virus, archivos se.dll (cerrado)

[ismael20]

buenas a todos.



el problema que tengo es que tengo la pagina de inicio about:blank ya utilice las herramientas que mencionan en otro post como.



elistara

elihome

CWShredder

elistarpage



el unico que me funciona es CWShredder los demas se quedan cuando dice procesando archivos viricos y nada mas y no termina.



tod lo e hecho a mode seguro y nada tambien he pasado el antivirus y me detecta el virus starpage pero lo elimina pero cuando reinicio y entro a internet aparace el mensaje de virus starpage y el rchivo se.dll



la lpagina de inicio que tengo es search for... le he pasado el hijackthis y aparece lo siguiente



Logfile of HijackThis v1.99.1

Scan saved at 10:38:00 a.m., on 11/03/2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGCC.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGEMC.EXE

C:\WINDOWS\ptsnoop.exe

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\ESCRITORIO\ELISTARA.EXE

C:\WINDOWS\ESCRITORIO\HIJACKTHIS\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {5C226F6C-B9C2-46A2-BF80-8318ADAF598E} - C:\WINDOWS\SYSTEM\OBMD.DLL

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\WINDOWS\ESCRITORIO\ELISTARA.EXE

O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O18 - Filter: text/html - {FF346F19-212A-4C2A-A47E-C547F6B4DD94} - C:\WINDOWS\SYSTEM\OBMD.DLL

O18 - Filter: text/plain - {FF346F19-212A-4C2A-A47E-C547F6B4DD94} - C:\WINDOWS\SYSTEM\OBMD.DLL





le he pasdo el aboutbuster y si puedo cambiar la pagina pero en unos 5 minutos la vuelve a cambiar



espero que me pueda ayudar

[maura63]

Lo primero que veo es



C:\WINDOWS\ptsnoop.exe [color=red]Troj/Ptsnoop [/color]



Como usas ME pasa las utilidades desactivando la restauracion del sistema o no surtiran efectos los cambios y arranca en modo seguro o a prueba de fallos.



Pasa las utilidades anteriores y el antivirus.



Despues actualiza tu internet explorer a la 6.0 SP1 + parches.



Saludos

maura63

[caito]

Para mí es un archivo legal, yo lo tengo :D

C:\WINDOWS\ptsnoop.exe

salu2

Caito

[maura63]

Si pero depende



VSantivirus No. 515 - Año 6 - Miércoles 5 diciembre de 2001



Nombre: Troj/Ptsnoop

Tipo: Caballo de Troya

Alias: Ptsnoop, Backdoor.Ptsnoop



[color=red]Ptsnoop.exe, normalmente es un driver que instalan los módems PCTel, HSP, y otros. Extrañamente, no es necesario que Ptsnoop esté instalado para que estos módems funcionen, pudiendo ser borrado, como veremos más adelante.[/color]Recientemente ha sido reportado un troyano que habilita una puerta trasera en la computadora infectada, y que tiene el mismo nombre que el driver mencionado al principio.



Escrito en Visual Basic, cuando se ejecuta, este troyano busca alguna conexión a Internet (RAS) activa. Si no la encuentra, finaliza su ejecución.



Si existe una conexión hecha, el troyano se instala en el sistema, copiándose a si mismo como PTSNOOP.EXE en la carpeta \Windows\System\. Luego modifica el archivo WIN.INI, agregándose en la entrada LOAD= bajo la etiqueta [Windows]:

[Windows]

Load=C:\Windows\System\Ptsnoop.exe



Para modificar WIN.INI, el troyano primero copia este archivo como WIN.ANA, modifica la entrada que vimos (Load=), borra a WIN.INI original y renombra a WIN.ANA como WIN.INI. De este modo, el troyano se ejecutará en cada reinicio de Windows.



Una vez activo, intenta conectarse a los siguientes sitios:



http://setway.cjb.net

http://setway1.cjb.net

http://setone.cjb.net



Si la conexión tiene éxito, el troyano coloca el cursor del ratón en determinada área, y permite al atacante o a un script en los sitios mencionados, controlar los movimientos del ratón y la posición de las ventanas.



La razón para hacer esto no está clara, ya que los sitios mencionados han sido dados de baja o modificados.



La idea podría haber sido conseguir que la víctima pulsara el botón del ratón en ciertas áreas de un sitio, para bajar o ejecutar un script o un archivo binario.



El troyano puede eliminarse quitándolo del inicio, mediante la modificación del archivo WIN.INI (Load=).



Ante la duda, esto puede hacerse incluso si se tiene el verdadero archivo PTSNOOP.EXE instalado. Para entender esto, veamos que hace el PTSNOOP real.



El verdadero PTSNOOP.EXE



La función de este archivo es estar pendiente de que algún programa solicite el uso de determinado puerto usado por el módem, para poder asignarle los recursos del sistema necesarios al establecerse una conexión, y si fuera necesario, para decidir instalar los drivers del módem (estos módems, del tipo Winmodem, crean un puerto por software, no físico, utilizando los recursos del procesador para funcionar).



Técnicamente, se trata de un "virtual port snoop", un archivo que monitorea el puerto comúnmente llamado "AMR port" o Audio Modem Riser, usados por ejemplo por los típicos módems integrados a las placas.



Como curiosidad, Ptsnoop puede provocar en ocasiones un error muy común al intentarse el uso del módem: la aparición del mensaje "el puerto ya está abierto" o similar, y la imposibilidad de conectarse. Casi siempre, ello se debe a que PTSNOOP no ha liberado el puerto para el uso del módem.



Físicamente, se trata de un TSR (un programa de DOS que queda residente en memoria), ocupando casi un mega.



Algunos antivirus (McAfee y Norton), solían confundirlo en algunas de sus versiones, con un troyano, por su tipo de actividad, ya que actúa cuando se intenta establecer una llamada vía módem para conectarse. La existencia del troyano que describimos en este informe, debe ponernos en alerta, aún cuando no fuera el caso.



Por otra parte, PTSNOOP puede ser descargado sin que el módem tenga problemas (al menos en la mayoría de los casos).



Para eliminarlo, busque y borre todos los archivos PTSNOOP.EXE que aparezcan en su PC.



Edite el archivo C:\WINDOWS\WIN.INI con el bloc de notas o con SYSEDIT, y borre las referencias a este archivo en LOAD= o RUN=, de modo que la entrada quede así:



[Windows]

Load=



Ejecute el REGEDIT y busque esta rama:



HKLM\Software\Microsoft\Windows\CurrentVersion\Run



Si aparece PTSNOOP en la ventana de la derecha, borre dicha entrada.



Para eliminar el troyano PTSNOOP.EXE



Ejecute un antivirus al día, y luego proceda de la misma manera que se acaba de indicar para sacar del archivo WIN.INI el verdadero PSTSNOOP.EXE. Borre el archivo PTSNOOP.EXE.



El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.



Mas vale curarse en salud, por eso no le digo que lo elimine aunque sea innecesario y pase un antivirus.



Saludos

maura63

[msc hotline sat]

Aparte de lo xomplementario de lo indicado, el SE.DLL, al igual que el SP.DLL son procesos de variantes del StartPage-DU que se eliminan facilmente con la utilidad ELISTARA.EXE:



https://foros.zonavirus.com/viewtopic.php?p=3565#3565



Probadla, que cada día tiene mas prestaciones y controla mas claves.



saludos



ms, 11-03-2005

[ismael20]

pase el escaneador de panda online

y me aparecieron los siguientes archivos



Incidencia Estado Elemento



Spyware:Spyware/New.net No desinfectado C:\WINDOWS\NDNuninstall*.exe

Adware:Adware/SaveNow No desinfectado C:\WINDOWS\Downloaded Program Files\WUInst.inf

Spyware:Spyware/Dyfuca No desinfectado C:\WINDOWS\Favoritos\going places\travel.lnk

Adware:Adware/PowerScan No desinfectado Registro de Windows

Adware:Adware/CWS No desinfectado C:\WINDOWS\Favoritos\Fun & Games\Casino Palace.lnk

Adware:Adware/CWS.Yexe No desinfectado C:\WINDOWS\SYSTEM\services

Adware:Adware/Twain-Tech No desinfectado C:\WINDOWS\smdat32a.sys

Adware:Adware/WUpd No desinfectado C:\WINDOWS\SYSTEM\ide21201.vxd

Spyware:Spyware/Altnet No desinfectado Registro de Windows

Adware:Adware/Fastvideoplayer No desinfectado C:\WINDOWS\inf\fastvideoplayer.inf

Spyware:Spyware/Whazit No desinfectado C:\WINDOWS\SYSTEM\fiz1

Spyware:Spyware/SurfSideKick No desinfectado C:\WINDOWS\Archivos temporales de Internet\Ssk.log

Adware:Adware/IEDriver No desinfectado C:\WINDOWS\SYSTEM\LFKODAK8.exe

Adware:Adware/IEDriver No desinfectado C:\WINDOWS\SYSTEM\HOTPLUG4.exe

Adware:Adware/IEDriver No desinfectado C:\WINDOWS\SYSTEM\HOTPLUG0.exe

Posible Virus. No desinfectado C:\WINDOWS\SYSTEM\winldra1.exe

Spyware:Spyware/ClientMan No desinfectado C:\WINDOWS\SYSTEM\msiaih.dll

borre todos estos archivos manualmente ytambien le pase el ad-aware6 y medetecto 3 entradas de about:blank y las elimine, claro en modo seguro y desactive restaurar sistema y creo que solucionado porque ya me aparece la pagina de google que es la que tenia como predeterminada.



solo que las utilidades como Elistara sigo sin poderlas ejecutar ya que se queda en procesando archivos viricos y no termina



gracias por la ayuda

[maura63]

Pasa los programas DESACTIVANDO RESTAURAR SISTEMA Y ARRANCANDO EN MODO SEGURO O A PRUEBA DE FALLOS.



Algunas de tus incidencias Spybot ó Ad_aware te las eliminaran asi.



El resto, la utilida de Msc , en el mismo modo debe solucionarte el problema.



No andes pricipitadamente para arreglarlo y leete bien el tutorial y sigue los pasos, es lo primordial para limpiar basura.



Saludos

maura63

[maura63]

Post data:



Utiliza al igual Spybot que conjuntamente con Ad_aware se complementan.



Saludos

maura63

[msc hotline sat]

Pasados 8 días sin contestar, Dando por silucionado el Tema, lo cerramos.



saludos



ms, 18-03-2005