problema con ie 8 (SOLUCIONADO)

[sastrevk]

Hola. Hace días que tengo un problema con el navegador. Al intentar conectar a internet, abre la primera pestaña y se queda colgado con el mensaje de conectando. Abro la segunda pestaña y lo mismo. Al abrir la tercera pestaña, es cuando accedo a mi página principal. Después las dos primeras pestañas es imposible cerrarlas. La verdad es que es muy molesto.

¿Se os ocurre algo?.

Gracias anticipadas y saludos.

[julibaga]

Bájate el [b][url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url][/b], lo ejecutas y cuando termine abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.

Y para ver los procesos bájate el [b][url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url][/b] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[sastrevk]

Hola de nuevo.

Aquí os dejo el informe de Elistara:





(5-11-2009 19:16:05 (GMT))

EliStartPage v19.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\USUARIO\MENú INICIO\PROGRAMAS\INICIO\MHBUPD32.EXE --> Eliminado Bredolab.Y(dldr)

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\MACROMEDIA\COMMON\267B005E19.EXE --> Eliminado Trojan.Riern.A

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\MACROMEDIA\COMMON\267B005E1.DLL --> Eliminado Trojan.Riern.A(dll)

Por favor, envienos una muestra del fichero

C:\Muestras\NVCPL.EXE.Muestra EliStartPage v19.63

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FONTS\NVCPL.EXE --> Eliminado

C:\Documents and Settings\Usuario\Datos de programa\WIASERVA.LOG --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\Usuario\Datos de programa\Macromedia\Common\267b005e19.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(5-11-2009 19:27:03 (GMT))

EliStartPage v19.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(5-11-2009 19:57:26 (GMT))

EliStartPage v19.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\MACROMEDIA\COMMON\267B005E19.EXE --> Trojan.Riern.A Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\MACROMEDIA\COMMON\267B005E1.DLL --> Eliminado Trojan.Riern.A(dll)

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\Usuario\Datos de programa\Macromedia\Common\267b005e19.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(5-11-2009 20:02:03 (GMT))

EliStartPage v19.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\MACROMEDIA\COMMON\267B005E19.EXE --> Eliminado Trojan.Riern.A

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\MACROMEDIA\COMMON\267B005E1.DLL --> Eliminado Trojan.Riern.A(dll)

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\Usuario\Datos de programa\Macromedia\Common\267b005e19.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(5-11-2009 20:16:36 (GMT))

EliStartPage v19.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\MACROMEDIA\COMMON\267B005E19.EXE --> Eliminado Trojan.Riern.A

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\MACROMEDIA\COMMON\267B005E1.DLL --> Eliminado Trojan.Riern.A(dll)

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\Usuario\Datos de programa\Macromedia\Common\267b005e19.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(5-11-2009 20:19:22 (GMT))

EliStartPage v19.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\SGPSA\BHO.DLL --> Eliminado, AdWare.BHO.IFR

C:\Documents and Settings\LocalService\Datos de programa\Macromedia\Common\267B005E19.EXE --> Eliminado, Trojan.Riern.A

[sastrevk]

Y aquí el informe de Sprocess:



(5-11-2009 20:15:33 GMT)

SProces v4.2 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: USUARIO-6844246

Nombre Usuario: Usuario



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK DVD SOLUTION\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB04.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\OMNIPAGESE2.0\OPWARESE2.EXE

C:\WINDOWS\VSNPSTD2.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_05\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\LABTEC\DESKTOP\V5.1\MOFFICE.EXE

C:\ARCHIVOS DE PROGRAMA\LABTEC\DESKTOP\V5.1\KBDAP32A.EXE

C:\ARCHIVOS DE PROGRAMA\LABTEC\DESKTOP\V5.1\MOUSE32A.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\PHOTOSHOP ELEMENTS 5.0\APDPROXY.EXE

C:\WINDOWS\SYSTEM32\MMRTKRNL.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE DOCTOR\PCTSTRAY.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\PHOTOSHOP ELEMENTS 5.0\PHOTOSHOPELEMENTSFILEAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE DOCTOR\PCTSAUXS.EXE

C:\ARCHIVOS DE PROGRAMA\ALAPLAYA\LAUNCHER\ALAPLAYALAUNCHER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\TUPROGST.EXE

C:\WINDOWS\SYSTEM32\MSPMSPSV.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE DOCTOR\PCTSSVC.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\TOOLBAR\WLTUSER.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\ESCRITORIO\PAPA\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [rundll32.exe]

O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\Usuario\Datos de programa\Macromedia\Common\267b005e19.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Labtec\Desktop\V5.1\moffice.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Desktop\V5.1\kbdap32a.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Elements 5.0\apdproxy.exe"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - Startup: Alaplaya Launcher.lnk

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://seben777.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {61FA0CB0-0806-46EA-B784-0F843285BA23} (TuentiFotoUploader Control) - http://estaticosak1.tuenti.com/client_apps/TuentiPhotoUploader.19605.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://sdlc-esd.sun.com/ESD39/JSCDL/jdk/6u5b/jinstall-6u5-windows-i586-jc.cab?AuthParam=1206288594_2afea35b5291fa211c9325ce108db32f&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD39/JSCDL/jdk/6u5b/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: alaplaya - {60E6FD61-FA26-4706-BF07-C55B3A49E66C} - C:\WINDOWS\system32\alading.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ACEDRV07 - Protect Software GmbH - C:\WINDOWS\system32\drivers\ACEDRV07.sys

O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Archivos de programa\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: gel90xne - Unknown owner - C:\DOCUME~1\Usuario\CONFIG~1\Temp\gel90xne.sys (file missing)

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Trust WB-3100P Portable Webcam (snpstd2) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snpstd2.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller (yukonwxp) - Marvell - C:\WINDOWS\SYSTEM32\DRIVERS\yk51x86.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



29 Servicios.

13 de Carga Automatica.

15 de Carga Manual.

1 Deshabilitados.

[julibaga]

Pues como que hizo una buena limpieza el elistara.

De todas formas, envía la siguiente muestra tal como se menciona.
[quote="sastrevk"]Por favor, envienos una muestra del fichero

C:\Muestras\NVCPL.EXE.Muestra EliStartPage v19.63

a "virus@satinfo.es". Gracias.[/quote]
Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



En cuanto al Sproces, esperemos a que [color=#800000]msc hotline sat[/color] te diga al respecto.



Y dinos si, después de haber reiniciado, continúan los problemas.

[msc hotline sat]

Pues aparte de enviarnos muestras del que ya te indica julibaga y que se te indicaba en el infosat:



Por favor, envienos una muestra del fichero

C:\Muestras\NVCPL.EXE.Muestra EliStartPage v19.63





respecto al log, envianos estas muestras para analizar:



C:\Documents and Settings\Usuario\Datos de programa\Macromedia\Common\267b005e19.exe



C:\WINDOWS\SYSTEM32\IMON.DLL



C:\WINDOWS\system32\drivers\ACEDRV07.sys



C:\DOCUME~1\Usuario\CONFIG~1\Temp\gel90xne.sys (es posible que esté con atributo de oculto o de sistema)







y ademas, lanza el LSPFIX:





[url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-Fix[/b][/url]



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-Fix[/b][/url]





Para enviarnos los ficheros pedidos, recuerda:





>[b]ENVIO DE MUESTRAS Y ELIMINACION DE



CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en



nuestras utilidades, de lo cual informaremos



saludos



ms, 6-11-1009

[sastrevk]

Estoy intentando enviaros el archivo de muestras tal y como indicais, pero con la version de mi Winzip, la contraseña debe ser de mínimo 8 caracteres, por lo tanto no puedo poner virus como contraseña.

Creo que la version es la 12.

Decirme algo. Gracias.

Saludos

[julibaga]

ponle como contraseña "virusvirus" (sin comillas) y avisa aquí para que [color=#800000]msc hotline sat[/color] lo tenga en cuenta.

[sastrevk]

Enviado farchivo muestras con contraseña virusvirus.

Saludos

[sastrevk]

Enviado resto de muestras excepto :\DOCUME~1\Usuario\CONFIG~1\Temp\gel90xne.sys (es posible que esté con atributo de oculto o de sistema) que no localizo, con contraseña virusvirus.

Saludos.

[msc hotline sat]

Por si fuera el caso, prueba con el ELIMOVER, INDICANDOLE UNIDAD, RUTA Y FICHERO:



C:\DOCUME~1\Usuario\CONFIG~1\Temp\gel90xne.sys



Y si lo encuentra lo copiará en C:\muestras , y sin atributos, de donde te será fácil poder enviarnoslo



Aparte, añade a todos los ficheros indicados (que te hemos pedido para analizar) la extensión .VIR, para que no se pongan en marcha a partir del proximo reinicio



y como te indiqué, lanza el LSPFIX



Tras todo ello, reinicia y cuentanos el resultado, gracias



saludos



ms, 7-11-2009







NOTA: Y el lunes, cuando volvamos al trabajo en ATINFO, analizaremos las muestras recibidas e informaremos. ms.

[sastrevk]

Lanzado LSPFIX. En principio todo sigue igual.

Salu2.

[msc hotline sat]

Y ha añadido .VIR a la extension de los ficheros indicados ???



Y ha encontrado el fichero gel90xne.sys con el ELIMOVER ??? En caso afirmativo, añada tambien .VIR al original del mismo en el disco duro (el ELIMOVER se lo permite, marcando la casilla inferior izquierda)



Si no lo había hecho, hagalo y tras reiniciar diganos el resultado, gracias



y si persiste la anomalía, prueba de reinstalar el I.E. ...



saludos



ms, 8-11-2009

[sastrevk]

Antes de lanzar LSPFIX, fueron renombrados ficheros indicados con extension vir.

Lanzado Elimover. No localiza fichero gel90xne.sys.

Salu2.

[msc hotline sat]

Al ser un temporal debió ser borrado automáticamente.



Pues ya con todo lo hecho no deberías tener problemas, pues los ficheros malware ya no están en uso, y los problemas con el IE 8 que mencionas pueden ser debidos a que borraran algun fichero o modificaran alguna clave de registro que le afecte, por lo que, mientras mañana analizamos las muestras y procedemos a su control y eliminacion, si procede, reinstala dicho IE8 a ver si asi normalizas su funcionamiento.



Y nos cuentas el resultado, gracias



saludos



ms, 8-11-2009

[sastrevk]

Reinstalado IE8. Todo sigue igual.

SAlu2.

[msc hotline sat]

Recibidas las muestras, de entrada vemos que una de ellas ya está controlada por el actualñ ELISTARA, como variante de Riern , y otra la del NVCPL ha resultado ser una nueva variante del Scar, que pasamos a controlar hoy con la nueva version 19.65:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Con ello se restaurarán las claves de registro que hubieran modificado dichos troyanos, y solo si hubieran afectado a ficheros de sistema, cabría lanzar una REPARACION, pero veamos si tras probar el ELISTARA 19.65 y reiniciar ya es suficiente. Posteenos contenido de infosat.txt tras ello, gracias



saludos



ms, 9-11-2009

[sastrevk]

Lanzado Elistara. Copio informe:



(18-11-2009 19:05:12 (GMT))

EliStartPage v19.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\MACROMEDIA\COMMON\267B005E1.DLL --> Eliminado Trojan.Riern.A(dll)

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\Usuario\Datos de programa\Macromedia\Common\267b005e19.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(18-11-2009 19:11:04 (GMT))

EliStartPage v19.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\NVCPL.EXE.MUESTRA ELISTARTPAGE V19.63 --> Eliminado, Trojan.Scar.AFGD



Nº Total de Directorios: 12583

Nº Total de Ficheros: 152826

Nº de Ficheros Analizados: 26102

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[lucl]

Pues ahora ya solo tienes que confirmarnos si se soluciono el problema, saludos.

[msc hotline sat]

Se supone que sí, por lo que vemos en:



EliStartPage v19.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\NVCPL.EXE.MUESTRA ELISTARTPAGE V19.63 --> Eliminado, Trojan.Scar.AFGD





pero como bien dice lucl, confirmanoslo para poder dar por solucionado el Tema, gracias



saludos



ms, 19-11-2009

[sastrevk]

Buenos días.

En principio parece que todo vuelve a funcionar correctamente.

Creo que podeis proceder a cerrar el tema, no sin antes agradeceros vuestra atención y sobre todo la paciencia que teneis con los que, como yo, somos un poco ignorantes en estos temas. Mil gracias!!!.

[admin]

Pues como msc, no estara temporalmente, me ocupo yo...





Pues celebramos que hayas solucionado tu problema, si necesitas algo ya sabes donde localizarnos.





CIERRO TEMA