alguien puede ayudarme par favor....

[george87]

me entro en mi pc el Trj/StartPage.EB y le pasé el panda (antivirus online) y lo detecto y lo desactivo, luego entré a los registros de windows y elimine sus rastros, pero que pasa? al reiniciar el ordenador (win xp) aparece nuevamente todo, y el antivirus no lo registra mas y en el registro de windows aparece todas las entradas que habia borrado otra vez. probe activar (dasactivar restaurar sistema) pero no hay caso y no lo puedo sacar y ningun antivirus lo registra. si alguien me puede dar una mano se lo agradeceria mucho. muchas gracias.......george87

[TseTse]

Bajate el Spybot-S&D y analiza el sistema con el.

TseTse

[george87]

gracias por tu ayuda tse tse pero el spybot-S&D tampoco detecta las entradas en el registro si tienes otra sugerencia, arribaaa!!! graciassss

[diarrea]

A ver q pasa: Elimina todos los arhcivos temporales de internet, establece la página de inicio en about:blank. Vete a System32/drivers/etc y elimina la referencia auto.search.msn.com del archivo hosts. Esto lo que hace es redireccionarte el autosearch a una IP controlada por el autor del virus. Vuelve a eliminar las entradas del registro y reinicia.
Por último, pásate al Mozilla o al Firefox ya que como era de esperar, este troyano sólo afecta al IE. Sólo es un cosejo.

[Markitos1024]

Otra cosa jorge, cerra todas las aplicaciones que se te esten ejecuntandoi en memoria antes de ejecutar el antivirus, porque es probable que despues de que borres las entradas de registro se vuelvana escribir por una aplicaciojn residente en memoria, tambien mira el msconfig desde ejecutar y fijate que hace tu maquina al iniciar.
PD: Al final no fuiste a la BUE, te perdiste a Andy Fletcher, yo tambien :'(

[george87]

mmmm ya probe con el archivo host pero no figura la direccion de ip de esa pagina figura esto:
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x

127.0.0.1 localhost

por ahi no se como modificarlo el archivo pero el problema persisite y el panda ya no detecta el virus y sigue activo. de todas formas graciass.
pd: marcosss pasa por casa!!!!!!!!!!!!!!!!!!!!!!jejej

[descalzo15]

Hola mira en la pagina de Panda pone que despues de pasar el antivirus panda hay que hacer todo esto
Borre las entradas que StartPage.EB ha creado en el Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Bar = %startpage%

HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Page = %startpage%

HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Search
SearchAssistant = %startpage%

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Search Bar = %startpage%

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Search Page = %startpage%

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Search
SearchAssistant = %startpage%
donde %startpage% es una cadena de texto del siguiente tipo:
res://%xx%xx%…/%73%70%2e%68%74%6d%6c
Cada grupo %xx es la representación de un carácter en hexadecimal.

Reinicie el ordenador.
Si no lo has hecho lo haces a ver que tal te va
Adios

[diarrea]

Bueno, por lo q veo el Panda debió eliminar las referencias en el archivo Hosts así que no tienes que modificarlo; el problema está en otro lado. Eliminaste las claves como dijo Descalzo15?

[george87]

sii hice todo lo que decia y borre las entradas en el registro de windows pero cuando reinicio el ordenador aparecen todas de nuevo como si no las hubiece borrado nunca para mi que hay un archivo dll en alguna carpeta de system32 pero no se cual que tengo que encontrar.... a uds que les parece??sera eso ya no se que mas probar

[TseTse]

Bajate el HijackThis: http://www.spywareinfo.com/~merijn/downloads.html

Ejecutalo, haz clic en scan y luego en Save log, y el log lo pegas aquí.

TseTse

[george87]

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Symantec\LiveUpdate\LUALL.EXE
C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Winamp3\winamp3.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\instaladores\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vortdd.t.muxa.cc/h.php?aid=35 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://vortdd.t.muxa.cc/h.php?aid=35 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://vortdd.t.muxa.cc/h.php?aid=35 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.net2phone.com/cgi-bin/cli...urce=NS_USA106
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_30.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [InstantAccess] C:\ARCHIV~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\ARCHIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Archivos de programa\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\ARCHIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - Startup: reminder-Registro del producto ScanSoft.lnk = C:\Archivos de programa\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O4 - Global Startup: KYESCAN.lnk = C:\Archivos de programa\ScannerP\KYEScan.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Net2Phone (HKLM)
O9 - Extra 'Tools' menuitem: Net2Phone (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://D:\autocad\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\autocad\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://D:\autocad\InstFred.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://D:\autocad\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{0712BCA6-4E98-4517-A803-C81E37E59E97}: NameServer = 209.13.167.227 209.13.172.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{0712BCA6-4E98-4517-A803-C81E37E59E97}: NameServer = 209.13.167.227 209.13.172.3


ya esta tse tse gracias por tu onda

[TseTse]

Vuelve a hacer el scan y marcas estos:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vortdd.t.muxa.cc/h.php?aid=35 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://vortdd.t.muxa.cc/h.php?aid=35 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://vortdd.t.muxa.cc/s.php?aid=35 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://vortdd.t.muxa.cc/h.php?aid=35 (obfuscated)
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_30.dll
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Archivos de programa\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [New.net Startup] rundll32
O4 - HKLM\..\Run: [sys] regedit -s sys.reg C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Luego pulsas en Fix, te guardará una copia de seguridad.

Por otra parte, estás infectado por el virus Gaobot: http://www.vsantivirus.com/gaobot-cr.htm

Que se corresponde a:
C:\WINDOWS\system32\slserv.exe

Con eso y desinfectandote del virus creo que bastará, de todas formas para estar más seguro, inicia el sistema en modo a prueba de fallos, actualiza tu antivirus y analiza todo el sistema con el. Lo mismo con el Spybot-S&D.

TseTse

[george87]

capoooooo!!!! ) sos un capo tse tse diste en el clavo ya solucione ambos virus!!!! graciassss a todos los que me ayudaron!!!! george87