| HectorFM |  |
|
2005-03-31 19:40 - Respuestas: 18 - Tema nº: 31111
Eso sí es nuevo para mí, no sabía que pudiera haber falsos positivos o negativos... Considero que puedo interpretar medianamente bien los informes que da esa página, además de que no he tenido que borrar nada usando el HijackThis. Pero ya que salió el tema, pregunto:
JoSeMi, ¿podrías indicarme algún recurso para aprender uno mismo a interpretar correctamente el log del HijackThis? Quizá puedas darme la dirección de ese foro que mencionas, o algún tutorial... aunque creo saber lo suficiente como para no incurrir en errores graves, quisiera aprender más al respecto...
| |
|
|
| JoSeMi |  |
|
Re: Virus ?? - 2005-03-31 20:08 - Respuesta 7
Pues hay un pequeño manual genérico que sirve para aprender a interpretar un poquito algunas entradas:
http://www.merijn.org/htlogtutorial.html
El problema es que es genérico, y cada día salen nuevos spywares que no se contemplan ahí. A parte de que los falsos positivos o falsos negativos sólo se aprenden a distinguir con la experiencia, no hay ningún libro ni manual en el que salgan, Únicamente vale la experiencia y los posibles conocimientos que se puedan tener relativos a múltiples áreas, y a veces, la propia intuición.
Saludos. | |
|
|
| HectorFM | |
|
Re: Virus ?? - 2005-03-31 20:20 - Respuesta 8
Entiendo... Supongo que con el tiempo podré descifrar los logs del HijackThis con mejor exactitud. De cualquier modo echaré un vistazo a ese manual que comentas. Gracias.
| |
|
|
| elemi |  |
|
Re: Virus ?? - 2005-04-01 14:07 - Respuesta 9
Hola, aquí les mando el log. Ahora, yo tengo impreso el manual del que habla Josemi y por lo que dice en él hay letras que hacen referencia al browser Mozilla y por lo que vi en este log no hay ninguna. Digo esto porque aunque tengo 3 browsers el que más uso es el Mozilla (aclaro que no soy un experto en esto de leer logs). Saludos
Logfile of HijackThis v1.99.1
Scan saved at Emi 8:42:33 , on 02/04/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\oodag.exe
C:\ARCHIV~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINNT\system32\pctspk.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\usuario preferido\Configuración local\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ubbi.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oca.com.uy/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Ciudad Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\AGNITUM\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\AGNITUM\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra button: Clarin - {200FBF36-EE21-4D4A-A455-0AE26E12E531} - http://www.clarin.com.ar (file missing) (HKCU)
O9 - Extra button: Tu Pareja - {3B88DE8E-A776-4237-AC1F-F03B7F4845A0} - http://www.ciudad.com.ar/ar/servicios/ie/tebusco.asp (file missing) (HKCU)
O9 - Extra button: Mensajero - {4E7447C5-6D4E-4A35-8CE8-B2D3D7DD2A1C} - http://www.ciudad.com.ar/ar/servicios/ie/mensajerosonline.asp (file missing) (HKCU)
O9 - Extra button: Webmail - {4E810FF8-684D-43B0-9EC0-01919F10D485} - http://www.ciudad.com.ar/ar/servicios/ie/webmail.asp (file missing) (HKCU)
O9 - Extra button: Postales - {827CD201-B9BA-424D-A664-7C970C2945C0} - http://www.ciudad.com.ar/ar/servicios/ie/postales.asp (file missing) (HKCU)
O9 - Extra button: Foros - {A0AE6875-F842-44DF-AD76-CA9BCDB35C6E} - http://www.ciudad.com.ar/ar/servicios/ie/foros.asp (file missing) (HKCU)
O9 - Extra button: Chat - {A5050A1E-15ED-42B8-83D6-31561A420E62} - http://www.ciudad.com.ar/ar/servicios/ie/chat.asp (file missing) (HKCU)
O9 - Extra button: Ciudad - {F4E4A06E-95A3-4ADC-B538-2BF603B5A347} - http://www.ciudad.com.ar (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\AGNITUM\OUTPOS~1\outpost.exe
O23 - Service: W2K PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINNT\system32\pctspk.exe
| |
|
|
|
