Tema: Agnitum-outpost firewall

[PEPA]

Si no te importa seguimos mañana, pues aqui son las 22:30 y ya es tarde para mi.

Un saludo y hasta mañana

Pepa

[FatsGordon]

No, todo bien. Yo puedo agregar una respuesta, y muchas gracias por tu ayuda, Pepa.

Necesito saber si tenés Ibernet o una conexión de Telefónica, dado que parece que 80.58.0.33,80.58.32.97 son el rango de direcciones IP de alguno de los dos ISP (disculpen mi ignorancia si se trata del mismo ISP, desconozco los ISP españoles).

Por lo tanto, si es así, no hay que tocar nada, pero si no es así sería conveniente eliminar la entrada:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 80.58.0.33,80.58.32.97

OJO que no estoy diciendo que la elimines, sólo que te cerciores que es correcta.

Hay otras dos que no sé lo que son:

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

No me gusta mucho que diga "dialer", pero tal vez tiene que ver con el ISP. Si no fuera así habrá que analizar de dónde pueden provenir y ver qué se hace con ellas.

Por lo demás, Pepa, yo no encuentro nada raro en tu máquina, se ve todo normal. Si alguien ve algo extraño que por favor lo apunte, que yo no lo veo.

En mi humilde opinión, tu máquina está limpia...

[Inscientia]

Hola
He estado googleando por ahí y he encontrado en foros (en inglés   ) bastante gente con problemas que coinciden en que tienen esas entradas de iberodialer y webrecomendada. Les recomiendan que las eliminen, pero no alcanzo a entender nada mas (creo que no estoy siendo de mucha ayuda   ). En algunos sitios hablaban de porno, otra web era sobre cómo ganar dinero siendo webmaster, etc... vaya, que muy bueno muy bueno no será.

[fedelf]

Fats, en cuanto a las dos direcciones ultimas que das con los dialers, comprobado, son paginas chachiwais, se puede no, se DEBE eliminar lo antes posible.

[Dabo]

estoy de acuerdo amigos,

para mas seguridad que ejecute este programa tambien por si hay un caso de hiijacking o secuestro de sesion

http://www.spywareinfo.com/downloads/tools/CWShredder.exe

le das a  "fix"
 

pero cierra todas las ventanas del navegador ok??? antes de hacerlo


saludos y gracias chic@s, a ver si damos con ello :!:

[FatsGordon]

A mi no me gusta el CWShredder porque uno no tiene el control de lo que sucede, por eso me gusta usar el HijackThis.

Pepa, cerrá todos los programas, incluso todas las ventanas de explorador de internet, abrí el HijackThis, presioná Scan, y cuando haya terminado el escaneo poné un tilde en los siguientes registros:

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

y presioná Fix.

Luego rebooteá la máquina y generá un nuevo log con el HijackThis, y por favor publicalo aquí.

Muchas gracias!

[PEPA]

Gracias, pero como quito esas direcciones, por favor indicarme paso a paso como, por si la fastidio.

Pepa

[FatsGordon]

Ok, ahí va (imprimilo mejor para poder tenerlo como referencia):

1- Cerrar todos los programas que estén abiertos. Esto incluye a todas las ventanas del navegador que estén en uso (o sea, que nada esté abierto)

2- Abrir el HijackThis

3- Presionar Scan

4- Una vez finalizado el escaneo, buscar las dos entradas 016 que te marqué arriba y repito aquí:

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

Como verás, son dos entradas distintas y se encuentran casi al final del listado que el HijackThis te está mostrando.

5- Una vez localizadas, marcá con el ratón en las casillas que están a la izquierda de cada una de las dos entradas 016. Deben quedar como las únicas marcadas con un símbolo de esos de marcar casillas

6- Una vez segura de que SOLO esas dos están marcadas y el resto en blanco, apretá Fix checked.

7- Cerrá el HijackThis

9- Reboot

10- Cuando la máquina está de nuevo arriba, abrí el HijackThis, apretá nuevamente Scan, luego Save log, luego dale un nombre y ubicación, y luego copiá y pegá el log completo aquí, tal y como lo hiciste la otra vez.

Listo. Espero haber sido claro

[PEPA]

He bajado lo que me ha dicho Dabo y me sale:

no infestado en todo, pero cueando llega a Restoring Internet Explore pages dice NONE infeatad

Cleaning up orphaned lef tovers DONE

-----------------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 20:30:44, on 15/04/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\SBPCI\CTMIX32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\APVXDWIN.EXE
C:\WINDOWS\RunDLL.exe
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\PAVPROXY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZIPM12.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE
O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://C:\Archivos de programa\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Descargar usando LeechGet - file://C:\Archivos de programa\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Bajar web con LeechGet - file://C:\Archivos de programa\LeechGet 2004\\Parser.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38036.5440046296
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 80.58.0.33,80.58.32.97

[FatsGordon]

Pepa, ese sitio xxx.contenidospc.com, ¿es de confianza? ¿Es un sitio al que acudís con frecuencia? Porque si no lo es, te recomiendo que hagas lo mismo que con los otros dos...

* SITIO EDITADO PARA EVITAR PROBLEMAS *