Tema: Debo desbloquearlo??? (SOLUCIONADO)

[sissi]

Por favor, ahoraa me sle el siguiente mensaje:
access violation at address 7c928FEA in module "ntdll.dll" write of address 00000010

¿Que hago?¿no seria mejor formatear sin mas?o¿el formatear no me solucionaria estos problemas?

Please, necesito su ayuda

Por cierto el mensje del backweb_137903 ya no sale

[sissi]

Habia pensado en la opcion del formateo, pero me decantè a seguir trasteando, buscando soluciones,estoy aprendiendo mucho.Cierto que ayuda mucho el hecho de que este metida en casa todo el dia, una ayuda inestimable la del tiempo :wink:
Siguiendo diversas recomendaciones, he acabado por quitar algunas entradas del msconfig.Abajo les dejo el nuevo log,me han dicho que esta limpio ¿ustedes que opinan?
Nada mas, solo dar las gracias por la gran cantidad de tutoriales y por el tiempo.Doy por terminado el hilo :wink:

Logfile of HijackThis v1.99.1
Scan saved at 12:43:29, on 18/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Propietario\Configuración local\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sp6.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-sp6.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-sp6.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094331351092
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

[Danae]

Sisi, ya viene la caballería, ya se ha incorporado Fats, en cuanto pueda te lo mira.

Saludos

[FatsGordon]

Hola!

Vamos a ver...

Yo quitaría este ActiveX (por cuestiones de limpieza, nada más):

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab

Y éste figura como O (Abierto a debate) en CastleCops (está definido como "copy protection software"):
 
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

por lo que simplemente estaría atento a lo que se determine en la comunidad sobre este servicio.

En suma, el log está límpio... :D

[sissi]

muchas gracias FatsGordon la verdad es que lo habia dado por concluido, habia buscado en google algunas de las entradas y no acababa de entenderlas, asi que quite lo que me recomendaron.Crei que el log ya estaba limpio pero seguire tu recomendacion y quitare esas entradas a ver que resulta :wink:

[sissi]

Y éste figura como O (Abierto a debate) en CastleCops (está definido como "copy protection software"):

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

por lo que simplemente estaría atento a lo que se determine en la comunidad sobre este servicio.

¿Donde`puedo mantenerme informada? :wink:

[FatsGordon]

Mirá si tenés acceso a este enlace:

http://castlecops.com/O23.html

y si es así podés usar la búsqueda con el nombre del ejecutable que te figura en la entrada O23 (de hecho podés hacerlo con cualquiera que te figure en dicha entrada), en este caso el archivo CDAC11BA.EXE.

Fijate que cuando ponés eso y apretás Search te trae lo siguiente:

C-DillaCdaC11BA O CDAC11BA.EXE copy protection software

en una tablita. La "O" es como te dije de "Open to Debate". Si eso cambia a "L", es que está bien. Si cambia a "X", ya no lo está, se trataría de malware...

No te digo que mires todos los días, no tiene sentido. Cuando te acuerdes, cada tanto, te fijás y listo... :wink:

[sissi]

Muchas gracias por el enlace Fats, solo una pregunta mas :oops: sirve para comprobar todas las entradas del msconfig ¿verdad? :wink:

[FatsGordon]

No, sólo los O23 (servicios). Para las entradas del msconfig, o bien para los procesos en ejecución, podés consultar:

http://castlecops.com/StartupList.html

o bien:

http://www.sysinfo.org/startuplist.php

Incluso Google es muy útil a la hora de saber sobre un ejecutable en particular. Si no existe en Google es altamente probable que se trate de un virus o un troyano, por ejemplo. Y si existe, seguramente podrás consultar en varios sitios para ver de qué se trata.

Pero eso sí, nunca te quedes con una única opinión, y siempre tratá de usar el sentido común: por ejemplo, si vas a borrar un archivo determinado porque te parece sospechoso asegurate de hacerle una copia de backup cambiandole la extensión (para eso tenés que poder ver todas las extensiones, si no sólo le estarías cambiando el nombre), porque si el archivo es legítimo podrías estar en problemas luego de eliminarlo.

Y siempre que puedas consultá con otros antes de actuar. :D

[sissi]

Muchas gracias Fats, madre mia todo lo que hay ahi  :wink: