuarentena en el Arovax? Además del searmiracle encuentra otro llamado searchenquire y otro xxxtoolbar

Mensaje por **msc hotline sat** » 07 May 2007, 19:00

Envianos este fichero sospechoso que dices lanzar en estas claves en las que te detecta malwares, y lo analizaremos:

searchmiracle.com

[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 7-05-2007

nota: De trodas formas parece un Lowzones, prueba el ELISTARA

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

NTL · Mensaje por **NTL** » 07 May 2007, 19:08

No sé cómo mandarlo, me ha salido al analizar pero no sé cómo se mandaría.

Mensaje por **msc hotline sat** » 07 May 2007, 19:14

Pues con un inicio-Buscar la encuentras y la adjuntas a un mail como indicamos en el link al respecto...

Si no la encuentras, igualmente prueba el ELISTARA, QUE IGUAL YA LA CONTROLAMOS POR CADENAS

SALUDOS

MS, 7-05-2007

NTL · Mensaje por **NTL** » 07 May 2007, 22:04

He buscado y no los encuentra. Voy a pasar el Elistar y os cuento.

En concreto, los que me detecta el Arovax Antispyware son:

2020 search:

[HKEY_CURRENT_USER\Software\Microsoft\search assistant]

Zoombar:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings]

CoolWebSearch:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings\zonemap\domains\blazefind.com]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings\zonemap\domains\searchmiracle.com]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings\zonemap\domains\slotch.com]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings\zonemap\domains\xxxtoolbar.com]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings\zonemap\ranges\range1]

MediaTickets CDT:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings\zonemap\domains\blazefind.com]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings\zonemap\domains\searchmiracle.com]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings\zonemap\domains\slotch.com]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings\zonemap\domains\xxxtoolbar.com]

SearchSquire:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\internet settings\zonemap\domains\searchsquire.com]

NTL · Mensaje por **NTL** » 07 May 2007, 22:07

El Elistara acaba de terminar y no ha detectado nada. ¿Qué puedo hacer? ¿Si los pongo en cuarentena con el Arovax puede pasar algo?

Por cierto, muchísimas gracias por el foro :D

Mensaje por **msc hotline sat** » 07 May 2007, 22:10

Posiblemente ya este AROVAX los haya eliminado, y por eso no los encuentras...

Pero si los encuentras, muevelos a cuarentena :wink: aunque dudo que puedas

saludos

ms, 7-05-2007

NTL · Mensaje por **NTL** » 07 May 2007, 22:12

No, no los eliminé con el Arovax, me daba miedo :)

Pego el log de Hijackthis por si acaso sirve de algo:

Logfile of HijackThis v1.99.1

Scan saved at 21:17:37, on 07/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\Archivos de programa\QuickTime Alternative\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Arovax AntiSpyware\ArovaxAntiSpyware.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\x\CONFIG~1\Temp\Rar$EX00.593\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar4.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P37 "EPSON Stylus CX3600 Series (Copiar 1)" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NavRegReminder] "C:\WINDOWS\Temp\NavBrowser.exe" /r /i "C:\WINDOWS\Temp\NavLoad.ini"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://nadf.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - https://scan.safety.live.com/resource/download/scanner/en-us/wlscbase3401.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112715075286

O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - http://esupport.epson-europe.com/selftest/es/Prg/ESTPTest.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{39CD24E3-7F45-47BB-9687-D93BB5CE6ED8}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CCS\Services\Tcpip\..\{84F7CA0B-34A3-48E2-972C-975CB37EBFD5}: NameServer = 62.36.225.150 62.37.228.20

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

NTL · Mensaje por **NTL** » 07 May 2007, 22:13

Los acabo de poner en cuarentena con el Arovax

Mensaje por **msc hotline sat** » 07 May 2007, 22:17

Pues si los tienes en una carpeta, zipea su contenido con password VIRUS y nos los envias para analizar:

[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 7-05-2007

NTL · Mensaje por **NTL** » 07 May 2007, 22:52

Acabo de mandar el mail con el archivo de cuarentena.

Gracias por todo :)

Mensaje por **msc hotline sat** » 08 May 2007, 05:52

Pues el log del HJT está limpio

Y sin prisas, pues son muchos y ya los tienes en prision, los analizaremos e implementaremos su eliminacion en nuestras utilidades, aunque quizas no será hoy, en funcion de la carga que tengamos, pues en tu caso ya no es prioritario.

Lo que no entiendo es que no los encontraras antes ??? bueno, ahora dejalos aparcados que ya no te molestaran, y en proximas versiones del ELISTARA ya los controlaremos y eliminaremos

y ya dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 8-05-2007