Autor Tema: Target saver  (Leído 12198 veces)

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Target saver
« Respuesta #10 en: 16 de Junio de 2005, 12:39:27 am »
Mil perdones!!!! :oops:

No te podrás quejar de la rapidez, pero sí de mi ceguera... :lol:

Entrá en modo seguro, abrí el HijackThis, apretá el SEGUNDO BOTÓN contando desde arriba y marcá SÓLO las siguientes entradas:

R3 - Default URLSearchHook is missing
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O4 - HKLM\..\RunServices: [Start Upping] cvcpii.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe (file missing)


Una vez marcadas apretá Fix checked. Cerrá el HijackThis.

Ahora buscá el siguiente archivo, probablemente esté en C:\Windows\System32

cvcpii.exe

Mi consejo es que, por lo menos, lo saques de donde está y lo renombres a "pirulito.pepe" o cualquier cosa que no sea ejecutable. Podés ponerlo en una carpeta que crées para tal fin, como por ejemplo C:\BASURA.

No puedo encontrar mucha información sobre él, pero donde lo ví lo ponen al menos como sospechoso y piden que se elimine. Lo dejo a tu criterio.

Una vez terminado todo reiniciá en modo normal y publicá un nuevo log del HijackThis, junto con tus comentarios sobre cómo está todo.

Desconectado carax

  • Junior Member
  • **
  • Mensajes: 20
Target saver
« Respuesta #11 en: 17 de Junio de 2005, 12:04:15 am »
Hola amigo Fats. me dices que busque el archivo cvcpii.exe, lo he intentado a modo normal y no lo hallé, a modo de fallos la barra de herramientas me sale totalmente descentrada, tal que el boton de inicio ni se ve, osea que para abrir el explorer tengo que intentarlo a modo de ciegos con el puntero fuera del monitor a ver si pesco algo.                    
   Perdona mi ignorancia y mi reiteración, en esta segunda ocasión para entrar con PF8, he de inhabilitar el Antivirus y Mostrar Archivos Ocultos?
¿Es así como podré encontrar el dichoso archivo?
  Tómatelo con calma, hasta este fin de semana hay tiempo de sobra.

Gracias una vez más :)  :)

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Target saver
« Respuesta #12 en: 17 de Junio de 2005, 12:12:45 am »
Jeje :D

Si, deberías poder ver los archivos ocultos y de sistema. Es más, a ciertos archivos por más que se los busque (mediante la herramienta de búsqueda de Windows) no se los encuentra y hay que hacerlo a mano.

Espero que puedas encontrarlo. A simple vista parece ser la clave del problema...

Desconectado carax

  • Junior Member
  • **
  • Mensajes: 20
Target saver
« Respuesta #13 en: 18 de Junio de 2005, 12:06:14 pm »
Hola amigo Fats, ya hice el proceso de nuevo; el archivo malicioso no lo pude encontrar. Lo único que pude hacer fue lo de liquidar los antiguos archivos del Norton Symantec.
 Te pongo el log a ver si ves algo.

Gracias amigo :)


Logfile of HijackThis v1.99.1
Scan saved at 11:53:23, on 18/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hffsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Usuario\Mis documentos\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - Startup: AntiCrash.lnk = C:\Archivos de programa\Dachshund Software\AntiCrash\AntiCrash.exe
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Hide Files and Folders (HideFilesAndFolders_S) - Unknown owner - C:\WINDOWS\system32\hffsrv.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Panda Antispam Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
O23 - Service: Panda Imanager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Target saver
« Respuesta #14 en: 21 de Junio de 2005, 06:12:57 pm »
Para mi está límpio... ¿Cómo sentís la máquina ahora?

Desconectado carax

  • Junior Member
  • **
  • Mensajes: 20
Target saver
« Respuesta #15 en: 21 de Junio de 2005, 09:51:15 pm »
Hola Fats. parece que la máquina ha mejorado sobre todo  la conexión a internet, aunque también anduve tocando un poco la configuración y quizá eso influya; el `target´ continúa impasible, pero bueno parece que no es muy dañino. De todas formas te puedo decir que manejando los programitas y haciendo todos los procesos que me has aconsejado he aprendido cosas muy interesantes para un principiante como yo; el 'a2' ya lo tengo en la nómina de los antiespías y el scan del Trend sin duda lo volveré a repetir cuando me vea acosado.
  En todo caso agradecerte infinitamente el tiempo que me has dedicado estos días y la paciencia que has tenido.

Un abrazo

mascarat   :D  :D

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Target saver
« Respuesta #16 en: 21 de Junio de 2005, 11:03:25 pm »
Para eso estamos aquí, cobrando esos cientos de miles de euros por hora... :lol:  :lol:  :lol:  :lol:

Me alegro que podamos ser de utilidad. Y lamento no tener más información por el tema del Target. Es más, si vos obtenés info adicional sobre cómo eliminarlo, te pediría que la compartas con nosotros, y ése sería el mejor pago de todos los posibles (que no sean dinero, claro... Somos solidarios pero no tontos... jajajaja :lol:  :lol: )

Te mando un abrazo y me alegro que esté todo mejor!

Alejandro

Desconectado carax

  • Junior Member
  • **
  • Mensajes: 20
Target saver
« Respuesta #17 en: 23 de Junio de 2005, 10:30:45 pm »
Amigo gracias por tu persistente ayuda, pero el enlace ya me lo facilitó Gepetto y sinceramente no me sirvió de mucho. Intenté encontrar los archivos que había que elimnar y no encontré ninguno de ellos.
  Bueno no hay que desanimarse seguro que con el tiempo encontraremos la medicina adecuada para este parásito.
   Tengo otros problemillas que debería resolver con un poco de paciencia, no creo que tarde en poner algún que otro 'post' solicitando la ayuda de algún licenciado o doctorado en la materia.

Sos grande Argentina

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Target saver
« Respuesta #18 en: 23 de Junio de 2005, 10:46:44 pm »
Cuando gustes, no hay problemas. Por mi parte sigo investigando, así te acerco otros enlaces que ya te hemos facilitado antes...  :D

Y no te preocupes, que para eso estamos aquí, para ayudar en lo que podamos, y si no podemos buscamos ayuda afuera (tengo unos conocidos que por unos dineros arreglan casi cualquier cosa... :D )

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Target saver
« Respuesta #19 en: 24 de Junio de 2005, 06:45:43 pm »
Bueno, a ver si podemos hacer algo más. Esto me lo pasó mi amigo Björn (DieHard), veremos si funciona:

Citar
Please go here and downlod "MWAV.EXE" : http://www.mwti.net/antivirus/mwav.asp

Double click the Mwav.exe file.
Select all local drives, scan all files, press SCAN and when it is completed, anything found will be displayed in the lower pane , in the Virus Log Information Pane.

Left click and Highlight all the info in the lower pane--- Use "CTRL C" on your Keyboard to copy all found in the lower pane and save it to a notepad file

Note If prompted that a Virus was found and you need to purchase the product to remove the malware, just close out the prompt and let it continue scanning.

We just want to use it to try to identify anything that is bad.

Once you copy that to a notepad file, highlight the text and paste it here in your next post.

This tool isn´t installed, after you used it , it could be dragged and dropped into the recycle bin.


Básicamente, y por si no sabés inglés, lo que te pide es que bajes el MWAV.EXE, lo corras, selecciones todos los drives locales, todos los archivos y luego presiones SCAN. Parece que todo lo que encuentre lo pone en una de sus ventanas, con lo que te pido que copies todo y lo pegues acá. Y como la herramienta no elimina nada (porque tenés que pagar para eso), lo que estamos haciendo es identificando lo que encuentre, de modo que si te dice algo no le des importancia y dejá que escanée. Como no sirve para otra cosa, una vez que terminaste y dado que no se instala podés eliminarla si ese es tu gusto.

Espero el log del MWAV para ver qué nos dice.

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License