Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: klondike en 27 de Junio de 2006, 08:21:30 pm

Título: Un logfile del hijack this
Publicado por: klondike en 27 de Junio de 2006, 08:21:30 pm: Un compañero de otro foro, concretamente aquí (http://www.hardcore-modding.com/modules.php?name=Forums&file=viewtopic&t=35360), me ha dejado este logfile, he resaltado en negrita aquellas entradas que debe borrar para que se le inicien los antivirus, etc. sin embargo supongo que me dejo algo. ¿Podeis revisarlo?:

Logfile of HijackThis v1.99.1
Scan saved at 17:31:00, on 27/6/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Opera\Opera.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\karlos\CONFIG~1\Temp\Rar$EX00.116\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.overture.com/d/search/p/befree/?Promo=befree00088981906563277238&Keywords=Search+Engines&Go=Go&Promo=befree
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.overture.com/d/search/p/befree/?Promo=befree00088981906563281284&Keywords=Home+Page&Go=Go&Promo=befree
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Nothing - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.overture.com/d/search/p/befree/?Promo=befree00088981906563281284&Keywords=Home+Page&Go=Go&Promo=befree
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://esegoti.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150819366133
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
Título: Re: Un logfile del hijack this
Publicado por: Mr_X en 27 de Junio de 2006, 10:05:52 pm: Yo te recomendaría mejor usar el Autoruns o alguna herramienta especializada en quitar el SmitFraud (SpyAxe, SpyFalcon, SpySheriff, etc.)...
Título: Re: Un logfile del hijack this
Publicado por: klondike en 27 de Junio de 2006, 10:13:52 pm: ¿Autoruns? de acuerdo ahora le pido un log :-)
Título: Re: Un logfile del hijack this
Publicado por: klondike en 29 de Junio de 2006, 12:50:08 pm: Bueno, entendedor del registro de windows y conocedor del código fuente de dicho SO, aquí lo tienes:

Código: [Seleccionar]
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run + Advanced Tools Check Norton AntiVirus Advanced Tools Integrity Checker (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\advtools\advchk.exe + ccApp Common Client CC App (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccapp.exe + ccRegVfy Common Client Registry Integrity Verifier (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccregvfy.exe + MessengerPlus3 Messenger Plus! (Verified) Patchou c:\archivos de programa\messengerplus! 3\msgplus.exe + NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe + Symantec NetDriver Monitor Symantec Security Drivers Install Monitor (Verified) Symantec Corporation c:\archivos de programa\symnetdrv\sndmon.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio + WinZip Quick Pick.lnk WinZip Executable (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzqkpick.exe C:\Documents and Settings\karlos\Menú Inicio\Programas\Inicio HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run + dcomcfg.exe c:\windows\system32\dcomcfg.exe + kernel32.dll c:\windows\system32\atmclk.exe + wininet.dll c:\windows\system32\regperf.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run + MessengerPlus3 Messenger Plus! (Verified) Patchou c:\archivos de programa\messengerplus! 3\msgplus.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Classes\Protocols\Filter HKLM\SOFTWARE\Classes\Protocols\Handler + cdo Microsoft SharePoint Portal Server Object Model (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\web folders\pkmcdo.dll + msnim MSN Messenger Protocol Handler (Not verified) Microsoft Corporation c:\archivos de programa\msn messenger\msgrapp.dll HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components + 0 File not found: About:Home HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler + forevouched c:\windows\system32\viwpzla.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved + BitDefender Antivirus v9 BDShellExt Module c:\archivos de programa\softwin\bitdefender9\bdshelxt.dll + Carpetas Web Microsoft Web Folders (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll + Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll + WinRAR shell extension c:\archivos de programa\winrar\rarext.dll + WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll + WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll + WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll + WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved HKLM\Software\Classes\Folder\Shellex\ColumnHandlers HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects + CNavExtBho Class Norton AntiVirusNAVShellExt Module (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\navshext.dll + Nothing c:\windows\system32\hp100.tmp HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks HKLM\Software\Microsoft\Internet Explorer\Toolbar + Norton AntiVirus Norton AntiVirusNAVShellExt Module (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\navshext.dll HKCU\Software\Microsoft\Internet Explorer\Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars HKCU\Software\Microsoft\Internet Explorer\Extensions HKLM\Software\Microsoft\Internet Explorer\Extensions Task Scheduler + Norton AntiVirus - Scan my computer.job Norton AntiVirus Scanner Module (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\navw32.exe + Symantec NetDetect.job Symantec NetDetect (Verified) Symantec Corporation c:\archivos de programa\symantec\liveupdate\ndetect.exe HKLM\System\CurrentControlSet\Services + ccEvtMgr Symantec Event Manager (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccevtmgr.exe + navapsvc Handles Norton AntiVirus Auto-Protect events. (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\navapsvc.exe + NProtectService Norton Protection Status (Not verified) Symantec Corporation c:\archivos de programa\norton antivirus\advtools\nprotect.exe + SBService ScriptBlocking registration (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\script blocking\sbserv.exe HKLM\System\CurrentControlSet\Services + Defender File not found: C:\Archivos de programa\SinEspias\Defender.sys + NAVENG AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20060621.024\naveng.sys + NAVEX15 AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20060621.024\navex15.sys + NPDriver Norton Protection Driver (Not verified) Symantec Corporation c:\windows\system32\drivers\npdriver.sys + SAVRT AutoProtect (Not verified) Symantec Corporation c:\windows\system32\drivers\savrt.sys + SAVRTPEL SAVRTPEL (Verified) Symantec Corporation c:\windows\system32\drivers\savrtpel.sys + SymEvent Symantec Event Library (Verified) Symantec Corporation c:\archivos de programa\symantec\symevent.sys + SYMREDRV Redirector Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symredrv.sys + SYMTDI Network Dispatch Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symtdi.sys HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKLM\Software\Microsoft\Command Processor\Autorun HKCU\Software\Microsoft\Command Processor\Autorun HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman HKCU\Control Panel\Desktop\Scrnsave.exe HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
Título: Re: Un logfile del hijack this
Publicado por: Mr_X en 01 de Julio de 2006, 06:45:22 am: Después de la copia (obligada) del registro, el deshabilitado del "Restaurar el sistema" y el reinicio en Modo seguro, ejecutar el Autoruns, seleccionar con el botón derecho las siguientes entradas y darle a "Delete":

Código: [Seleccionar]
+ dcomcfg.exe c:\windows\system32\dcomcfg.exe + kernel32.dll c:\windows\system32\atmclk.exe + wininet.dll c:\windows\system32\regperf.exe + 0 File not found: About:Home + forevouched c:\windows\system32\viwpzla.dll + Nothing c:\windows\system32\hp100.tmp + Defender File not found: C:\Archivos de programa\SinEspias\Defender.sys
Reiniciar normal, actualizar el Norton y pasarlo reiniciando en MODO SEGURO... Ejecutar el Spybot S&D, el Adaware, el Spywareblaster (ACTUALIZADOS)... Sugerirle que desinstale el 'Messenger Plus' (o que lo instale sin el 'patrocinador')...
Título: Re: Un logfile del hijack this
Publicado por: klondike en 01 de Julio de 2006, 06:14:00 pm: Gracias MR_X ya te contaré que tal fue ^^