mbuscas, explorerr.

[nothing]

Hace unos dias que al iniciar windows, me aparece una pantalla con una cruz roja, donde pone VOTADOR: y no se que de un error de EXPLOREER.EXE que da un error en una aplicación...Además siempre me aparece una pantalla para cambiar la pagina de inicio una tal "..mbuscas " de goggle. Y a veces en una pestaña inferior aparece Starpage. He pasado el Panda anti-virus y el ad-aware y no me soluciona el problema. No sé si me podeis ayudar. Aquí teneis el log de Hihckthis:



Logfile of HijackThis v1.99.1

Scan saved at 14:57:36, on 02/04/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\TPSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

c:\archivos de programa\panda software\panda platinum 2005 internet security\firewall\PNMSRV.EXE

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AntiSpam\pskmssvc.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\psimsvc.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

C:\Archivos de programa\Brother\ControlCenter2\brctrcen.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\windows\system32\RUNDDLL32.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\windows\system32\IEXPLORER.exe

C:\windows\system32\EXPLORERR.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\msiexec.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Bergada\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mbuscas.com/buscador.php?id=1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {33E99D29-987D-491E-A797-0364E6D70393} - C:\WINDOWS\System32\bdhc.dll (file missing)

O2 - BHO: GuardBar.BHO - {62F5BBB6-A71E-46E7-AE78-73D25185EDC8} - C:\Archivos de programa\GuardBar\GuardBar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: GuardBar - {7F4D8DE6-AC92-4A13-9DE9-F360736F2464} - C:\Archivos de programa\GuardBar\GuardBar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [UpConfgVer] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\UpgConf.exe" /v:7.05.07

O4 - HKLM\..\Run: [SunServer] C:\Archivos de programa\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

O4 - HKLM\..\Run: [windesktop] C:\WINDOWS\System32\windesktop.exe

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [SetDefPrt] C:\Archivos de programa\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Archivos de programa\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [Rundll32] c:\windows\system32\RUNDDLL32.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKLM\..\RunServices: [windesktop] C:\WINDOWS\System32\windesktop.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D6376DD2-C2BD-49B2-A1B1-138F869633F3} (ASPRO Installer Class) - http://acs.pandasoftware.com/activescanpro/as5/asproinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{653B63FF-784B-429C-B1D3-2CFA7B774D01}: NameServer = 80.58.0.33,80.58.32.97

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\archivos de programa\panda software\panda platinum 2005 internet security\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\psimsvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\TPSrv.exe

[msc hotline sat]

Antes de mirar el log, prueba el ELISTARA y veamos el resultado:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 2-04-2007

[lucl]

perdon que me meta pero mira viendo esto



Logfile of HijackThis v1.99.1

Scan saved at 14:57:36, on 02/04/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 [b]SP1[/b] (6.00.2600.0000)



deberias instalar el sp2 y parches posteriores, entra aqui



https://support.microsoft.com/es-es/help/12373/windows-update-faq





saludos

[nothing]

Muchas gracias!



He probado con ELISTARA, y de momento parece que me funciona :P :P :P



lucl, gracias por los consejos de actualizar windows update, pero la última vez que actualize windows, tuvé problemas, osea que estoy un poco atemorizado...De todas formas muchas gracias!



Que sucede si no dispongo sp2 y parches. Puede incrementar la seguridad en mi ordenador?



Saludos.



por cierto aqui esta el log de elistara:



Mon Apr 02 17:33:29 2007

EliStartPage v13.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\WINDOWS\SYSTEM32\RUNDDLL32.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\IEXPLORER.EXE --> Eliminado Desktoper

C:\WINDOWS\SYSTEM32\EXPLORERR.EXE --> Eliminado Desktoper

Por favor, envienos una muestra del fichero

C:\Muestras\GUARDBAR.DLL.Muestra EliStartPage v13.67

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\GUARDBAR\GUARDBAR.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Rundll32"="c:\windows\system32\RUNDDLL32.exe"

Entrada Eliminada [HKLM\...\Run] "windesktop"="C:\WINDOWS\System32\windesktop.exe"

Entrada Eliminada [HKLM\...\RunServices] "windesktop"="C:\WINDOWS\System32\windesktop.exe"

Eliminada Class, "{62F5BBB6-A71E-46E7-AE78-73D25185EDC8}" -> C:\Archivos de programa\GuardBar\GuardBar.dll

Eliminada Class, "{7F4D8DE6-AC92-4A13-9DE9-F360736F2464}" -> C:\Archivos de programa\GuardBar\GuardBar.dll

Página de Inicio de IE, "http://www.mbuscas.com/buscador.php?id=1" --> Eliminada

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 02 17:42:34 2007

EliStartPage v13.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RUNDDLL32.EXE --> Eliminado Desktoper

Entrada Eliminada [HKLM\...\Run] "Rundll32"="c:\windows\system32\RUNDDLL32.exe"

Página de Inicio de IE, "http://www.mbuscas.com/buscador.php?id=1" --> Eliminada

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Con toda libertad, lucl, y ademas teniendo razon como tienes :lol:



Aparte, con el ELISTARA ya se controlaran algunos de los troyanos que tienes:



---v12.60-(27 de Octubre del 2006) (Muestras de (3)Vundo(notify), (3)Desktoper "RUNDDLL32.EXE, IEXPLORER.EXE y EXPLORERR.EXE" y fichero "RQQSND.EXE")





pero hay otros sospechosos que necesitamos nos envien muestra para analizar:





windesktop.exe y guardbar.dll



esta ya la pedia el ELISTARA:



Por favor, envienos una muestra del fichero

C:\Muestras\GUARDBAR.DLL.Muestra EliStartPage v13.67



y esta otra en :



C:\WINDOWS\System32\windesktop.exe



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Tras analizarlos, informaremos



saludos



ms, 2-04-2007