| kernnel |  |
|
2006-02-06 14:48 - Respuestas: 2 - Tema nº: 2407372
Amigos tengo uno o mas spyware, podrian ayudarme?
Logfile of HijackThis v1.99.1
Scan saved at 10:10:43, on 06-02-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\EG4385.EXE
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Google\Google Talk\googletalk.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Google\Web Accelerator\GoogleWebAccWarden.exe
C:\Archivos de programa\Google\Web Accelerator\googlewebaccclient.exe
C:\ARCHIV~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Avant Browser\avant.exe
C:\ARCHIV~1\INCRED~1\bin\IncMail.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\WINDOWS\system32\taskmgr.exe
C:\jasc\Paint Shop Pro 9.exe
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0C0A/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0C0A/bl7.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\Archivos de programa\Google\Web Accelerator\GoogleWebAccToolbar.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Archivos de programa\Google\Web Accelerator\GoogleWebAccToolbar.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: enhanced keyboard driver.lnk = C:\Archivos de programa\EnhanceKeyboard\kb_2k.exe
O4 - Global Startup: Run Google Web Accelerator.lnk = C:\Archivos de programa\Google\Web Accelerator\GoogleWebAccWarden.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Abrir en Avant Browser nuevo - C:\Archivos de programa\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Abrir todos los vínculos de esta página... - C:\Archivos de programa\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Añadir a la lista negra de anuncios - C:\Archivos de programa\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Bloquear todas las imágenes del mismo servidor - C:\Archivos de programa\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Buscar - C:\Archivos de programa\Avant Browser\Search.htm
O8 - Extra context menu item: Destacar - C:\Archivos de programa\Avant Browser\Highlight.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://10.83.230.30/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://10.83.230.30/officescan/console/ClientInstall/setup.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.3.1.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://10.83.230.30/officescan/console/html/AtxEnc.cab
O16 - DPF: {44C7F862-906C-11D3-A8ED-0008C75B3588} (IEPAPI Class) - http://10.83.230.30/CyberDOCS/Plugins/papibrdg.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by24fd.bay24.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://10.83.230.30/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://10.83.230.30/CyberDOCS/Plugins/isetupml.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Herramienta de carga de Yahoo! Fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_6es.cab
O16 - DPF: {8990AFAD-D352-42AC-A72F-A660BBF6E209} (OfficeScan Management Console) - https://10.83.230.30/officescan/console/html/AtxConsole.cab
O16 - DPF: {A050E865-64E3-431B-8079-F0DFCEA90A2D} (PieChart Class) - https://10.83.230.30/officescan/console/html/AtxPie.cab
O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://webcam1.uoct.cl/wg_webeye.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8122ABB-5F48-410A-B313-9AF7E85E58E2}: NameServer = 10.83.230.5,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{A8122ABB-5F48-410A-B313-9AF7E85E58E2}: NameServer = 10.83.230.5,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{A8122ABB-5F48-410A-B313-9AF7E85E58E2}: NameServer = 10.83.230.5,0.0.0.0
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
De antemano muchas gracias. | |
|
|
| techior |  |
|
Re: Les dejo mi log de hijackThis para que lo vean - 2006-02-06 15:27 - Respuesta 2
Sin duda!
Ad-aware Personal SE, descarga, actualiza, ejecuta en "full system scan" y a correr. Debiera resolverte los problemas.
Para el futuro, sube el nivel de seguridad de I.E. a "alta" antes de meterte en "ciertos sitios"
Un saludo
PD: Tengo un deja vú tremendo..... | |
|
|
| Fuliazo |  |
|
Re: Les dejo mi log de hijackThis para que lo vean - 2006-02-06 15:32 - Respuesta 3
El Hijackthis sólo se usa como último recurso. antes de pasarlo debes instalar y escanear tu Pc con algunos programas antispyware.
La forma más efectiva de hacer una limpieza profunda es la siguiente:
Baja, instala y actualiza los siguientes programas, después los pasas en modo seguro (o a prueba de fallos, segun el windows que uses)
Spybot - Search & Destroy (Bájalo aqui)
Ad-aware SE (baja el pack de lenguajes aqui)
Microsoft antispyware (Para Windows 2000, XP y 2003)
Despues, le pasas los siguientes programas (también en modo seguro):
EasyCleaner
Regsupreme
Para estar seguros de la limpieza hay que pasarle por lo menos 2 antivirus en linea.
Aqui están los 4 que yo uso:
Panda antivirus
Computer associates
Trend micro
Bit defender
Por último, si no funciona y como último recurso, se usa el Hijackthis y pegas el log para que sea analizado
[ Este mensaje fué editado por: fuliazo el 06-02-2006 a las 15:34] | |
|
|
|
