Letras chinas raras en mi barra de Explorer (CERRADO)

LeJump · Mensaje por **LeJump** » 22 Feb 2007, 15:16

Muy wenas, acudo a ustedes para ver si por favor me puede dar una mano, el problema que tengo es con internet explorer...

... desde hace algunas semanas note que en la barra de direccion de lado derecho aparecian unas letras raras en chino, no le preste mucha atencion porque casi no uso ie y no me molestaba, pero ahora me he decidio a quitarlas porque instale el IE7 y no se fueron, ademas que se ve que envian datos cuando abro el IE y eso no me gusta nada.... tambien comentar que no puedo usar archivos DRM en Windows Media probablemente debido a esto, al parecer da un error al intentar enviar el script.

...pienso que puede ser un troyano o algo parecido, el Spybot y el antivirus no han encontrado nada...

Creo que es toda la descripcion, muchas gracias de antemano

Saludos

Mensaje por **msc hotline sat** » 22 Feb 2007, 16:02

Pues pruebe el ELISTARA :

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Si tras ello persisten los caracteres chinos, posteenos log del HJT :

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos
ms, 22-02-2007

LeJump · Mensaje por **LeJump** » 23 Feb 2007, 03:33

Gracias por atender mi problema, al parecer los caracteres chinos persisten, aca el contenido del InfoSat.txt

Thu Feb 22 20:28:54 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\AELUPSVC32.DLL --> Eliminado 
C:\WINDOWS\SYSTEM32\DRIVERS\WSFIT32.SYS --> Eliminado 
Eliminada Carpeta "%WinSys%\LogFiles"
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu Feb 22 20:55:04 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Código: Seleccionar todo

C:\Aplicaciones\Antivirus y Proteccion\SYSMETRIX-3.40.EXE --> AutoExtraible
C:\Aplicaciones\P2P Webroser FTP web\LIMEWIREWIN.EXE --> AutoExtraible
C:\Aplicaciones\RAR-ZIPmisc\GUNZINTERNATIONAL_20060222.EXE --> AutoExtraible
C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor
C:\Archivos de programa\Daxter Creator\update\EZUPDATE.EXE --> Eliminado, EasyUpdate
C:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT
C:\Archivos de programa\MAIET\Gunz\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Spybot - Search & Destroy\BLINDMAN.EXE --> Eliminado, PWS-Lineage
C:\Program Files\CNNIC\Cdn\CDN_PACK.EXE --> AutoExtraible

Ahora mismo estoy haciendo lo del Hijackthis, en un momento posteo el resultado.

Saludos

Nuker · Mensaje por **Nuker** » 23 Feb 2007, 03:37

Le elimino vario Malware... Con el HJT reforzaremos, y mientras lo analizo. lanze un Windows Update desde aqui:

https://support.microsoft.com/es-es/hel ... update-faq

LeJump · Mensaje por **LeJump** » 23 Feb 2007, 03:44

Aca el Log del Hijack

Logfile of HijackThis v1.99.1
Scan saved at 21:45:27, on 22/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\Archivos de programa\Zune\ZuneLauncher.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\CursorXP\CursorXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\jump\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - (no file)
O2 - BHO: CNNIC ÍøÂç¹¤¾ßDrag - {352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} - C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {8AB8528F-AC8B-416D-9B84-92D97729C195} - (no file)
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: (no name) - {DBBB7978-AF21-4EF4-9AD1-B2F4BC75696C} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogonStudio] "C:\Archivos de programa\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ppmate] C:\Archivos de programa\PPMate\PPMate\ppmate.exe -autoplay
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKLM\..\Run: [Zune Launcher] "C:\Archivos de programa\Zune\ZuneLauncher.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [CursorXP] "C:\Archivos de programa\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnuc.exe
O9 - Extra 'Tools' menuitem: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnuc.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .ab: C:\Archivos de programa\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for .exe: C:\Archivos de programa\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .rar: C:\Archivos de programa\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for .zip: C:\Archivos de programa\Opera\PLUGINS\NPFgc1.dll
O16 - DPF: {3334504D-9980-0010-8000-00AA00389B71} - 
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165559211873
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165559181098
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) - 
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in) - 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - 
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - 
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WBSrv - C:\ARCHIV~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

-------------------------------------------------------------------

Oye Nuker sera necesario un windows update??, es que ayer mismo hice un update buscando resolver el problema que me da el Windows Media con los DRM... pero si lo mandas, lo hago inmediatamente.

Grax

Saludos

Nuker · Mensaje por **Nuker** » 23 Feb 2007, 03:56

Dale Fix Checked a estas en modo seguro:

O2 - BHO: (no name) - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - (no file)
O2 - BHO: CNNIC ÍøÂç¹¤¾ßDrag - {352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} - C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {8AB8528F-AC8B-416D-9B84-92D97729C195} - (no file)
O3 - Toolbar: (no name) - {DBBB7978-AF21-4EF4-9AD1-
B2F4BC75696C} - (no file)
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O9 - Extra 'Tools' menuitem: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnuc.exe

ENVIA MUESTRA DE ESTA:
C:\Program Files\CNNIC\Cdn\cdnup.exe

¿Como Enviar?
viewtopic.php?f=2&t=45334

MODO SEGURO:
http://www.zonavirus.com/articulos/como ... fallos.asp

Mensaje por **msc hotline sat** » 23 Feb 2007, 13:20

Como indica Nuker, envianos este fichero para analizar:

C:\Program Files\CNNIC\Cdn\cdnup.exe

recuerda: viewtopic.php?f=2&t=45334

y tras ello renombre el fichero CDNUP.EXE a extension .VIR y asi tras reiniciar ya no lo pondrá en uso

Luego, si vemos que es el culpable, ya eliminaremos claves y restos con nuestra utilidad al respecto, de lo cual informaremos

saludos
ms, 23-02-2006

LeJump · Mensaje por **LeJump** » 23 Feb 2007, 21:55

Creo que con esto ya han quedado eliminadas las letras chinas... pero me parece que cometi un error, antes de que Nuker me contestara viendo los resutados del hijackthis me di cuenta de donde venian las letras, asi que probe desinstalando el CNNIC y las letras chinas desaparecieron, no sabia que fuese necesario enviar una muestra del archivo.

No se si haya que hacer algo mas, aparentemente ya se soluciono el problema (aunque sigo sin poder usar archivos DRM, pensaba que era de esto pero ya veo que no), muchas gracias por la ayuda, son unos cracks en esto.

Saludos

Mensaje por **msc hotline sat** » 23 Feb 2007, 21:59

Pues es una pena que no puedas enviarnos las muestras, ya que con ello hubieramos podido eliminar claves y restos que ahora tendrás en el registro, aparte de servir la utilidad que hacemos con cada muestra para el control y eliminaicon de otros casos, pero en fin, si los ha eliminado, paciencia.

En consecuencia procedemos a cerrar el Tema

saludos

ms, 23-02-2007