SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware

Scan con CWShredder y HijackThis

(1/4) > >>

choche:
Holas, probé el programa CWShredder y me detectó esto:

CWShredder v1.56.2 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 )
Windows dir: D:\WINDOWS
Windows system dir: D:\WINDOWS\system32
AppData folder: D:\Documents and Settings\JORGE\Datos de programa
Username: JORGE

Found Hosts file: D:\WINDOWS\system32\drivers\etc\hosts (792 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] D:\WINDOWS\system32\userinit.exe,
Registry value: DefaultPrefix (should be http://) [] http://
Registry value: WWW Prefix (should be http://) [www] http://
Registry value: Mosaic Prefix (should be http://) [mosaic] http://
Registry value: Home Prefix (should be http://) [home] http://
Found System.ini file: D:\WINDOWS\system.ini (208 bytes, -)

- END OF REPORT -

Pero no entendi nada. Y tambien probé el HijackThis q me detectó todo esto:

Logfile of HijackThis v1.97.7
Scan saved at 23:57:57, on 14/04/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Archivos de programa\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\Explorer.EXE
D:\ARCHIV~1\NORTON~1\navapw32.exe
D:\Archivos de programa\The Cleaner\tcm.exe
D:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
D:\Archivos de programa\The Cleaner\tca.exe
D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
D:\Archivos de programa\TorrentStorm\TorrentStorm.exe
D:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe
D:\Archivos de programa\TorrentStorm\Downloader\bts586.exe
D:\Archivos de programa\eDonkey2000\P2P HAZARD\P2PHazard.exe
C:\Archivos de programa\Internet Explorer\Iexplore.exe
D:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\JORGE\1111111\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - D:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] D:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NAV Agent] D:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "D:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [tcactive] D:\Archivos de programa\The Cleaner\tca.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Yahoo! Pager] D:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Bajar web con LeechGet - file://D:\Archivos de programa\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://D:\Archivos de programa\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Descargar usando LeechGet - file://D:\Archivos de programa\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Si&milar Pages - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38084.1893518519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Decirme q hago con todo eso?

FatsGordon:
Hola choche!

Yo, como dije en otro foro, no me fío del CWShredder porque no me deja el control en mis manos, y esto que publicás viene en parte a corroborar lo que digo, dado que te indican utilizar el HijackThis, que es lo que yo utilizo para cuando el Ad-aware no detecta algo (y nos sirve para recolectar nuevos archivos y mejorar las capacidades de detección del Ad-aware).

Antes de analizar el log del HT prefiero que hagas un escaneo FULL con el Ad-aware actualizado a hoy (01R294) y lo publiques INTEGRO aquí, porque es muy probable que si no detecta nada te pida que nos envíes unos archivos. Por lo pronto veo que tenés algunas porquerías por ahí, así que por favor vamos con método que nos desharemos de todo, ok?

Muchas gracias!

choche:
Lavasoft Ad-aware Professional Build 162
Archivo .log creado el:jueves, 15 de abril de 2004 23:22:48
Archivo de referencia en uso:01R295 15.04.2004
______________________________________________________

Ad-aware Settings
=========================
Sistema : Activar análisis profundo
Sistema : Modo seguro (siempre requerir confirmación)
Sistema : Analizar procesos activos
Sistema : Analizar registro
Sistema : Análisis profundo del registro

* EDITADO PARA EVITAR CONFUSIONES *

FatsGordon:
choche, choche...


--- Citar ---Lavasoft Ad-aware Professional Build 162
--- Fin de la cita ---


Tu Ad-aware es viejo. Dado que es un Ad-aware Pro supongo que lo habrás comprado. Siendo así, lo que tenés que hacer es ir al sitio de soporte de Lavasoft (el que está en mi firma), registrarte si no lo hiciste ya, y buscar dentro del foro de Ad-aware Professional el hilo (o los hilos) que hablan sobre necesitar una actualización del programa, y si no existe creas uno preguntando cómo debés hacer para actualizar el programa.

Una vez hecho esto, un Administrador se contactará contigo y te dirá qué hacer por medio de MP. Probablemente te pedirá los datos del mail que habrás recibido para activar el programa, así que tenelo a mano por las dudas.

Y lo que sigue es muy importante:

1) NI SE TE OCURRA ELIMINAR O PONER EN CUARENTENA ABSOLUTAMENTE NADA CON UNA VERSIÓN VIEJA, PORQUE PODÉS HACER UN DESASTRE

2) ANTES DE INSTALAR LA NUEVA VERSIÓN, DESINSTALÁ LA VIEJA (esto es válido en general para cualquier programa)

Luego de instalado, tenés que hacer un Webupdate para actualizar al último archivo de referencia, y luego hacer un escaneo FULL tal y como dice el hilo que publiqué en este mismo foro (es más, cuando hacés un escaneo FULL en algun lugar al principio del log aparece (Custom mode), y en el log que publicaste eso no aparece.

Vamos, hacé todo esto que esperamos el nuevo log... :D

FatsGordon:
¿Alguien ha visto a choche? :shock:

Navegación

[0] Índice de Mensajes

[#] Página Siguiente

Ir a la versión completa