PROBLEMAS CON LA PC

[splinter_master]

ES LA PRIMERA VEZ QUE ESCRIBO A ESTE FORO, POR LO MISMO IGNORO SI EL PROBLEMA A QUE HAGO MENSION CORRESPONDA AL MISMO.



ESTO LE OCURRE A UNA AMIGA, ELLA TIENE INSTALADO WINDOWS MILLENIUM.



se le borraron la barra de direcciones, vinculos, botones standar y cada que abro explorer tengo que ponerselos manualmente.



entro a opciones de internet



clik en seguridad y se borraron las zonas de internet y la de sitios restringidos, quedando solo intranet local y sitios de confianza



tambien no abre los programas de microsoft, aparece este anuncio cada que intento abrirlos (esta accion solo es valida para productos ya instalados)



corri el elistar. me detecto y me reparo algunos ficheros, y lo volvi a correr junto con el norton 2004 y con el ad-aware y no detectan ningun virus.



los programas de microsoft (word, exel, point acces) esos programas no los abre.



el explorer solo puede abrir la pagina de inicio (p.ejem.: yahoo) pero le introdusco otra pagina en la barra y no la abre solo parpadea pero no abre ninguna



ESO ES LO QUE LE SUCEDE, NO SABEMOS SI LO PROVOCA UN VIRUS, PORQUE COMO VEN, SON MUCHAS LAS FALLAS. LES AGRADECERIA SOBREMANERA QUE NOS DIERAN UNA AYUDA.

[maura63]

Seria buen tiempo para cambiar de sistema operativo, el ME esta obsoleto y no reportado por microsoft.



Para ver si detectamos algo en principio



Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/



Bajar :

http://www.hijackthis.de/downloads/hijackthis_199.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.





Saludos

maura63

[msc hotline sat]

Aparte de lo indicado por Maura63 cabe indicar que parece como si faltaran ficheros de las aplicaciones a las que llama, quizas librerias DLL.



Por si ello nos diera una pista, indiquenos lo que le detectó y eliminó el ELISTARA, que nos dice que detectó algo. Ello lo puede ver en el fichero INFOSAT.TXT que dicha utilidad creó en el dorectorio raiz C:\



Incluso nos puede pegar su contenido en un proximo post, y veremos si su problema puede deberse a las acciones del troyano



saludos



ms, 10-07-2005

[splinter_master]

GRACIAS POR SU TIEMPO. ESTO FUE LO QUE GRABO



Tue Jun 21 17:26:52 2005

EliStartPage v9.4 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE --> Eliminado Danger (DLoad)

Por favor, envienos una muestra del fichero

C:\WINDOWS\TEMP\MEGAHOST.DLL.Muestra EliStartPage v9.4

a "virus@satinfo.es". Gracias.

C:\WINDOWS\TEMP\MEGAHOST.DLL --> Eliminado

Entrada Eliminada [HKLM\...\RunServices] "Srv32 spool service"="C:\WINDOWS\System\spoolsrv32.exe"

Eliminada Class, BHO y ToolBar "{8BC6346B-FFB0-4435-ACE3-FACA6CD77816}"

Eliminadas las Paginas de Inicio y de Busqueda del IE



Tue Jun 21 17:37:44 2005

EliStartPage v9.4 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayer\uninstall.EXE --> AutoExtraible

C:\Mis documentos\bsplayer122.817.exe --> AutoExtraible



Tue Jun 28 13:57:48 2005

EliStartPage v9.4 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 28 14:04:31 2005

EliStartPage v9.4 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayer\uninstall.EXE --> AutoExtraible

C:\Mis documentos\bsplayer122.817.exe --> AutoExtraible



Thu Jul 07 20:31:23 2005

EliStartPage v9.4 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 07 20:37:44 2005

EliStartPage v9.4 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayer\uninstall.EXE --> AutoExtraible

C:\Mis documentos\bsplayer122.817.exe --> AutoExtraible



Fri Jul 08 15:07:01 2005

EliStartPage v10.01 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminados Ficheros Temporales del IE



Fri Jul 08 15:08:10 2005

EliStartPage v10.01 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM\ltfil13n.dll --> Eliminado, WinAd

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayer\uninstall.EXE --> AutoExtraible

C:\Mis documentos\bsplayer122.817.exe --> AutoExtraible



Fri Jul 08 21:48:01 2005

EliStartPage v10.01 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCEMLPXY.DLL --> Eliminado, ISTBar.B

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayer\uninstall.EXE --> AutoExtraible

C:\Mis documentos\bsplayer122.817.exe --> AutoExtraible



Sat Jul 09 08:02:40 2005

EliStartPage v9.4 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jul 09 08:09:05 2005

EliStartPage v9.4 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayer\uninstall.EXE --> AutoExtraible

C:\Mis documentos\bsplayer122.817.exe --> AutoExtraible



ESTO ES LO QUE GRABO, ESPERO QUE SEA DE AYUDA PARA USTEDES

[msc hotline sat]

Como que tuviste el adware Winad y se eliminó la libreria LTFIL13N.DLL, descarga la correcta de http://www.dlldump.com/cgi-bin/testwrap/downloadcounts.cgi?rt=count&path=dllfiles/L/LTFIL13N.DLL

y la copias en C:\windows\system32 , reinicias y pruebas de nuevo, y nos cuentas el resultado



saludos



ms, 10-07-2005

[splinter_master]

NO HUBO CAMBIO, LA PC SIGUIO IGUAL.

[caito]

Bajar :

http://www.hijackthis.de/downloads/hijackthis_199.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Salu2

caito

[splinter_master]

ESTO FUE LO QUE RESULTO CON EL HIJACK.



Logfile of HijackThis v1.99.1

Scan saved at 12:54:09 p.m., on 10/07/2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\HIJACKTHIS_199

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.mx/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMON.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb02.exe

O4 - HKLM\..\Run: [vmtuner] gglib.exe

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBSe

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB

O15 - Trusted Zone: http://www.zonavirus.com

O15 - Trusted Zone: *.ares lite

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {564EC66E-5A1B-51D3-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/sext01.chm::/MegaInstaller.exe

[caito]

Baja este programa :

http://diskcleaner.robertenfemke.nl/

Y el AdAware Se:

http://www.zonavirus.com/datos/descargas/9/Ad-Aware_SE_Personal_Edition.asp



Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )



Desactiva Restaurar Sistema (si tienes ME o XP )

Reinicia en Modo seguro o A prueba de Fallos

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Lanza el Hijack

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

gglib.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

O4 - HKLM\..\Run: [vmtuner] gglib.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {564EC66E-5A1B-51D3-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/sext01.chm::/MegaInstaller.exe

Cierra el Hijack.

Busca estos archivos y los eliminas:

gglib.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se 1.06 actualizado al 07/07/05

Reinicia normal, conecta Internet y pega un nuevo log

Salu2

Caito

[msc hotline sat]

La presencia del MegaInstaller.EXE denota la existencia del troyano MHTREDIR que no se elimina simplemente desde el HJT



O16 - DPF: {564EC66E-5A1B-51D3-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/sext01.chm::/MegaInstaller.exe



Vea la descripcion de Symantec a tal efecto y sus indicaciones de eliminacion manual, en:



http://sarc.com/avcenter/venc/data/adware.bestsearch.html



Si nos envia muestra de dicho fichero, MEGAINSTALLER.EXE podremos potenciar nuestra utilidad ELISTARA para que elimine automaticamente este troyano y restaure las claves modificadas. Para ello anexe una copia de dicho fichero a un mail dirigido a zonavirus@satinfo.es en cuyo texto figure la referencia "REF MEGAINSTALLER.EXE" y le contestaremos como respuesta de este Tema



saludos



ms, 11-07-2005