La pagina de inicio de IE se cambia (TERMINADO)

oswaldoteague · Mensaje por **oswaldoteague** » 28 Sep 2007, 04:46

Mi pagina de inicio de IE se cambia a una pagina en la que me ofrecen un escaner gratuito de spyware y antivirus, aunque he corrido el SUPER ANTISAPYWARE Y EL spybot search and destroy, ademas de el escaneo minucioso de AVAST 4.5, lo unico que he logrado es que salga una Advertencia del Superantisapyware, donde me anuncia que la pagina de inicio de IE se intenta cambiar a C:\WINDOWS\system32\spywarewarning.mht. :oops:

Dandome la opcion de aceptar el ¡cambio (allow change) o bloquearlo (blok change), aunque lo bloqueo, en un par de minutos vuelve a aparecer con un icono en la parte inferior izquierda de la pantalla.

Corri el avast en escaneo minucioso, y el reporte me indico que lo envio con exito al baul. Pero sigue apareciendo.

Tambien corri elistara y ellitrip, y no consiguieron nada.

¿que debo hacer?

Gracias de Antemano por su colaboracion y ayuda....... :lol: :lol: :lol: :lol: :lol:

Mensaje por **msc hotline sat** » 28 Sep 2007, 07:18

Esto es típico de los FAKE ALERTS, que cada día añadimos a las nuevas versione del ELISTARA

Si con la ultima version no detectas nada (Pruebala:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso)

entonces prueba el SPROCLOG y al salir posteanos el SPROCLOG.TXT y te pediremos muestra de los ficheros que veamos sospechosos al respecto

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y posteanos con un copiar y pegar el contenido del C:\SPROCLOG.TXT :

saludos

ms, 28-09-2007

oswaldoteague · Mensaje por **oswaldoteague** » 28 Sep 2007, 20:16

Gracias por responder y tomar tiempo para ayudarme.

Hice lo que me recomendastes. (anexo los informes) pero el problema persiste.

Tambien han aparecido nuevas cosas:

1.- Al momento de reiniciar me aparece una notificacion donde me indica lo siguiente:

La instruccion en "0x700021e4" hace referencia ala memoria en " 0x811f42b7" la memoria no se puede leer.

2.- Se escucha el tipico click, como si estuviera solicitando alguna pagina, o abriendola, cuando en realidad nada de eso estoy ejecutando.

3.- Aparece un dialogo que indica: Advpack(2) r.exe ha encontrado un problema y tuvo que cerrar.

Todo lo especificado es nuevo, primera vez que sucede algo parecido

Que sera todo esto :?: :cry: :cry: :cry:

anexo lo solicitado...

Gracias mil por tu ayuda

:wink: :wink: :wink:

Fri Sep 28 13:35:06 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\WINDOWS\SYSTEM32\PASTISVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ADVPACK(3)H.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\VTTRAYP.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ENCARTA\ENCARTA 2007 BIBLIOTECA PREMIUM DVD\EDICT.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\RUNSQL.EXE

C:\WINDOWS\SVZIP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\ENCARTA WEB COMPANION\2007\ENCWCSVR.EXE

C:\WINDOWS\SYSTEM32\TASKMGR.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\MIS DOCUMENTOS\ARCHIVOS BAJADOS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O4 - HKLM\..\Run: [E07EXLRD_56127984] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m

O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe

O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: &Search - ?p=ZN

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by137fd.bay137.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188761239687

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/eng/poker_2_0_0_49.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_34.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://67.15.101.3/g_bin/eng/billardt_2_0_0_30.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A7DA9EDD-1795-4397-B700-B52EB95777AD}: NameServer = 200.35.65.3 200.35.65.4

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvCOMSysApp (WmiApSrvCOMSysApp) - Unknown owner - C:\WINDOWS\system32\advpack(3)h.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvNetman (WmiApSrvNetman) - Unknown owner - C:\WINDOWS\system32\advpack(2)r.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Axesstel USB Device for Legacy Serial Communication (AxessUsbser) - Axesstel Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\axusbser.sys

O23 - Service: catchme - Unknown owner - C:\DOCUME~1\USUARIO\CONFIG~1\Temp\catchme.sys (file missing)

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: VideoCAM GE111 (PAC207) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\pfc027.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics Co, Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

26 Servicios.

8 de Carga Automatica.

17 de Carga Manual.

1 Deshabilitados.

Mensaje por **lucl** » 28 Sep 2007, 20:20

[quote="msc hotline sat"]Esto es típico de los FAKE ALERTS, que cada día añadimos a las nuevas versione del ELISTARA

Si con la ultima version no detectas nada (Pruebala:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso)

[/quote]

No has pasado elistara? si lo hiciste peganos el log, saludos

oswaldoteague · Mensaje por **oswaldoteague** » 28 Sep 2007, 20:26

hice lo que me recomendastes..

no ha dado ningun resultado..

te anexo el informe que me dio .

hay otros problemas..

como sonidos que parecen estar abriendo paginas....

cuando en realidad no lo estoy haciendo.

adeas me parece una advertencia que dice que la instruccion en "0x700021e4" hace referencia a la memoria en " 0x811f42b7" la memoria no se puede ree.

tambien abre un dialogo que indica que advpack(2)r.exe ha encontrado un problema y tuvo que cerrar.

todo lo mencionado es nuevo, jamas habia aparceido..

que puedo hacer...??

anexo lo indicado..

Gracias por tu ayuda...

Fri Sep 28 13:35:06 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\WINDOWS\SYSTEM32\PASTISVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ADVPACK(3)H.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\VTTRAYP.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ENCARTA\ENCARTA 2007 BIBLIOTECA PREMIUM DVD\EDICT.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\RUNSQL.EXE

C:\WINDOWS\SVZIP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\ENCARTA WEB COMPANION\2007\ENCWCSVR.EXE

C:\WINDOWS\SYSTEM32\TASKMGR.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\MIS DOCUMENTOS\ARCHIVOS BAJADOS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O4 - HKLM\..\Run: [E07EXLRD_56127984] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m

O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe

O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: &Search - ?p=ZN

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by137fd.bay137.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188761239687

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/eng/poker_2_0_0_49.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_34.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://67.15.101.3/g_bin/eng/billardt_2_0_0_30.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A7DA9EDD-1795-4397-B700-B52EB95777AD}: NameServer = 200.35.65.3 200.35.65.4

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvCOMSysApp (WmiApSrvCOMSysApp) - Unknown owner - C:\WINDOWS\system32\advpack(3)h.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvNetman (WmiApSrvNetman) - Unknown owner - C:\WINDOWS\system32\advpack(2)r.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Axesstel USB Device for Legacy Serial Communication (AxessUsbser) - Axesstel Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\axusbser.sys

O23 - Service: catchme - Unknown owner - C:\DOCUME~1\USUARIO\CONFIG~1\Temp\catchme.sys (file missing)

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: VideoCAM GE111 (PAC207) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\pfc027.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics Co, Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

26 Servicios.

8 de Carga Automatica.

17 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 28 Sep 2007, 21:13

eNVIANOS MUESTRAS PARA ANALIZAR DE ESTOS FICHEROS SOSPECHOSOS:

C:\WINDOWS\SYSTEM32\ADVPACK(3)H.EXE

C:\WINDOWS\system32\advpack(2)r.exe

C:\WINDOWS\RUNSQL.EXE

C:\WINDOWS\SVZIP.EXE

C:\WINDOWS\SYSTEM32\DRIVERS\pfc027.sys

y ELIMINA ESTA CLAVE:

O8 - Extra context menu item: &Search - ?p=ZN

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

SALUDOS

MS, 28-09-2007

oswaldoteague · Mensaje por **oswaldoteague** » 28 Sep 2007, 21:46

AGRADECIDO ESTOY DE TU PRONTA RESPUESTA.

PERO AYUDAME PARA HACER LO QUE ME INDICASTES?

NO SE COMO ENVIARTE LAS MUESTRAS QUE SOLICITASTES?

COMO BUSCARLAS?

COMO COLOCARLA EN CARPETAS?

NI SE COMO ELIMINAR LA CLAVE INDICADA.

DISCULPA MI IGNORANCIA EXTREMA :oops: :oops: :oops:

GRACIAS :lol:

oswaldoteague · Mensaje por **oswaldoteague** » 28 Sep 2007, 22:32

Ah discu Fri Sep 28 16:19:25 2007

EliStartPage v14.73 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Sep 28 16:19:33 2007

EliStartPage v14.73 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Hay esta el informe de elistara...

Parece estar incompleto?

no se que pasa?

lo he pasado dos veces..

esto es todo lo que copia al block de notas?

te lo paso a ver si te sirve de algo..

Mensaje por **msc hotline sat** » 29 Sep 2007, 08:32

La informacion del proceso realizado por el ELISTARA es correcta.

Y para enviar muestras y eliminar claves, ta te lo indicabamos en el mismo post , pero te lo repito:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 29-09-2007

oswaldoteague · Mensaje por **oswaldoteague** » 29 Sep 2007, 21:57

HOLA.

DISCULPA LA MOLESTIA.

HICE MAS O MENOS LO INDICADO (CREO), NO ESTOY SEGURO DE HABERLO REALIZADO EN FORMA CORRECTA?

CON LO QUE SI NO DOY COMO HACERLO ES PARA ENVIARTE LAS MUESTRAS?, CONSIGO LO INDICADO POR TI AL LANZAR EL HJT, PERO NO SE QUE DEBO HACER PARA AISLAR LA MUESTRA Y ENVIARTELA?

TE COMENTO QUE DE LOS ITEMS QUE ME INDICASTES, NO CONSEGUI LOS SIGUIENTES:

C:\WINDOWS\SYSTEM32\DRIVER\PFC027.SYS

DEL CUAL ME SOLICITASTES MUESTRA.

TAMPOCO LOCALIZE EXTRA CONTEXT MENU ITEM & SEARCH-?=ZN.

ANEXO EL INFORME DEL HJT DESPUES DE LO,INDICADO PARA VER SI TE SIRVE DE ALGO.

GRACIAS NUEVAMENTE.

DISCULPA LAS HORAS PERO LA DIFERENCIA HORARIA ESTA EN MI CONTRA, ESTOY EN MARACAIBO VENEZUELA OK :lol: :lol:

Logfile of HijackThis v1.99.1

Scan saved at 03:41:19 p.m., on 29/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\advpack(3)h.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCSVR.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\USUARIO\CONFIG~1\Temp\Rar$EX00.406\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [E07EXLRD_56127984] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Search - ?p=ZN

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by137fd.bay137.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188761239687

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/eng/poker_2_0_0_49.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_34.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://67.15.101.3/g_bin/eng/billardt_2_0_0_30.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A7DA9EDD-1795-4397-B700-B52EB95777AD}: NameServer = 200.35.65.3 200.35.65.4

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvCOMSysApp (WmiApSrvCOMSysApp) - Unknown owner - C:\WINDOWS\system32\advpack(3)h.exe

O23 - Service: Adaptador de rendimiento de WMI WmiApSrvNetman (WmiApSrvNetman) - Unknown owner - C:\WINDOWS\system32\advpack(2)r.exe :lol:

Mensaje por **lucl** » 29 Sep 2007, 22:27

Con el hijackthis que ejecutaras de nuevo, busca la clave que te dijo msc

O8 - Extra context menu item: &Search - ?p=ZN

el log que nos pegas no, el otro, tiene unos cuadritos a la izda en cada frase, pica en el y haz fix cheked abajo a la izda

en cuanto a las muestras que te pide debes seguir la ruta que te marca y mirar que no tengas archivos ocultos para ello haz esto

Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas

ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar.

saludos

oswaldoteague · Mensaje por **oswaldoteague** » 29 Sep 2007, 22:45

gRACIAS LUCL....

Pero la situacion es que no la veo....no la consigo al ejecutar el hjt en modo a prueba de errores...

esta ahi??

yo no la vi....

oswaldoteague · Mensaje por **oswaldoteague** » 29 Sep 2007, 23:11

DISCULPAME DE NUEVO HERMANO Y PERDONA MI NOVATADA.

HICE LO DE LAS CARPETAS EN MI PS ETC...

PERO NO LOGRO VERLAS..

NO ENTIENDO ESO DE SEGUIR LA RUTA QUE ME MARCA...SEGUIRLA EN DONDE??..

AGRADESCO TU COLABORACION...

GRACIAS... :lol: :lol: :lol: :lol:

Mensaje por **msc hotline sat** » 30 Sep 2007, 08:44

A ver, pedimos muestra de:

C:\WINDOWS\SYSTEM32\ADVPACK(3)H.EXE

C:\WINDOWS\system32\advpack(2)r.exe

C:\WINDOWS\RUNSQL.EXE

C:\WINDOWS\SVZIP.EXE

C:\WINDOWS\SYSTEM32\DRIVERS\pfc027.sys

Pues la ruta para el primero es la carpeta System32 dentro de la carpeta windows...

Y sobre lanzar el HJT en modo seguro para eliminar las claves, debes tenerlo copiado en una carpeta del disco duro , y acceder a ella y tras ejeuctarlo escoje la segunda opcion, y veras las claves con una casilla a la iquierda de cada una, marcas la que quieras eliminar y le das a FIX CHECKED

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 30-09-2007

oswaldoteague · Mensaje por **oswaldoteague** » 30 Sep 2007, 22:07

Hola nuevamente.

Te comento:

Logre eliminar lo que me indicastes: EXTRA CONTEXT MENU ITEM &SEARCH-?p=zn. Lo hice con el HJT y fixchecked.

Lo que no he logrado es localizar las carpetas que has señalado ya en dos oportunidades, para que te envie muestras.

Las busco como me indicastes (pregunte por saber si lo estaba haciendo de forma adecuada, ya que asi lo estaba intentando) y no logro localizar esas rutas.

Tengo los ojos cuadrados de tanto buscarlos y no los encuentros :?:

Sera posible que hayan desaparecidos? algo raro ha ocurrido por que no las consigo.

Ademas te comento, ahora se me cambio de manera permanente la pagina de inicio de IE, antes accediendo al panel de control\opciones de internet\conexiones. la podia cambiar y colocar la que quisiera. Ahora al acceder como te indique, no puedo cambiarla, ya que no esta la posibilidad, es decir, me aparece sombreada, en clarito, y no puedo cambiarla.

No te habia respondido por no tener acceso a Internet, por razones del proveedor de servicio.

Tu me dices que debo hacer en este momento. Esto me tiene ya de mal humor. :oops: :oops: :oops: :cry: :cry: :cry:

GRACIAS MIL SEÑORES.....SE LOS AGRADESCO ALTAMENTE :D

oswaldoteague · Mensaje por **oswaldoteague** » 01 Oct 2007, 03:38

ALELUYA!!!!!!!! :lol: :lol: :lol: :lol:

CONSEGUI UNO DE LOS FICHEROS QUE ME SOLICITASTES PARA MUESTRA..

AHORA TENGO OTRO PROBLEMA!

INTENTE ENVIARTELO....SIGUIENDO LA INDICACION DEL POST PARA ELLO...PERO NO LO LOGRO..

TE EXPLICO..:

TRATO DE PASARLO A WIN.RAR..CON EL BOTON DERECHO DEL MOUSE..

AL ABRIRME..TILDO LA SELECION DE ZIP O RAR...

A CONTINUACION EN LAS PESTAÑAS SUPERIORES ESTABLEZCO LA CONTRASEÑA (VIRUS) SEGUN EXPLICA EL POST..

LUEGO SELECCIONO PARA ENVIARSELO ESCRIBIENDO LA DIRECCION INDICADA...

TODO ESTO CON EL ANTIVIRUS DESACTIVADO..

AL TRATAR DE ENVIARLO ME APARECE UN DIALOGO QUE ME DICE QUE ES IMPOSIBLE ENVIARLO..

INCLUSIVE LO INTENTA..LO INFIERO ASI, POR QUE MIENTRAS ESTA TRATANDO DE ENVIARLO ME SALE OTRO DIALOGO DONDE SE ME INDICA QUE SE ESTA TRATANDO DE ENVIAR UN CORREO ELECTRONICO, QUE SI ES INESPERADO LO CANCELE....LE DIGO QUE "NO" LO CANCELE...PERO NO ME LO ENVIA..

EXPLICAME POR FAVOR....SI ES POSIBLE? PASO A PASO QUE DEBO HACER PARA ENVIAR ESO..

MIENTRAS TANTO SIGO BUSCANDO LOS OTROS...

aahhh.. lo consegui fue a travez de inicio\buscar\y coloque el archivo. el que consegui fue el C\windows\runsql.exe

GRACIAS...Y DISCULPAME POR MOLESTAR TANTO

oswaldoteague · Mensaje por **oswaldoteague** » 03 Oct 2007, 03:39

QUE HA PASADO? :( :( :( :(

QUE NO HE RECIBIDO RESPUESTAS A MIS INQUIETDUDES EN LOS ULTIMOS DOS DIAS?

SERA QUE NO TIENE SOLUCION MI PROBLEMA....???

O LO HAN ABANDONADO POR NO HABER PODIDO PASAR LAS MUESTRAS SOLICITADAS??

RESPONDANME POR FAVOR..

POR LO MENOS PARA DECIRME QUE NO VAN A PODER SOLUCIONAR MI CASO? (SI ESE ES EL CASO)+

GRACIAS..... :?: :?: :?: :?: :?:

Mensaje por **msc hotline sat** » 03 Oct 2007, 12:35

Cuando se reciban las muestras, en la forma que indicamos, las analizaran y podremos informarle:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Saludos

ms, 3-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 04 Oct 2007, 03:08

LAS MUESTRAS YA FUERON ENVIADAS CON ESTA MISMA FECHA, HACE APROXIMADAMMENTE 7 HORAS, ENTIENDO LA DIFERENCIA HORARIA, POR LO QUE ESPERO SU ANALISIS Y ACUSE DE RECIBO DE LO ENVIADO, EN LAS PROXIMAS HORAS

GRACIAS.

P.D. FUERON ENVIADAS ACORDE Y SIGUIENDO EL PROCEDIMIENTO INDICADO.

Mensaje por **msc hotline sat** » 04 Oct 2007, 03:19

Bien, dentro de unas 6 horas empezaremos a trabajar en SATINFO (ahora son las 3:18 AM) y procederemos a analizarlas, de lo cual informaremos

Por cierto, oswaldoteague, te agradeceremos NO POSTEES TODO EN MAYUSCULA, eso es gritar en el foro, y se hace mas dificil la lectura.

saludos

ms, 4-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 04 Oct 2007, 18:50

Okey, gracias por tu repuesta.

esperare el resultado de su analisis.

Repecto a las mayuscula ruego me disculpen, mi intencion no es gritar (no sabia que significaba eso), solo es cuestion de no cambiar el teclado, fue sin mala intencion, ruego acepten mis disculpas. :oops: :cry: :oops: :cry: :oops: :cry: :oops: :cr

Gracias, esperare entonces....chao

Mensaje por **msc hotline sat** » 04 Oct 2007, 19:03

No vemos el mail con sus muestras. Quizas no lo envió a la cuenta de zonavirus ...

Repita el envio y por favor siga lo indicado en:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 4-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 04 Oct 2007, 19:26

Listo.

Enviadas nuevamente a Zonavirus@satinfo.es.

y me confirmaron envio....

espero que esta vez les llegue..

Gracias por informarme..

Mensaje por **msc hotline sat** » 04 Oct 2007, 21:14

Si lo has enviado como dices, no nos va a llegar...

no es Zonavirus@satinfo.es sino zonavirus@satinfo.es

revisalo y vuelve a enviarlo si no lo has hecho como indicamos

saludos

ms, 4-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 05 Oct 2007, 03:26

Lo he enviado tal como se indica en el post.....zonavirus@satinfo.es.

Sin embargo tratare de repetir el envio en las proximas horas, para garantizarme que sea enviado.

Gracias....

Saludos.....

Pd: la pc esta de lo peor, anteriormente podia acceder al panel de control y cambiar la pagina de inicio, en este momento aunque me deja acceder al panel de crtl, no me permite cambiar la pagina de inicio, tambien he notado que me ha cambiado la forma de presentacion de algunas carpeta, ejemplo; si se tenia por iconos, la consigo por miniaturas..

espero que esos mail lleguen para ver que pueden hacer.........

Mensaje por **lucl** » 05 Oct 2007, 07:50

Pues ten paciencia y en unas horas sabras algo, no te preocupes!! :lol: saludos

Mensaje por **msc hotline sat** » 05 Oct 2007, 10:34

Recibidas las muestras, se detecta un Downloader DELF en el RUNSQL.EXE que pasamos a controlar con la nueva version de hoy del ELISTARA 14.78, que a partir de las 19 h GMT estará disponible en esta web para evaluacion en el foro de zonavirus

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 5-10-2007

oswaldoteague · Mensaje por **oswaldoteague** » 06 Oct 2007, 19:01

Saludos...

Gracias por tu respuesta..

he hecho lo indicado, descargue nueva version de ellistara, la corri, al correrla me dio la indicacion : Eliminado Troyano Dowloander.Delf.C!k.

reinicie el pc.

pero te indico lo suiguiente:

Sigue cambiando la pagina de inicio de IE, pero ahora por lo menos me deja tener acceso al panel de control para cambiarla.

Ademas luego de reiniciada, me sale un dialogo: La intrucción en "0x700021e4" hace referencia a la memria en "0x811f42b7" la memoria no se puede "read".

Tambien aparece una notificacion : advpack(2).exe, ha encontrado un problema y tuvo que cerrar.

Estas cosas son parte de lo mismo? o es un problema distinto?

Te pego a continuacion el informe de ellistara.

Gracias por tu tiempo...

Espero repuesta.

Sat Oct 06 12:27:34 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\RUNSQL.EXE --> Eliminado DownLoader.Delf.CIK

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Oct 06 12:29:02 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **lucl** » 06 Oct 2007, 19:18

Tienes que actualizar el pc pues te faltan parches muy importantes, entra en el link que te anoto, saludos

https://support.microsoft.com/es-es/help/12373/windows-update-faq

oswaldoteague · Mensaje por **oswaldoteague** » 06 Oct 2007, 20:30

Grcias por tu recomnedacion..

hecho lo indicado, pase de nuevo ellistara..

este es el resultadio...

pero te advierto..sigue igual....a lo indicado anteriormente

Sat Oct 06 14:21:28 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE