Accesos puerto 443 y Certificado (SOLUCIONADO)

[carmiher]

Hola. He encontrado este gran foro buscando solución a un problema que tengo desde hace un tiempo. No he encontrado con el buscador problema similar.



Resulta que tengo el Sygate de cortafuegos desde hace varios años.

Últimamente me ha llamado la atención que cuando abro el IE. Le doy acceso al programa, ya que tengo consultar siempre que un programa quiere acceder a la red. El caso es que a los pocos segundos me aparece otro mensaje preguntando si deseo dar acceso a IE que quiere conectarse a ...paypal... y/o ...usr.microsoft... por el puerto 443. Siempre deniego el acceso y sigo navegando normalmente. Lo malo, es que cuando quiero acceder a cuentas de correo u otras páginas que usan https, no puedo acceder ya que el puerto 443 está bloqueado. Alguna vez he tenido que darle permiso para poder acceder a paginas que necesito.

Esto me tenia muy mosqueado, ya que tengo otro ordenador con Sygate y mas o menos la misma configuración y jamás IE lanza una petición porque si, de hecho en el ordenador que me ocurre no me lo habia hecho hasta hace 1 mes o poco más.



Hoy he entrado en certificados de IE y veo con sorpresa, que hay un certificado con mi nombre de usuario y creado por mi nombre de usuario. Yo no lo he creado, eso desde luego.



¿Conoceís algun virus/Spyware que produzca estos efectos y certificados?



Tengo el Kaspersky 6, y paso el Spyboot, Spyware Terminator, Bitdefender Online, Panda Software, Trend Micro Online y alguno más. Ninguno detecta nada sospechoso.

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Y para el tema de los autorun descargate del siguiente enlace el elipen:



http://www.zonavirus.com/descargas/elipen.asp



Saludos.

[carmiher]

He ido a bajar el Elistar y el Kaspersky me dice que es un troyano



[img]http://img501.imageshack.us/img501/1126/elistarep1.jpg[/img]

[msc hotline sat]

Es un falso positivo ya conocido, desactiva el antivirus tanto para descargarlo como para probarlo



saludos



ms, 16-06-2008

[carmiher]

Resultado del Elistar (MODO SEGURO)





Mon Jun 16 19:00:30 2008

EliStartPage v16.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LBTWLGN] -> C:\WINDOWS\SYSTEM32\C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGITECH\BLUETOOTH\LBTWLGN.DLL

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jun 16 19:01:26 2008

EliStartPage v16.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Infectado, SpyRealtek

C:\Utiles\Spybot - Search & Destroy\BORLNDMM.DLL --> Infectado, Clicker.Small.TO

C:\Utiles\Spybot - Search & Destroy\DELPHIMM.DLL --> Infectado, Clicker.Small.TO



Nº Total de Directorios: 7444

Nº Total de Ficheros: 126400

Nº de Ficheros Analizados: 22006

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 0



Tambien me ha borrado cientos y cientos de HOSTS, pongo unos cuantos solamente:

Mon Jun 16 19:20:30 2008

EliStartPage v16.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 010402.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.1001-search.info

Linea Eliminada del HOSTS --> 127.0.0.1 1001-search.info

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.100888290cs.com

Linea Eliminada del HOSTS --> 127.0.0.1 100888290cs.com

......

....



RESULTADO Hijackthis (Modo Seguro)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:31:32, on 16/06/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Safe mode



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\MyC\Escritorio\elitriip130608.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [JMB36X Configure] "C:\WINDOWS\system32\JMRaidTool.exe" boot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SmcService] "C:\ARCHIV~1\Sygate\SPF\smc.exe" -startgui

O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [WebDriveTray] "C:\Archivos de programa\NetDrive\netdrive.exe" /trayicon

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164489272968

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186727767062

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{16191446-CDE4-447C-91E5-7339ABB0CEFC}: NameServer = 192.XXX.X.XXX

O17 - HKLM\System\CCS\Services\Tcpip\..\{E71B2649-710D-453D-A8C2-AEB84FDAC2A4}: NameServer = 192.XXX.X.XXX

O17 - HKLM\System\CS1\Services\Tcpip\..\{16191446-CDE4-447C-91E5-7339ABB0CEFC}: NameServer = 192.XXX.X.XXX

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Archivos de programa\NetDrive\wdService.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe



--

End of file - 9245 bytes





RESULTADO Hijackthis (Modo Normal)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:38:08, on 16/06/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Sygate\SPF\smc.exe

C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\NetDrive\wdService.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\windows\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\NetDrive\netdrive.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

C:\Archivos de programa\Archivos comunes\Logishrd\KHAL2\KHALMNPR.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [JMB36X Configure] "C:\WINDOWS\system32\JMRaidTool.exe" boot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SmcService] "C:\ARCHIV~1\Sygate\SPF\smc.exe" -startgui

O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [WebDriveTray] "C:\Archivos de programa\NetDrive\netdrive.exe" /trayicon

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164489272968

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186727767062

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{16191446-CDE4-447C-91E5-7339ABB0CEFC}: NameServer = 192.XXX.X.XXX

O17 - HKLM\System\CCS\Services\Tcpip\..\{E71B2649-710D-453D-A8C2-AEB84FDAC2A4}: NameServer = 192.XXX.X.XXX

O17 - HKLM\System\CS1\Services\Tcpip\..\{16191446-CDE4-447C-91E5-7339ABB0CEFC}: NameServer = 192.XXX.X.XXX

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Archivos de programa\NetDrive\wdService.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe



--

End of file - 10067 bytes

[lucl]

Para eliminar estos debes darle permiso al elistara si no no hacemos nada





C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Infectado, SpyRealtek

C:\Utiles\Spybot - Search & Destroy\BORLNDMM.DLL --> Infectado, Clicker.Small.TO

C:\Utiles\Spybot - Search & Destroy\DELPHIMM.DLL --> Infectado, Clicker.Small.TO



y no te preocupes que el spybot te funcionara igual



saludos

[carmiher]

El de Realtek viene de la tarjeta de sonido. Con el buscador he visto que no es un virus, sino que es un programa que recoge datos para la empresa Realtek. Al compañero que le aparecia el problema, ha modificado el msconfig para que no se cargue en el arranque. Es lo que he hecho yo.



En cuanto a lo del Spybot, no sabia que tenia Spyware un anti-Spyware :roll:



¿Ves algo raro en Hijackthis?

[msc hotline sat]

En el log del HJT solo se aprecian atipicas estas entradas correspondientes al servidor de DNS:



O17 - HKLM\System\CCS\Services\Tcpip\..\{16191446-CDE4-447C-91E5-7339ABB0CEFC}: NameServer = 192.XXX.X.XXX



O17 - HKLM\System\CCS\Services\Tcpip\..\{E71B2649-710D-453D-A8C2-AEB84FDAC2A4}: NameServer = 192.XXX.X.XXX



O17 - HKLM\System\CS1\Services\Tcpip\..\{16191446-CDE4-447C-91E5-7339ABB0CEFC}: NameServer = 192.XXX.X.XXX





Diganos si las conoce y son voluntarias, gracias



saludos



ms, 17-06-2008

[carmiher]

Yo sustitui los numeros por X en el post para no dar a conocer el modelo de router que tengo, en el informe salieron los número correctos. ¿Eran las X lo atípico?. ¿Entonces parece que el sistema está limpio?

[carmiher]

He observado que me vuelven a aparecer los cientos de HOSTS que eliminé ayer.



EliStartPage v16.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 010402.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.1001-search.info

Linea Eliminada del HOSTS --> 127.0.0.1 1001-search.info

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.100888290cs.com

Linea Eliminada del HOSTS --> 127.0.0.1 100888290cs.com

......

....



¿Es normal? ¿Que programa los crea? ¿Quizás el SpyBot o el Spyware Terminator?

[carmiher]

Por cierto, Elitriip se me queda colgado en el ordenador y no lo puedo lanzar. Sale el cartel inicial "Procesando 1272 Fichero víricos" y se queda hay, aunque ocupa el 50% de la carga del procesador. Lo he dejado más de 15 minutos y nada. He puesto tambien el Dll que comentais en el mismo directorio, pero el resultado es el mismo. :?



En el otro ordenador lo he probado y funciona correctamente

[msc hotline sat]

Prueba de lanzarlo arrancando en modo seguro



y las entradas en el HOSTS las debe provocar el Spybot segun como lo tengas configurado.



saludos



ms, 17-06-2008

[carmiher]

Se me queda colgado tanto en modo seguro, como en normal. :(

[msc hotline sat]

Dices que ya haces lo de la DLL ??? No estarás hablando del ELISTARA en lugar del ELITRIIP ???



Si es el caso, prueba lanzarlo desde DOS con la opcion /SALTAREG, o sea:



ELISTARA  /SALTAREG



Pero si realmente quieres decir ELITRIIP, no hay DLL que valga, y sería la primera vez que de muchos cientos de miles diera este problema, en XP, claro, si se tratara de VISTA sería otra cosa (privilegios)



saludos



ms, 17-06-2008

[carmiher]

Es el Elitriip el que se cuelga. El dll, lo puse por que ya no sabia que hacer.

Vaya, entonces :?:

[msc hotline sat]

Puede que tengas algun fichero truncado, y al explorar no pueda seguir ??? Lanza una comprobacion de errores y desfragmenta



Luego prueba de nuevo. No ha lugar que el ELITRIIP tenga problemas en XP, y menos en modo seguro...



saludos



ms, 17-06-2008

[carmiher]

Por cierto el Avira tambien me detecta el Elistara como Worm/Gusano. He pasado el archivo por los antivirus de la Web y el resultado es :shock:



Análisis del archivo ELISTARA.BF_D8FB_D8_D8H.EXE recibido el 17.06.2008 18:30:57 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

[u][b]Resultado: 12/33 (36.37%)[/b][/u]



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.6.18.0 2008.06.17 -

[b]AntiVir 7.8.0.55 2008.06.17 TR/Dldr.IstBar.VB

Authentium 5.1.0.4 2008.06.17 W32/Mywebsearch.G.gen!Eldorado

Avast 4.8.1195.0 2008.06.16 Win32:Small-CPR [/b]

AVG 7.5.0.516 2008.06.16 -

BitDefender 7.2 2008.06.17 -

CAT-QuickHeal 9.50 2008.06.16 -

ClamAV 0.93.1 2008.06.17 -

DrWeb 4.44.0.09170 2008.06.17 -

[b]eSafe 7.0.15.0 2008.06.17 suspicious Trojan/Worm [/b]

eTrust-Vet 31.6.5881 2008.06.17 -

Ewido 4.0 2008.06.17 -

[b]F-Prot 4.4.4.56 2008.06.12 W32/Mywebsearch.G.gen!Eldorado [/b]

F-Secure 6.70.13260.0 2008.06.17 -

Fortinet 3.14.0.0 2008.06.17 -

[b]GData 2.0.7306.1023 2008.06.17 Trojan-Downloader.Win32.IstBar.vb

Ikarus T3.1.1.26.0 2008.06.17 Virus.Win32.Small.CPR

Kaspersky 7.0.0.125 2008.06.17 Trojan-Downloader.Win32.IstBar.vb [/b]

McAfee 5318 2008.06.16 -

Microsoft 1.3604 2008.06.17 -

NOD32v2 3193 2008.06.17 -

Norman 5.80.02 2008.06.16 -

[b]Panda 9.0.0.4 2008.06.16 Suspicious file

Prevx1 V2 2008.06.17 Malicious Software [/b]

Rising 20.49.11.00 2008.06.17 -

Sophos 4.30.0 2008.06.17 Istbar

Sunbelt 3.0.1153.1 2008.06.15 -

Symantec 10 2008.06.17 -

TheHacker 6.2.92.352 2008.06.17 -

TrendMicro 8.700.0.1004 2008.06.17 -

VBA32 3.12.6.7 2008.06.17 -

VirusBuster 4.3.26:9 2008.06.12 -

[b]Webwasher-Gateway 6.6.2 2008.06.17 Trojan.Dldr.IstBar.VB [/b]



Tambien he observado como cuando desactivo el Kaspersky no me salen las conexiones al puerto 443

[msc hotline sat]

Ya hemos dicho muchas veces que no se debe hacer caso de las falsas detecciones de los antivirus como AVAST, AVIRA, KASPERSKY, etc sobre el ELISTARA u otras utilidades nuestras que estan protegidas con checksum y ello impide ser ejecutadas si son infectadas...



Recordar siempre desactivar antivirus residente tanto al descargarlas como al probarlas.



Es logico que al contener miles de rutinas viricas para deteccion de malwares, sean detectadas como tal, SIENDO UN FALSO POSITIVO !!!



saludos



ms, 17-06-2008

[carmiher]

Gracias.

Si resuelvo el tema ya os comentaré por si le sirve a alguien.

[msc hotline sat]

Claro, para esto es el foro...



Pero ha desfgragmentado ya su disco duro despues de comprobar errores ???



saludos



ms, 17-06-2008

[carmiher]

El Elitriip que salio ayer me sigue dando el mismo problema :?:

[msc hotline sat]

Ayer le preguntaba...


[quote]Pero ha desfgragmentado ya su disco duro despues de comprobar errores ???



saludos



ms, 17-06-2008[/quote]

esperamos respuesta ???



saludos



ms, 18-06-2008

[carmiher]

Disculpe, que no habia respondido.

He realizado un chkdsk /f /r (que no ha encontrado ningun error en las 5 fases que realiza)

Luego he desfragmentado las 2 unidades fisicas que tengo

He arrancado en modo prueba fallos y he ejecutado el Regseeker para limpiar el registro

Aún así sigue quedandose colgado el Elitriip



No llega a salir ni la ventana inicial por lo que no creo que llegue siquiera a buscar archivos en el disco

[msc hotline sat]

El Regseeker no viene al caso, si ya ha desfragmentado, pruebe arrancar en modo seguro con privilegios de administrador y lance el ELITRIIP, habría de estar muy mal el equipo para que así no funcionara...



saludos



ms, 18-06-2008

[carmiher]

Pues nada. Arranco con el usuario Administrador, pero el programa se queda parado cuando termina de enumerar las firmas de virus.

Es curioso porque el equipo funciona perfectamente y solo me parecen sospechosas esas conexiones no solicitadas por el puerto 443, y el dichoso certificado que me aparecio sin que yo lo instalara, a no ser que el Office, Adobe o SAGE se encarguen de instalar un certificado de ususario.

[msc hotline sat]

Prueba de reparar el sistema operativo:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



saludos



ms, 29-06-2008

[carmiher]

:? Despues de hacer scaneos de virus con Kaspersky en modo pruebas con el usuario administrador. He arrancado y toda la carperta mis documentos que está cifrada no me deja abrir los archivos. Me da error, acceso denegado.

Los archivos encriptados de otro usuario del mismo XP si que funcionan, pero en los de mi usuario no. Al pedir que se les quite el cifrado, me da un error de permisos. ¿Como puedo recuperarlos? :!: :!: :!:

[msc hotline sat]

La encriptacion o cifrado es delicado, y una pérdida del password o corrupción del mismo puede conllevar la pérdida de acceso a la información protegida...



A ver si alguien especializado en recuperacion de acceso a información cifrada le puede ayudar, suerte !



saludos



ms, 19-06-2008

[carmiher]

He encontrado la solución a lo de los archivos encriptados.



Había hecho una copia de seguridad completa hace pocos dias por lo que solo me faltaban unos pocos documentos por recuperar. Buscando información he visto que existe un programa llamado [u]Advanced EFS Data Recovery [/u] que sirve para recuperar archivos cifrados.

Me he bajado la demo y he podido comprobar con sorpresa que efectivamente descifra los archivos y los salva en otro directorio que le indiquemos. Lo malo, es que la versión demo solo salva los primeros 512 bytes del archivo, pero me ha salvado varios txt con notas y comentarios. Así que solo he perdido poca cosa.

Si alguien le interesa, ya sabe, la versión completa te puede salvar el pellejo.

[msc hotline sat]

Pues felicidades, porque con los cifrados no se siempre tan fácil ! Los del ordenador del piloto que se estelló contra las torres gemelas en New York , cifrados con PGP, no han podido ser desencriptados, y a raiz de ello el Goboermo de EE.UU exige que todas las aplicaciones de tal tipo tengan puerta trasera... (las que se hagan o vendan en EE.UU, claro)



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 19-06-2008