SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
Agnitum-outpost firewall
FatsGordon:
A mi no me gusta el CWShredder porque uno no tiene el control de lo que sucede, por eso me gusta usar el HijackThis.
Pepa, cerrá todos los programas, incluso todas las ventanas de explorador de internet, abrí el HijackThis, presioná Scan, y cuando haya terminado el escaneo poné un tilde en los siguientes registros:
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
y presioná Fix.
Luego rebooteá la máquina y generá un nuevo log con el HijackThis, y por favor publicalo aquí.
Muchas gracias!
PEPA:
Gracias, pero como quito esas direcciones, por favor indicarme paso a paso como, por si la fastidio.
Pepa
FatsGordon:
Ok, ahí va (imprimilo mejor para poder tenerlo como referencia):
1- Cerrar todos los programas que estén abiertos. Esto incluye a todas las ventanas del navegador que estén en uso (o sea, que nada esté abierto)
2- Abrir el HijackThis
3- Presionar Scan
4- Una vez finalizado el escaneo, buscar las dos entradas 016 que te marqué arriba y repito aquí:
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
Como verás, son dos entradas distintas y se encuentran casi al final del listado que el HijackThis te está mostrando.
5- Una vez localizadas, marcá con el ratón en las casillas que están a la izquierda de cada una de las dos entradas 016. Deben quedar como las únicas marcadas con un símbolo de esos de marcar casillas :)
6- Una vez segura de que SOLO esas dos están marcadas y el resto en blanco, apretá Fix checked.
7- Cerrá el HijackThis
9- Reboot
10- Cuando la máquina está de nuevo arriba, abrí el HijackThis, apretá nuevamente Scan, luego Save log, luego dale un nombre y ubicación, y luego copiá y pegá el log completo aquí, tal y como lo hiciste la otra vez.
Listo. Espero haber sido claro :)
PEPA:
He bajado lo que me ha dicho Dabo y me sale:
no infestado en todo, pero cueando llega a Restoring Internet Explore pages dice NONE infeatad
Cleaning up orphaned lef tovers DONE
-----------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 20:30:44, on 15/04/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\SBPCI\CTMIX32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\APVXDWIN.EXE
C:\WINDOWS\RunDLL.exe
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\PAVPROXY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZIPM12.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE
O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://C:\Archivos de programa\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Descargar usando LeechGet - file://C:\Archivos de programa\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Bajar web con LeechGet - file://C:\Archivos de programa\LeechGet 2004\\Parser.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38036.5440046296
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 80.58.0.33,80.58.32.97
FatsGordon:
Pepa, ese sitio xxx.contenidospc.com, ¿es de confianza? ¿Es un sitio al que acudís con frecuencia? Porque si no lo es, te recomiendo que hagas lo mismo que con los otros dos...
* SITIO EDITADO PARA EVITAR PROBLEMAS *
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa