SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
¿Troyano, adware?
klondike:
Gracias MR_X, pero sigue sin mejorar, te pego el nuevo log con comentarios
--- Código: ---Logfile of HijackThis v1.99.1
Scan saved at 21:11:14, on 15/10/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\ARCHIVOS DE PROGRAMA\TREND MICRO\OFFICESCAN CLIENT\PCCWIN97.EXE #antivirus
C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE #Extension del msn messenger
C:\WINDOWS\TEMP\UY8AE2.EXE #¿Antivirus?
X:\UPVWIN95\INVENTARIO\INVENTC.EXE #Necesario para acceder a la red
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\POPUP KILLER\POPUPKILLER.EXE #Antipopups
C:\WINDOWS\TPPALDR.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\HIJACK THIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.upv.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.es/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.upv.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por UPV
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F1 - win.ini: run=C:\WINDOWS\UPVWIN.EXE #Necesario para acceder a la red
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PopUpKiller] C:\ARCHIVOS DE PROGRAMA\POPUP KILLER\POPUPKILLER.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [OfficeScan95] "C:\ARCHIVOS DE PROGRAMA\TREND MICRO\OFFICESCAN CLIENT\Pccwin97.exe" -HideWindow #Antivirus
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp #Extension al usuario de windows
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [OfficeScan95] "C:\ARCHIVOS DE PROGRAMA\TREND MICRO\OFFICESCAN CLIENT\pccwin97.exe" #Antivirus
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" #Extension del msn messenger
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart #Extension del msn messenger
O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Descargar usando FlashGet - D:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_link.htm
O8 - Extra context menu item: Descargar TODO con FlashGet - D:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_all.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.upv.es
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4280/mcfscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {78960E0E-0B0C-11D4-8997-00104BD12D94} (AV Class) - http://pcpitstop.com/antivirus/PCPAV.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
--- Fin del código ---
Mr_X:
¿Instalaste el Messenger Plus sin el "patrocinador"?
FatsGordon:
Por favor, perdonen mi intromisión. :)
Lo que marcás en el log como proveniente del antivirus:
C:\WINDOWS\TEMP\UY8AE2.EXE #¿Antivirus?
no puedo encontrarlo por ninguna parte. Evidentemente se trata de un proceso que cambia de nombre, antes era:
C:\WINDOWS\TEMP\DQ148F.EXE Aparentemente del antivirus
Me suena a feo. En principio tengo que preguntarte si es la máquina del trabajo. Si es así tenés que tener mucho cuidado con lo que tocás o eliminás, dado que podés estar borrando algun proceso de los administradores de la red o cualquier cosa necesaria (al menos para los que administran).
Si no es el caso (es decir, si es TU máquina), eliminá TODO lo que encontrás en el C:\WINDOWS\TEMP\ y en todos los temporales que tengas. En Windows 98 tendrías que tener los temporales de internet en C:\Windows\Archivos temporales de internet, si no me equivoco. De cualquier forma no vendría mal un escaneo con el Symantec online o con el Kaspersky actualizado. Siempre conviene un escaneo por fuera de la máquina (desde internet) porque hay virus que no son detectados desde adentro.
Si estás en el trabajo preguntá a un administrador si ese proceso mutante es algo que ellos generan (o que genera el antivirus).
klondike:
El caso es que por el icno, parece ser parte de los componentes del antivirus de trend micro. haré copia de seguridad, y probaré a arrancar sin él.
klondike:
Na, todo sigue igual. Remando el Log del hijack this:
--- Código: ---Logfile of HijackThis v1.99.1
Scan saved at 19:44:26, on 26/10/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\ARCHIVOS DE PROGRAMA\TREND MICRO\OFFICESCAN CLIENT\PCCWIN97.EXE Antivirus
C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE Mesenger Plus
C:\WINDOWS\TEMP\XJ3D21.EXE Según el procexp lo ha abierto el anitivirus
X:\UPVWIN95\INVENTARIO\INVENTC.EXE Necesario para el acceso a la red
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\POPUP KILLER\POPUPKILLER.EXE Eliminador de pop-ups
C:\WINDOWS\TPPALDR.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\HIJACK THIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.upv.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.es/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.upv.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por UPV
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F1 - win.ini: run=C:\WINDOWS\UPVWIN.EXE Necesario para el acceso a la red
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PopUpKiller] C:\ARCHIVOS DE PROGRAMA\POPUP KILLER\POPUPKILLER.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [OfficeScan95] "C:\ARCHIVOS DE PROGRAMA\TREND MICRO\OFFICESCAN CLIENT\Pccwin97.exe" -HideWindow
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [OfficeScan95] "C:\ARCHIVOS DE PROGRAMA\TREND MICRO\OFFICESCAN CLIENT\pccwin97.exe"
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Descargar usando FlashGet - D:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_link.htm
O8 - Extra context menu item: Descargar TODO con FlashGet - D:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_all.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.upv.es
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4280/mcfscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {78960E0E-0B0C-11D4-8997-00104BD12D94} (AV Class) - http://pcpitstop.com/antivirus/PCPAV.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
--- Fin del código ---
Y el análisis del procexp del archivo raro temporal:
--- Código: ---Process PID CPU Description Company Name Path
Idle 0x0 85 System Idle Process
INVENTC.EXE 0xFFFD508F 00 X:\UPVWIN95\INVENTARIO\INVENTC.EXE
KERNEL32.DLL 0xFF0F6DD7 01 Componente del núcleo del kernel Win32 Microsoft Corporation C:\WINDOWS\SYSTEM\KERNEL32.DLL
MSGSRV32.EXE 0xFFFF5AAB 00 Servidor de mensajes VxD de 32 bits de Windows Microsoft Corporation C:\WINDOWS\SYSTEM\MSGSRV32.EXE
MPREXE.EXE 0xFFFFA007 00 WIN32 Network Interface Service Process Microsoft Corporation C:\WINDOWS\SYSTEM\MPREXE.EXE
MSGPLUS.EXE 0xFFFE4D73 00 Messenger Plus! Patchou C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE
MSTASK.EXE 0xFFFE2CFF 00 Motor de Programador de tareas Microsoft Corporation C:\WINDOWS\SYSTEM\MSTASK.EXE
PCCWIN97.EXE 0xFFFE215B 00 OfficeScan Corporate Edition Client for Windows 95/98/ME Trend Micro Inc. C:\ARCHIVOS DE PROGRAMA\TREND MICRO\OFFICESCAN CLIENT\PCCWIN97.EXE
XJ3D21.EXE 0xFFFD39B7 00 C:\WINDOWS\TEMP\XJ3D21.EXE
SPOOL32.EXE 0xFFFF5253 00 Spooler Sub System Process Microsoft Corporation C:\WINDOWS\SYSTEM\SPOOL32.EXE
mmtask.tsk 0xFFFDB4AF 00 Multimedia background task support module Microsoft Corporation C:\WINDOWS\SYSTEM\mmtask.tsk
EXPLORER.EXE 0xFFFD88EF 06 Explorador de Windows Microsoft Corporation C:\WINDOWS\EXPLORER.EXE
TPPALDR.EXE 0xFFFCD067 00 TPP Auto Loader Application In-System Design, Inc. C:\WINDOWS\TPPALDR.EXE
SYSTRAY.EXE 0xFFFCBA8B 00 Subprograma Bandeja de sistema Microsoft Corporation C:\WINDOWS\SYSTEM\SYSTRAY.EXE
WMIEXE.EXE 0xFFF90E27 00 WMI service exe housing Microsoft Corporation C:\WINDOWS\SYSTEM\WMIEXE.EXE
DDHELP.EXE 0xFFFCA067 00 Microsoft DirectX Helper Microsoft Corporation C:\WINDOWS\SYSTEM\DDHELP.EXE
HIJACKTHIS.EXE 0xFFFC70BF 00 HijackThis Soeperman Enterprises Ltd. C:\ARCHIVOS DE PROGRAMA\HIJACK THIS\HIJACKTHIS.EXE
POPUPKILLER.EXE 0xFFFC4D03 04 xFX JumpStart C:\ARCHIVOS DE PROGRAMA\POPUP KILLER\POPUPKILLER.EXE
MDM.EXE 0xFFFBAB57 00 Machine Debug Manager Microsoft Corporation C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
CTFMON.EXE 0xFFFB731F 00 Cicero Loader Microsoft Corporation C:\WINDOWS\SYSTEM\CTFMON.EXE
PROCEXP.EXE 0xFFF8C113 05 Sysinternals Process Explorer Sysinternals C:\PROCEXP.EXE
Process: XJ3D21.EXE Pid: FFFD39B7
Path Description Company Name Version
C:\Archivos de programa\Messenger Plus! 3\MsgPlusLoader.dll Messenger Plus! Process Monitor Patchou 3.50.0002.0000
C:\WINDOWS\SYSTEM\ADVAPI32.DLL Win32 ADVAPI32 core component Microsoft Corporation 4.80.0000.1675
C:\WINDOWS\SYSTEM\COMCTL32.DLL Common Controls Library Microsoft Corporation 5.81.4916.0400
C:\WINDOWS\SYSTEM\CRYPT32.DLL Crypto API32 Microsoft Corporation 5.131.1877.0005
C:\WINDOWS\SYSTEM\GDI32.DLL Win32 GDI core component Microsoft Corporation 4.10.0000.1998
C:\WINDOWS\SYSTEM\KERNEL32.DLL Componente del núcleo del kernel Win32 Microsoft Corporation 4.10.0000.2222
C:\WINDOWS\SYSTEM\MSCTF.DLL MSUIM Server DLL Microsoft Corporation 5.01.2409.0038
C:\WINDOWS\SYSTEM\MSOSS.DLL Microsoft Trust ASN APIs Microsoft Corporation 5.131.1877.0003
C:\WINDOWS\SYSTEM\MSVCRT.DLL Microsoft (R) C Runtime Library Microsoft Corporation 6.01.8924.0000
C:\WINDOWS\SYSTEM\MSWSOCK.DLL APIs de extensión WinSock de Microsoft Microsoft Corporation 4.10.0000.2222
C:\WINDOWS\SYSTEM\OLE32.DLL Microsoft OLE for Windows and Windows NT Microsoft Corporation 4.71.2900.0000
C:\WINDOWS\SYSTEM\OLEAUT32.DLL Microsoft Corporation 2.40.4518.0000
C:\WINDOWS\SYSTEM\RPCRT4.DLL Remote Procedure Call DLL Microsoft Corporation 4.71.2900.0002
C:\WINDOWS\SYSTEM\SHLWAPI.DLL Biblioteca de utilidades de Shell Microsoft Corporation 6.00.2800.1692
C:\WINDOWS\SYSTEM\USER32.DLL Win32 USER32 core component Microsoft Corporation 4.10.0000.2222
C:\WINDOWS\SYSTEM\WININET.DLL Extensiones de Internet para Win32 Microsoft Corporation 6.00.2800.1511
C:\WINDOWS\SYSTEM\WINSPOOL.DRV Win32 WINSPOOL core component Microsoft Corporation 4.10.0000.1998
C:\WINDOWS\SYSTEM\WS2_32.DLL Windows Socket 2.0 32-Bit DLL Microsoft Corporation 4.10.0000.2222
C:\WINDOWS\SYSTEM\WS2HELP.DLL Windows Socket 2.0 Helper for Windows 98 Microsoft Corporation 4.10.0000.1998
C:\WINDOWS\SYSTEM\WSOCK32.DLL API de subprograma BSD para Windows Microsoft Corporation 4.10.0000.1998
C:\WINDOWS\TEMP\XJ3D21.EXE
--- Fin del código ---
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa