Autor Tema: Generic rootkit.a  (Leído 5840 veces)

Desconectado frusco

  • Junior Member
  • **
  • Mensajes: 12
Generic rootkit.a
« en: 25 de Noviembre de 2006, 06:49:56 pm »
Hola a todos.

Desde la tarde ayer, el VirusScan 2006 de Mcfee me avisa de que se ha instalado ¿el virus? generic rootkit.a en el ordenador. Le doy a la opción de limpiar y el antivirus me dice que se ha limpiado. Cuando vuelvo a encender el ordenador me vuelve a salir la misma ventana.
Por si tiene que ver con lo anterior, cuando estoy conectado a internet, cada cierto tiempo me parece una ventana que pone Messenger service y que en inglés me dice que tengo un mensaje de system error y que vaya a una página (cada vez que sale me indica una dirección distinta) determinada para solucionarlo. La última vez creo que ponía regdoctor o algo así. Por supuesto que paso de todo.
La cuestión es que querría saber qué es exactamente el generic rootkit.a, si es peligroso y en cuyo caso cómo quitarlo de en medio y si el susodicho generic tiene relación con esas ventanas de aviso que me salen, las cualtes también querría eliminar.
Muchas gracias por vuestra ayuda. En estas cuestiones de informática estoy un poco - bastante - pez.

Un saludo.

Desconectado Mr_X

  • Moderador
  • ******
  • Mensajes: 2635
Re: Generic rootkit.a
« Respuesta #1 en: 25 de Noviembre de 2006, 07:01:15 pm »
Saca un log del HijackThis (clic)...
"... I'll wait I sow the seed, I set the scene and I watch the world go by..."

Desconectado frusco

  • Junior Member
  • **
  • Mensajes: 12
Re: Generic rootkit.a
« Respuesta #2 en: 25 de Noviembre de 2006, 09:41:10 pm »
Hola de nuevo.

He hecho todo lo que me indicabas y ya tengo el log, pero antes de pegártelo te escribo exactamente lo que me ponen las ventanas del Mcfee. Ahora son dos ventanas las que salen:

. Se ha detectado y limpiado  un troyano

  El archivo C:\WINDOWS\hide_evr2.sys estaba infectado por el troyano Generic RootKit.a y se ha eliminado para completar el proceso de limpieza.

. Se ha detectado y limpiado un virus

  C:\WINDOWS\SYSTEM32\O estaba infectado por el virus W32\Sdbot.worm!ftp y se ha eliminado...........................

Estas dos ventanas han salido al poco de encender el ordenador

Bueno, el LOG es éste:

 programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Archivos de programa\FMV4\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [USB FLASH DISK] C:\Archivos de programa\ManagerX\ManagerX.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CheckDialer] C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [MS Domain Server Lookup] j.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MS Domain Server Lookup] j.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKCU\..\Run: [MS Domain Server Lookup] j.exe
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

Un saludo

Desconectado Mr_X

  • Moderador
  • ******
  • Mensajes: 2635
Re: Generic rootkit.a
« Respuesta #3 en: 25 de Noviembre de 2006, 10:15:35 pm »
Además de que el log está incompleto, estás sumamente infectado... Pásale un escaneo en línea del Ewido y de algún antivirus en línea... Saca un nuevo log...
"... I'll wait I sow the seed, I set the scene and I watch the world go by..."

Desconectado frusco

  • Junior Member
  • **
  • Mensajes: 12
Re: Generic rootkit.a
« Respuesta #4 en: 26 de Noviembre de 2006, 01:53:59 am »
Puffffffff, parece que la cosa está jodidilla.
Bueno, aquí tienes el log. Es el mismo de antes sólo que ahora lo he copiado correctamente.
He ido a la página del Ewido y he observado que  no "pasa" nada. A lo mejor no he esperado lo suficiente ya que mi conexión es vía modem telefónico corriente.

El log:

Logfile of HijackThis v1.99.1
Scan saved at 21:22:41, on 25/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\hiyackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eresmas.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Archivos de programa\FMV4\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [USB FLASH DISK] C:\Archivos de programa\ManagerX\ManagerX.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CheckDialer] C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [MS Domain Server Lookup] j.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MS Domain Server Lookup] j.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKCU\..\Run: [MS Domain Server Lookup] j.exe
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.traffic-advance.net/3210-28.exe
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe (file missing)


   

Desconectado 171278

  • Pro Member
  • ****
  • Mensajes: 522
  • Experto En HijackThis
    • Comunidad Windows Vista
Re: Generic rootkit.a
« Respuesta #5 en: 26 de Noviembre de 2006, 02:08:54 am »
Actualiza tu sistema, Aqui Si no puedes actualizar Omite este paso

Pasale el AVG-AntiSpware . (Actualizalo y guarda el report despues de darle a eliminar infecciones)

Y esta aplicacion tambien, esta al final de la pagina (No necesita instalacion, dale si a todo)
ElistarA

Borra todas las cookies y el registro con CCleaner:

Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)

Pega un nuevo Log del Hijackthis, el Report del AVG-AntiSpware y ElistarA (Que estara en C: Infosat).

Un Saludo

PD: Estas hasta arriba de Malwares, cuando limpiemos tu sistema debes de instalar Service Pack 2
IMPRESCINDILES:  AVG-ANTISPYWAREREGSEEKER

Desconectado frusco

  • Junior Member
  • **
  • Mensajes: 12
Re: Generic rootkit.a
« Respuesta #6 en: 27 de Noviembre de 2006, 12:37:53 am »
Hola de nuevo.

Bueno, creo haber hecho casi todo lo que has indicado. Procuraré explicarme lo mejor posible.

1.- He pasado el AVG - Antispware
     
     El log antes de hacer limpieza:

     AVG Anti-Spyware - Informe del análisis


 + Creado en:   21:04:44 26/11/2006

 + Resultado del análisis:   



C:\WINDOWS\system32\AdCache -> Adware.Cydoor : No se realizó ninguna acción.
C:\WINDOWS\system32\TFTP2820 -> Backdoor.Rbot.bij : No se realizó ninguna acción.
C:\WINDOWS\sys32exploer.dll -> Hijacker.Small.kj : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.2o7 : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´s@adbrite[2].txt -> TrackingCookie.Adbrite : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Adjuggler : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´s@admarketplace[1].txt -> TrackingCookie.Admarketplace : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´s@atdmt[2].txt -> TrackingCookie.Atdmt : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Burstbeacon : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Configuración local\Temp\Cookies\eq´[email protected][1].txt -> TrackingCookie.Clickzs : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Configuración local\Temp\Cookies\eq´[email protected][2].txt -> TrackingCookie.Clickzs : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Clickzs : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][2].txt -> TrackingCookie.Clickzs : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][2].txt -> TrackingCookie.Clickzs : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][2].txt -> TrackingCookie.Clickzs : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Clickzs : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´s@doubleclick[1].txt -> TrackingCookie.Doubleclick : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][2].txt -> TrackingCookie.Euroclick : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´s@qksrv[2].txt -> TrackingCookie.Qksrv : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Reliablestats : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Serving-sys : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´s@statcounter[1].txt -> TrackingCookie.Statcounter : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´s@statcounter[2].txt -> TrackingCookie.Statcounter : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´s@yadro[1].txt -> TrackingCookie.Yadro : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Configuración local\Temp\Cookies\eq´[email protected][1].txt -> TrackingCookie.Yieldmanager : No se realizó ninguna acción.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Yieldmanager : No se realizó ninguna acción.


::Fin del informe

   El log después de hacer limpieza

       AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------

 + Creado en:   21:13:42 26/11/2006

 + Resultado del análisis:   



C:\WINDOWS\system32\AdCache -> Adware.Cydoor : Omitidos.
C:\WINDOWS\system32\TFTP2820 -> Backdoor.Rbot.bij : Limpios con copia de seguridad (en cuarentena).
C:\WINDOWS\sys32exploer.dll -> Hijacker.Small.kj : Limpios con copia de seguridad (en cuarentena).
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.2o7 : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´s@adbrite[2].txt -> TrackingCookie.Adbrite : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Adjuggler : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´s@admarketplace[1].txt -> TrackingCookie.Admarketplace : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´s@atdmt[2].txt -> TrackingCookie.Atdmt : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Burstbeacon : Limpios.
C:\Documents and Settings\EQ´s\Configuración local\Temp\Cookies\eq´[email protected][1].txt -> TrackingCookie.Clickzs : Limpios.
C:\Documents and Settings\EQ´s\Configuración local\Temp\Cookies\eq´[email protected][2].txt -> TrackingCookie.Clickzs : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Clickzs : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][2].txt -> TrackingCookie.Clickzs : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][2].txt -> TrackingCookie.Clickzs : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][2].txt -> TrackingCookie.Clickzs : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Clickzs : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´s@doubleclick[1].txt -> TrackingCookie.Doubleclick : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][2].txt -> TrackingCookie.Euroclick : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´s@qksrv[2].txt -> TrackingCookie.Qksrv : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Reliablestats : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Serving-sys : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´s@statcounter[1].txt -> TrackingCookie.Statcounter : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´s@statcounter[2].txt -> TrackingCookie.Statcounter : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´s@yadro[1].txt -> TrackingCookie.Yadro : Limpios.
C:\Documents and Settings\EQ´s\Configuración local\Temp\Cookies\eq´[email protected][1].txt -> TrackingCookie.Yieldmanager : Limpios.
C:\Documents and Settings\EQ´s\Cookies\eq´[email protected][1].txt -> TrackingCookie.Yieldmanager : Limpios.


::Fin del informe


2.- He pasado el elistar.

     El log del elistar:

       Sun Nov 26 21:17:35 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WEB\RELATED.HTM --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\9129837.EXE.Muestra EliStartPage v12.79
 a "[email protected]".  Gracias.
C:\WINDOWS\9129837.EXE --> Eliminado
Entrada Eliminada [HKCU\...\Run] "ttool"="C:\WINDOWS\9129837.exe"
Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"
Eliminada Carpeta "%WinSys%\AdCache"
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

     Sun Nov 26 21:23:03 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-040 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE

     Sun Nov 26 21:42:14 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\AudioCrusher\ACRUSHER.EXE --> Eliminado, DownLoader.Vixup
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-040 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE


3.- CCleaner

    He pasado el CCleaner y he seguido estrictamente todo lo que indicais en vuestra explicación, eliminando todo lo que dicho programa me ha ido indicando.

    4.- Hijackthis

    Tras las acciones anteriores he pasado el Hijackthis.
    Su log es el siguiente:

     Logfile of HijackThis v1.99.1
Scan saved at 0:05:38, on 27/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\hiyackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Archivos de programa\FMV4\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [USB FLASH DISK] C:\Archivos de programa\ManagerX\ManagerX.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CheckDialer] C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [MS Domain Server Lookup] j.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MS Domain Server Lookup] j.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MS Domain Server Lookup] j.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe (file missing)


5.- Otras consideraciones

   .- En vuestra última respuesta me decíais lo siguiente: "Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)". Bueno, he ido al panel de control pero no he encontrado ningún sitio dónde comprobar lo del java para eliminar los archivos temporales.

Bueno, pues eso ha sido todo lo que he podido hacer hasta ahora.
Os agradezco vuestra imprescindible ayuda y quedo pendiente de vuestras necesarias puntualizaciones.

Un saludo.



     




Desconectado Mr_X

  • Moderador
  • ******
  • Mensajes: 2635
Re: Generic rootkit.a
« Respuesta #7 en: 27 de Noviembre de 2006, 02:38:08 am »
Deshabilita el 'Restaurar el sistema' (botón derecho a 'Mi PC'-->Propiedades-->Restaurar el sistema-->marca 'Deshabilitar el Restaurar el sistema'), baja el ERUNT y haz una copia de seguridad del registro; reinicia en MODO SEGURO, ejecuta el HijackThis, selecciona la opción Do a system scan only y marca la casilla a la izquierda de las siguientes entradas y dale al botón Fix checked:

Código: [Seleccionar]
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [CheckDialer] C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [MS Domain Server Lookup] j.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MS Domain Server Lookup] j.exe

O4 - HKCU\..\Run: [MS Domain Server Lookup] j.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

Reinicia normal, (si usas el FlashGet gratuito, desinstálalo), actualiza el McAfee y pásalo reiniciando en Modo seguro... Saca un nuevo log...
"... I'll wait I sow the seed, I set the scene and I watch the world go by..."

Desconectado frusco

  • Junior Member
  • **
  • Mensajes: 12
Re: Generic rootkit.a
« Respuesta #8 en: 27 de Noviembre de 2006, 04:04:22 pm »
Hola de nuevo.

He seguido las instrucciones de vuestra última respuesta. A continuación os explico todo con más detalle:

1.- He marcado la casilla "deshabilitar el restaurar sistema"

     Por cierto, en el momento que os escribo estas líneas, dicha casilla sigue marcada. ¿Tiene que seguir estando marcada?

2.- He bajado el ERDNT y he sacado una copia de seguridad del registro
     
3.- Tras reiniciar en modo seguro he ejecutado el Hijackthis y siguiendo vuestras instrucciones he eliminado las entradas que me indicasteis.

4.- He quitado de en medio el Flashget gratuito.

5.- He pasado el Mcfee que ya estaba actualizado y no ha encontrado NADA
     
     Al principio de toda esta historia y antes de ponerme en contacto con vosotros, ya lo había pasado, también actualizado, y sorprendentemente tampoco había encontrado nada.

6.- he vuelto a pasar el Hijackthis en modo seguro y me ha sacado el log siguiente:

            Logfile of HijackThis v1.99.1
Scan saved at 15:31:12, on 27/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\hiyackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Archivos de programa\FMV4\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [USB FLASH DISK] C:\Archivos de programa\ManagerX\ManagerX.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: ERUNT AutoBackup.lnk = C:\Archivos de programa\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe (file missing)


Bueno, creo haber hecho todo lo que me habeis dicho. Sigo atento a vuestras indicaciones.

Un saludo y muchas gracias.

     




Desconectado 171278

  • Pro Member
  • ****
  • Mensajes: 522
  • Experto En HijackThis
    • Comunidad Windows Vista
Re: Generic rootkit.a
« Respuesta #9 en: 27 de Noviembre de 2006, 04:17:40 pm »
Tu log esta limpio, comenta como funciona y ahora es el momento de actualizar a Service Pack 2.
Si no actualizar el Service Pack por lo menos busca e instala estos parches que te faltan:

Parche MS04-011
Parche MS04-012
Parche MS06-001
Parche MS06-040



Un Saludo
IMPRESCINDILES:  AVG-ANTISPYWAREREGSEEKER

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License