Autor Tema: Gusano desde el msn  (Leído 3935 veces)

Desconectado adg

  • Member
  • ***
  • Mensajes: 177
  • www.daboweb.com
Gusano desde el msn
« en: 15 de Junio de 2006, 07:26:45 pm »
Hola a todos:
Estoy intentando arreglar un pc (XP). Al encenderlo, llego a la pantalla donde dices con qué sesión deseas inciar (hasta ahí todo bien). Cuando pongo la contraseña de alguna sesión, hace el intento de entrar, pero de ahí no pasa.
He probado a entrar en modo a prueba de fallos, e iba a hacer un escaneo con el Ad-Aware, pero no lo tiene el pc, y en éste modo no se puede instalar. He pensado hacer un escaneo con el hijackthis. ¿Lo hago y lo posteo?
A, por cierto, el origen de éste mal ha sido la entrada de un gusano desde el msn.
Salu2.
Gracias por las respuestas.

Desconectado lobodem2r

  • Junior Member
  • **
  • Mensajes: 80
Re: Gusano desde el msn
« Respuesta #1 en: 16 de Junio de 2006, 10:53:20 am »
Hola,  si pones un .log de hijackthis debes hacerlo  en el subforo Seguridad Informática....

De todos modos en Modo seguro creo recordar que si puedes instalar programas...aunque el Ad-Aware no va a quitarte ningún gusano.




Desconectado adg

  • Member
  • ***
  • Mensajes: 177
  • www.daboweb.com
Re: Gusano desde el msn
« Respuesta #2 en: 16 de Junio de 2006, 12:42:06 pm »
Hola lobodem2r:
Entonces qué hago?
Salu2

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Re: Gusano desde el msn
« Respuesta #3 en: 16 de Junio de 2006, 01:04:32 pm »
Por ir adelantando postea un log del hijackthis a ver que pueden comentarte y ya muevo yo este mensaje a seguridad informatica virus.

Un saludo

Desconectado adg

  • Member
  • ***
  • Mensajes: 177
  • www.daboweb.com
Re: Gusano desde el msn
« Respuesta #4 en: 16 de Junio de 2006, 08:47:57 pm »
Hola: ya he hecho lo del hiyackthis:
Logfile of HijackThis v1.99.1
Scan saved at 20:04:31, on 16/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Documents and Settings\Administrador\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Archivos de programa\HbTools\Bin\4.7.2.1\HbtHostIE.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll (file missing)
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Archivos de programa\HbTools\Bin\4.7.2.1\HbtHostIE.dll
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WeatherOnTray] C:\Archivos de programa\HbTools\Bin\4.7.2.1\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [HbTools] C:\Archivos de programa\HbTools\Bin\4.7.2.1\HbtOEAddOn.exe
O4 - HKLM\..\Run: [rtbphqbn] C:\WINDOWS\system32\pbpubcoo.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_11\bin\jusched.exe
O4 - HKLM\..\Run: [CaAvTray] "C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DACDA054-3311-4BD0-9A20-BB7D8C13ABB4}: NameServer = 195.235.113.3 195.235.96.90
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: Visual Studio Analyzer RPC bridge - Unknown owner - C:\Archivos de programa\Microsoft Visual Studio\Common\Tools\VS-Ent98\Vanalyzr\varpc.exe (file missing)



Salu2.
Gracias al que se moleste por leer ésto

Desconectado lobodem2r

  • Junior Member
  • **
  • Mensajes: 80
Re: Gusano desde el msn
« Respuesta #5 en: 19 de Junio de 2006, 12:01:32 pm »
Hola adg, el primer problema que veo (sin tener que ver nada con el gusano) es que tienes 2 Antivirus corriendo en tu Máquina, no es muy aconsejable, pues pueden interferir el uno en el otro, yo desinstalaría uno y me quedaría con uno solo.......personalmente elegiría el eTrust, pero eso es decisión tuya.

Voy a exponer la solución que aplicaría yo, de todos modos en esta página hay grandes profesionales de la seguridad, así que si no tienes mucha prisa espera a que alguno le eche un vistazo al .log antes de proceder a la limpieza.

*Crea cualquier carpeta en C:\ (por ejemplo HJT) y mete dentro Hijackthis para que cree backups de todo lo que eliminemos.

*Deshabilita restaurar sistema (inicio/Mi Pc[clic derecho]/Propiedades/restaurar sistema y desmarcas la casilla "restaurar sistema en todas las Uds.")

*Habilita el visionado de archivos y carpetas ocultas (en cualquier carpeta de Windows ve a herramientas/opciones de carpeta/ver y marca la casilla "mostrar todos los archivos y carpetas ocultas)

*Ve a inicio/panel de contro/agregar y quitar programas y desinstala el siguiente: HBTools.

*Reinicia en modo seguro (reiniciar + F8 y eliges modo seguro).

*Ejecuta Hijackthis y marca y dale a Fix Checked en:

R3 - Default URLSearchHook is missing
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Archivos de programa\HbTools\Bin\4.7.2.1\HbtHostIE.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Archivos de programa\HbTools\Bin\4.7.2.1\HbtHostIE.dll
O4 - HKLM\..\Run: [WeatherOnTray] C:\Archivos de programa\HbTools\Bin\4.7.2.1\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [HbTools] C:\Archivos de programa\HbTools\Bin\4.7.2.1\HbtOEAddOn.exe
O4 - HKLM\..\Run: [rtbphqbn] C:\WINDOWS\system32\pbpubcoo.exe

*Busca y borra los siguientes archivos y carpetas (incluso de la papelera):

C:\Archivos de programa\HbTools (borra la carpeta entera si estuviera)
C:\WINDOWS\system32\pbpubcoo.exe

*Ve a inicio/ejecutar y teclea %temp%, ve a edición seleccionar todo y aprieta supr, vacía la papelera.

*Ve a inicio/panel de control/opciones de internet y en la pestaña general aprieta "eliminar archivos", marca la casilla eliminar todo el contenido sin conexión" y acepta, luego borra también cookies e historial.

*Pasa un limpiador de registro como regseeker, reinicia, pasa un scan online con Panda (tienes accesos directos al activescan en un post fijo en el foro) y postea un nuevo .log, ya puedes habilitar otra vez restaurar sistema.

Una recomendación personal, usa Firefox en vez de IE, evitarás la mayoría de infecciones de Spyware, un saludo.


 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License