msclock.dll msplock.dll (navipromo).mutante-. (SOLUCIONADO)

[javier_almeria]

Hola.



Ayer en el ordenador de un vecino me encontré con este bicho, que bloquea la navegación en internet (no ecuentra pagina).



El elistara lo detecta pero no consigue eliminarlo. Los archivos víricos son msclock.dll que se convierte en msplock.dll. Además es un archivo oculto y me costó horas localizarlo, pues no lo veía.



Os pongo el resultado del log del elistara, de las numerosas veces que lo pasé:



Wed Feb 22 18:05:35 2006

EliStartPage v11.18 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\CARMEN\Configuración local\Archivos temporales de Internet\Content.IE5\3RJZQ0WA\hsn.sexarchive[1].htm --> Eliminado, LowZones DLoad

C:\Documents and Settings\CARMEN\Configuración local\Archivos temporales de Internet\Content.IE5\IT6MGG2F\espa%C3%B1ol[1].htm --> Eliminado, LowZones DLoad

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP247\A0077017.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP247\A0077022.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP248\A0077044.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP248\A0077049.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP248\A0077055.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP248\A0078056.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP250\A0078088.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP251\A0078177.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP251\A0078194.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP251\A0078201.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP251\A0078208.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP251\A0078218.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP252\A0078366.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP252\A0078383.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP252\A0078389.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP252\A0078399.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP252\A0078404.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP252\A0078477.dll --> Eliminado, FlashGet (TB)

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP252\A0078487.dll --> Eliminado, FlashGet (BHO)

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP252\A0078492.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP254\A0078753.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP255\A0078766.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP255\A0078781.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP255\A0078788.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP255\A0078797.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP255\A0078803.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP255\A0078954.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP255\A0079804.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP255\A0079814.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP256\A0079874.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP257\A0079886.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP257\A0079898.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP257\A0079907.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP257\A0079914.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP257\A0079925.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP258\A0079982.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP258\A0080127.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP258\A0080134.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP259\A0080147.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP259\A0080168.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP259\A0080175.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP260\A0080236.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP260\A0080380.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP260\A0080389.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP261\A0080402.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP261\A0080427.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP261\A0080440.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP261\A0080854.dll --> Eliminado, NaviPromo

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP261\A0081010.dll --> Eliminado, NaviPromo

C:\WINDOWS\system32\msplock32.dll --> Eliminado, NaviPromo



Wed Feb 22 21:15:22 2006

EliStartPage v11.18 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\MSCLOCK32.DLL --> NaviPromo Renombrado a .VIR

Eliminada Carpeta "%WinSys%\Service"

Eliminada Carpeta "%Archivos de Programa%\MailSkinner"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Feb 22 21:19:53 2006

EliStartPage v11.18 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP1\A0000001.dll --> Eliminado, NaviPromo



Wed Feb 22 21:28:53 2006

EliStartPage v11.18 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Feb 22 21:37:08 2006

EliStartPage v11.18 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\msplock32.dll --> Eliminado, NaviPromo



Wed Feb 22 21:46:17 2006

EliStartPage v11.18 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\MSCLOCK32.DLL --> NaviPromo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Feb 22 21:55:34 2006

EliStartPage v11.18 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Feb 22 22:00:39 2006

EliStartPage v11.18 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP1\A0000010.dll --> Eliminado, NaviPromo



Wed Feb 22 22:26:15 2006

EliStartPage v11.18 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\MSCLOCK32.DLL --> NaviPromo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Al final lo conseguí ver, y lo eliminé manualmente. Os envío una muestra para su análisis.



Una vez eliminado el archivo, internet empezó a funcionar bien, pero temo que pueda volver a reproducirse.



Saludos

[msc hotline sat]

Prueba la version actual del ELISTARA (10.21) y nos posteas el infosat.txt resultante, gracias



Recientemente comprobamos que lo que renombramos quede renombrado, y si no en lugar de ello indicamos "acceso denegado", asi veremos si realmnente este MSCLOCK lo renombramos o no nos lo permite, y si el primer caso , sabremos que lo logramos, y qiue cpnsecuentemente debe haber una dropper que lo vuelvce a crear, e iremos tras él...



si no, arrancando en modo seguro y deshabilitando la restauracion de sistema, con el ELISTARA deberia lograrlo...



Recuerda que es importamte reiniciar al final, pues los que se resistenlos eliminamos enel siguiente reinicio



saludos



ms, 23-2-2006

[javier_almeria]

Hola.



Si lees el final de mi post, lo eliminé manualmente. Y por supuesto siempre paso el elistara a prueba de errores.



El tema, salvo que se reproduzca, está solucionado. Os mandé una muestra para tener el bicho controlado.



Saludos y gracias.

[msc hotline sat]

Efectivamente, nos habiamos quedado en el infosat sin leer el final de tu post...



Pues gracias por la muestra, y solucionado el problema, procedemos a cerrar el Tema



Y ya sabes, siempre usa un ELISTARA /ELINOTIF actualizados



saludos



ms, 23-2-2006