Autor Tema: Ad-Aware (Leído 12271 veces)

FatsGordon · « **Respuesta #10 en:** 14 de Mayo de 2004, 06:01:59 pm »

¿Este es el log ANTES de eliminar? Si es así, ¿cómo sale un log de un escaneo full DESPUÉS?

Porque tu problema inicial era que los objetos volvían...

AnTiHeRoE · « **Respuesta #11 en:** 15 de Mayo de 2004, 07:18:37 pm »

No entiendo lo que dices, soy novato. A ver te pongo de nuevo el log este, lo acabo de pasar de nuevo el Ad-Aware. Esto es lo que sale antes de eliminar, justo pinchando en show log:

Lavasoft Ad-aware Personal Build 6.181
Logfile creado:sábado, 15 de mayo de 2004 18:53:44
Created with Ad-aware Personal, free for private use.
Usando archivo de referencia:01R303 08.05.2004
______________________________________________________

Reffile status:
=========================
archivo de la referencia cargado:
Reference Number : 01R303 08.05.2004
Internal build : 235
File location : C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 6\reflist.ref
Total size : 1096786 Bytes
Signature data size : 1078166 Bytes
Reference data size : 18556 Bytes
Signatures total : 24182
Target categories : 10
Target families : 463

Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium III
Memory available:18 %
Total physical memory:129400 kb
Available physical memory:3624 kb
Total page file size:1663232 kb
Available on page file:1540392 kb
Total virtual memory:2093056 kb
Available virtual memory:2052288 kb
OS:Windows (ME)

Ad-aware Settings
=========================
Juego : Activar escaneo en profundidad
Juego : Modo seguro (siempre pide una confirmación)
Juego : Escanear procesos activos
Juego : Escanear registro
Juego : Escanear registro a fondo
Juego : Escanear Favorito de IE para los sitios prohibidos
Juego : Escanear dentro de los archivos
Juego : Scan my Hosts file

Extended Ad-aware Settings
=========================
Juego : Unload recognized processes during scanning
Juego : Include basic Ad-aware settings in logfile
Juego : Include additional Ad-aware settings in logfile
Juego : Let windows remove files in use at next reboot
Juego : Delete quarantined objects after restoring
Juego : Always back up reference file, before updating
Juego : Play sound if scan produced a result

15-05-2004 18:53:44 - Scan started. (Custom mode)

Listando procesos activos
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

#:1 [kernel32.dll]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293886179
Threads : 4
Priority : High
FileSize : 536 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1991-2000
CompanyName : Microsoft Corporation
FileDescription : Componente del n
InternalName : KERNEL32
OriginalFilename : KERNEL32.DLL
ProductName : Sistema operativo Microsoft(R) Windows(R) Millennium
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:2 [msgsrv32.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292889095
Threads : 1
Priority : Normal
FileSize : 11 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1992-1998
CompanyName : Microsoft Corporation
FileDescription : Servidor de mensajes VxD de 32 bits de Windows
InternalName : MSGSRV32
OriginalFilename : MSGSRV32.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R) Millennium
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:3 [spool32.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292891263
Threads : 4
Priority : Normal
FileSize : 44 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1994 - 1998
CompanyName : Microsoft Corporation
FileDescription : Spooler Sub System Process
InternalName : spool32
OriginalFilename : spool32.exe
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:4 [mprexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292935167
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1993-2000
CompanyName : Microsoft Corporation
FileDescription : WIN32 Network Interface Service Process
InternalName : MPREXE
OriginalFilename : MPREXE.EXE
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:5 [mstask.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292963023
Threads : 3
Priority : Normal
FileSize : 128 KB
FileVersion : 4.71.2721.1
ProductVersion : 4.71.2721.1
Copyright : Copyright (C) Microsoft Corp. 2000
CompanyName : Microsoft Corporation
FileDescription : Motor de Programador de tareas
InternalName : TaskScheduler
OriginalFilename : mstask.exe
ProductName : Programador de tareas de Microsoft
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:6 [ssdpsrv.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292952275
Threads : 5
Priority : Normal
FileSize : 54 KB
FileVersion : 4.90.3000.1
ProductVersion : 4.90.3000.1
Copyright : Copyright (C) Microsoft Corp. 1981-2000
CompanyName : Microsoft Corporation
FileDescription : SSDP Service on Windows Millennium
InternalName : ssdpsrv.exe
OriginalFilename : ssdpsrv.exe
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:7 [scardsvr.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292941799
Threads : 2
Priority : Normal
FileSize : 87 KB
FileVersion : 5.00.1708.1
ProductVersion : 5.00.1708.1
Copyright : Copyright (C) Microsoft Corp. 1981-1997
CompanyName : Microsoft Corporation
FileDescription : Smart Card Resource Management Server
InternalName : SCardSvr.exe
OriginalFilename : SCardSvr.exe
ProductName : Microsoft(R) Windows NT(R) Operating System
Created on : 15/02/2001 08:00:36
Last accessed : 14/05/2004 22:00:00
Last modified : 19/11/1997 09:55:52

#:8 [mdm.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292998235
Threads : 2
Priority : Normal
FileSize : 121 KB
FileVersion : 6.00.8424
ProductVersion : 6.00.8424
Copyright : Copyright (C) Microsoft Corp. 1997-1998
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
OriginalFilename : mdm.exe
ProductName : Microsoft (R) Visual Studio
Created on : 15/11/1999 17:46:12
Last accessed : 14/05/2004 22:00:00
Last modified : 15/11/1999 17:46:12

#:9 [stimon.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292990703
Threads : 5
Priority : Normal
FileSize : 28 KB
FileVersion : 4.90.3000.1
ProductVersion : 4.90.3000.1
Copyright : Copyright (C) Microsoft Corp. 1981-2000
CompanyName : Microsoft Corporation
FileDescription : Monitor de dispositivos de imagen est
InternalName : STIMON
OriginalFilename : STIMON.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R) Millennium
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:10 [lexbces.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293019595
Threads : 6
Priority : Normal
FileSize : 278 KB
FileVersion : 5,12,00,00
ProductVersion : 5,12,00,00
Copyright : (C) 1993 - 2000 Lexmark International, Inc.
CompanyName : Lexmark International, Inc.
FileDescription : LexBce Service
InternalName : LexBce Service
OriginalFilename : LexBceS.exe
ProductName : MarkVision for Windows (32 bit)
Created on : 15/02/2001 06:19:23
Last accessed : 14/05/2004 22:00:00
Last modified : 07/06/2000 10:38:06

#:11 [rpcss.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292912959
Threads : 5
Priority : Normal
FileSize : 20 KB
FileVersion : 4.71.3328
ProductVersion : 4.71.3328
Copyright : Copyright (C) Microsoft Corp. 1981-1998
CompanyName : Microsoft Corporation
FileDescription : Distributed COM Services
InternalName : rpcss.exe
OriginalFilename : rpcss.exe
ProductName : Microsoft(R) Windows NT(TM) Operating System
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:12 [stmgr.exe]
FilePath : C:\WINDOWS\SYSTEM\RESTORE\
ProcessID : 4293064611
Threads : 5
Priority : Normal
FileSize : 60 KB
FileVersion : 4.90.0.2533
ProductVersion : 4.90.0.2533
Copyright : Copyright (C) Microsoft Corp. 1981-2000
CompanyName : Microsoft Corporation
FileDescription : Microsoft (R) PC State Manager
InternalName : StateMgr.exe
OriginalFilename : StateMgr.exe
ProductName : Microsoft (r) PCHealth
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:13 [mmtask.tsk]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293094579
Threads : 1
Priority : Normal
FileSize : 1 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Multimedia background task support module
InternalName : mmtask.tsk
OriginalFilename : mmtask.tsk
ProductName : Microsoft Windows
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:14 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 4293089051
Threads : 14
Priority : Normal
FileSize : 224 KB
FileVersion : 5.50.4134.100
ProductVersion : 5.50.4134.100
Copyright : Copyright (C) Microsoft Corp. 1981-2000
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft(R) Windows (R) 2000
Created on : 08/06/2000 15:00:00
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:15 [taskmon.exe]
FilePath : C:\WINDOWS\
ProcessID : 4293135311
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1998
CompanyName : Microsoft Corporation
FileDescription : Task Monitor
InternalName : TaskMon
OriginalFilename : TASKMON.EXE
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:16 [systray.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293182607
Threads : 2
Priority : Normal
FileSize : 36 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1993-2000
CompanyName : Microsoft Corporation
FileDescription : Subprograma Bandeja de sistema
InternalName : SYSTRAY
OriginalFilename : SYSTRAY.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R) Millennium
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:17 [pelmiced.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293195295
Threads : 1
Priority : Normal
FileSize : 68 KB
FileVersion : 1, 0, 5, 2
ProductVersion : 1.0.0.0
Copyright : Copyright (c) 1997, Primax Electronics Ltd.
CompanyName : Primax Electronics Ltd.
FileDescription : Mouse Suite 98 Daemon
InternalName : pelmiced.exe
ProductName : MouseSuite 98
Created on : 13/02/2001 11:23:38
Last accessed : 14/05/2004 22:00:00
Last modified : 14/07/2000 14:34:00

#:18 [aptezbp.exe]
FilePath : C:\IBMTOOLS\APTEZBTN\
ProcessID : 4293182159
Threads : 1
Priority : Normal
FileSize : 393 KB
FileVersion : 1, 0, 0, 5
ProductVersion : 1, 0, 0, 5
Copyright : Copyright
CompanyName : IBM Corporation
FileDescription : APTEZBP MFC Application - Aptiva EZ Buttons run-time process
InternalName : APTEZBP
OriginalFilename : APTEZBP.EXE
ProductName : APTEZBP Application
Created on : 13/02/2001 11:26:54
Last accessed : 14/05/2004 22:00:00
Last modified : 11/11/1999 10:25:26

#:19 [navapw32.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\
ProcessID : 4293224239
Threads : 6
Priority : Normal
FileSize : 48 KB
FileVersion : 7.07.00.23
ProductVersion : 7.07.00.23
Copyright : Copyright (C) 2000 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Agent
InternalName : NAVAPW32
OriginalFilename : NAVAPW32.DLL
ProductName : Norton AntiVirus
Created on : 22/05/2001 12:10:42
Last accessed : 14/05/2004 22:00:00
Last modified : 12/03/2001 15:47:50

#:20 [wmiexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293217683
Threads : 3
Priority : Normal
FileSize : 16 KB
FileVersion : 4.90.2452.1
ProductVersion : 4.90.2452.1
Copyright : Copyright (C) Microsoft Corp. 1981-1999
CompanyName : Microsoft Corporation
FileDescription : WMI service exe housing
InternalName : wmiexe
OriginalFilename : wmiexe.exe
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 01/01/1601
Last accessed : 14/05/2004 22:00:00
Last modified : 08/06/2000 15:00:00

#:21 [lxsupmon.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293255675
Threads : 1
Priority : Normal
FileSize : 798 KB
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
Copyright : Copyright
CompanyName : Lexmark
FileDescription : Supplies Monitor
InternalName : LXSUPMON
OriginalFilename : LXSUPMON.RC
ProductName : Lexmark Supplies Monitor
Created on : 15/02/2001 06:21:37
Last accessed : 14/05/2004 22:00:00
Last modified : 07/06/2000 11:04:16

#:22 [loadqm.exe]
FilePath : C:\WINDOWS\
ProcessID : 4293202143
Threads : 3
Priority : Normal
FileSize : 7 KB
FileVersion : 5.4.1103.3
ProductVersion : 5.4.1103.3
Copyright : Copyright (C) Microsoft Corp. 1981-1999
CompanyName : Microsoft Corporation
FileDescription : Microsoft QMgr
InternalName : LOADQM.EXE
OriginalFilename : LOADQM.EXE
ProductName : QMgr Loader
Created on : 25/11/2003 10:17:14
Last accessed : 14/05/2004 22:00:00
Last modified : 03/05/2000 15:23:10

#:23 [realsched.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\
ProcessID : 4293207651
Threads : 2
Priority : Normal
FileSize : 148 KB
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
OriginalFilename : realsched.exe
ProductName : RealOne Player (32-bit)
Created on : 09/12/2003 18:40:59
Last accessed : 14/05/2004 22:00:00
Last modified : 09/12/2003 18:41:00

#:24 [qttask.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293280523
Threads : 2
Priority : Normal
FileSize : 76 KB
FileVersion : 6.4
ProductVersion : QuickTime 6.4
CompanyName : Apple Computer, Inc.
FileDescription : Apple Computer, Inc.
InternalName : QuickTime Task
OriginalFilename : QTTask.exe
ProductName : QuickTime
Created on : 15/01/2004 09:04:50
Last accessed : 14/05/2004 22:00:00
Last modified : 15/01/2004 09:04:52

#:25 [p2p networking.exe]
FilePath : C:\WINDOWS\SYSTEM\P2P NETWORKING\
ProcessID : 4293323767
Threads : 8
Priority : Normal
FileSize : 457 KB
FileVersion : 1, 24, 0, 91
ProductVersion : 1, 24, 0, 91
Copyright : Copyright
CompanyName : Joltid Ltd.
FileDescription : P2P Networking
InternalName : P2P Networking
OriginalFilename : P2P Networking.exe
ProductName : P2P Networking
Created on : 06/03/2004 12:30:20
Last accessed : 14/05/2004 22:00:00
Last modified : 06/03/2004 12:30:18

#:26 [poproxy.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\
ProcessID : 4293043983
Threads : 1
Priority : Normal
FileSize : 76 KB
FileVersion : 7.07.00.23
ProductVersion : 7.07.00.23
Copyright : Copyright (C) 2000 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Utilities
InternalName : POPROXY
OriginalFilename : POPROXY.DLL
ProductName : Norton AntiVirus
Created on : 22/05/2001 12:10:46
Last accessed : 14/05/2004 22:00:00
Last modified : 14/02/2001 15:14:36

#:27 [ddhelp.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293344823
Threads : 4
Priority : Realtime
FileSize : 32 KB
FileVersion : 4.09.00.0900
ProductVersion : 4.09.00.0900
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Microsoft DirectX Helper
InternalName : DDHelp.exe
OriginalFilename : DDHelp.exe
ProductName : Microsoft
Created on : 19/12/2003 08:49:33
Last accessed : 14/05/2004 22:00:00
Last modified : 11/12/2002 22:14:32

#:28 [winproc32.exe]
FilePath : C:\WINDOWS\SYSTEM32\
ProcessID : 4293306523
Threads : 1
Priority : Normal
FileSize : 5 KB
Created on : 26/03/2004 17:10:04
Last accessed : 14/05/2004 22:00:00
Last modified : 26/03/2004 17:10:06

#:29 [winlogon.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293343271
Threads : 1
Priority : Normal
FileSize : 12 KB
Created on : 31/03/2004 21:20:42
Last accessed : 14/05/2004 22:00:00
Last modified : 31/03/2004 21:20:42

#:30 [webcheck.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293344027
Threads : 1
Priority : Normal
FileSize : 12 KB
Created on : 01/05/2004 23:29:43
Last accessed : 14/05/2004 22:00:00
Last modified : 01/05/2004 23:29:44

#:31 [window.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293366103
Threads : 4
Priority : Normal
FileSize : 7 KB
Created on : 08/05/2004 17:33:09
Last accessed : 14/05/2004 22:00:00
Last modified : 08/05/2004 17:33:04

#:32 [ad-aware.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 6\
ProcessID : 4293233543
Threads : 2
Priority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 13/05/2004 13:24:39
Last accessed : 14/05/2004 22:00:00
Last modified : 12/07/2003 19:00:20

Resultados Escaneo de la memoria:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 0

Inicio escaneo del Registro
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

CoolWebSearch Objeto reconocido!
Tipo : RegValor
Fecha :
Categoria : Malware
Comentario : "HOMEOldSP"
Rootkey : HKEY_CURRENT_USER
Objeto : SOFTWARE\Microsoft\Internet Explorer\Main
Valor : HOMEOldSP

Resultados Escaneo del registro:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 1
Objetos encontrados hasta ahora: 1

Inicio escaneo profundo del Registro
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainSearch Page/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Search Page
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainStart Page/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Start Page
Fecha : "http://4-counter.com/?b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainSearch Bar/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Search Bar
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\SearchSearchAssistant/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer\Search
Valor : SearchAssistant
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet ExplorerSearchURL/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer
Valor : SearchURL
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainSearch Page/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_LOCAL_MACHINE
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Search Page
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainSearch Bar/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_LOCAL_MACHINE
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Search Bar
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\SearchSearchAssistant/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_LOCAL_MACHINE
Objeto : Software\Microsoft\Internet Explorer\Search
Valor : SearchAssistant
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet ExplorerSearchURL/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_LOCAL_MACHINE
Objeto : Software\Microsoft\Internet Explorer
Valor : SearchURL
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : .Default\Software\Microsoft\Internet Explorer\MainSearch Page/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_USERS
Objeto : .Default\Software\Microsoft\Internet Explorer\Main
Valor : Search Page
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : .Default\Software\Microsoft\Internet Explorer\MainStart Page/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_USERS
Objeto : .Default\Software\Microsoft\Internet Explorer\Main
Valor : Start Page
Fecha : "http://4-counter.com/?b=tut"

Posible secuestro del navegador : .Default\Software\Microsoft\Internet Explorer\MainSearch Bar/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_USERS
Objeto : .Default\Software\Microsoft\Internet Explorer\Main
Valor : Search Bar
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : .Default\Software\Microsoft\Internet Explorer\SearchSearchAssistant/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_USERS
Objeto : .Default\Software\Microsoft\Internet Explorer\Search
Valor : SearchAssistant
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : .Default\Software\Microsoft\Internet ExplorerSearchURL/4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_USERS
Objeto : .Default\Software\Microsoft\Internet Explorer
Valor : SearchURL
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainSearch Page4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Search Page
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainStart Page4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Start Page
Fecha : "http://4-counter.com/?b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainSearch Bar4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Search Bar
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\SearchSearchAssistant4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer\Search
Valor : SearchAssistant
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet ExplorerSearchURL4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_CURRENT_USER
Objeto : Software\Microsoft\Internet Explorer
Valor : SearchURL
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainSearch Page4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_LOCAL_MACHINE
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Search Page
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\MainSearch Bar4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_LOCAL_MACHINE
Objeto : Software\Microsoft\Internet Explorer\Main
Valor : Search Bar
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet Explorer\SearchSearchAssistant4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_LOCAL_MACHINE
Objeto : Software\Microsoft\Internet Explorer\Search
Valor : SearchAssistant
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : Software\Microsoft\Internet ExplorerSearchURL4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_LOCAL_MACHINE
Objeto : Software\Microsoft\Internet Explorer
Valor : SearchURL
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : .Default\Software\Microsoft\Internet Explorer\MainSearch Page4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_USERS
Objeto : .Default\Software\Microsoft\Internet Explorer\Main
Valor : Search Page
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : .Default\Software\Microsoft\Internet Explorer\MainStart Page4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_USERS
Objeto : .Default\Software\Microsoft\Internet Explorer\Main
Valor : Start Page
Fecha : "http://4-counter.com/?b=tut"

Posible secuestro del navegador : .Default\Software\Microsoft\Internet Explorer\MainSearch Bar4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_USERS
Objeto : .Default\Software\Microsoft\Internet Explorer\Main
Valor : Search Bar
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : .Default\Software\Microsoft\Internet Explorer\SearchSearchAssistant4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_USERS
Objeto : .Default\Software\Microsoft\Internet Explorer\Search
Valor : SearchAssistant
Fecha : "http://4-counter.com/?a=2&b=tut"

Posible secuestro del navegador : .Default\Software\Microsoft\Internet ExplorerSearchURL4-counter.com

Possible Browser Hijack attempt Objeto reconocido!
Tipo : RegFecha
Fecha : "http://4-counter.com/?a=2&b=tut"
Categoria : Malware
Comentario : Posible secuestro del navegador
Rootkey : HKEY_USERS
Objeto : .Default\Software\Microsoft\Internet Explorer
Valor : SearchURL
Fecha : "http://4-counter.com/?a=2&b=tut"

Resultados Escaneo Profundo del registro:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 28
Objetos encontrados hasta ahora: 29

Escaneando y examinando archivos en profundidad (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : standard@mediaplex[1].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 14/05/2004 09:45:45
Last accessed : 14/05/2004 22:00:00
Last modified : 14/05/2004 09:45:46

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : standard@doubleclick[1].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 14/05/2004 09:46:02
Last accessed : 14/05/2004 22:00:00
Last modified : 14/05/2004 09:46:04

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : [email protected][2].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 15/05/2004 16:58:11
Last accessed : 14/05/2004 22:00:00
Last modified : 15/05/2004 16:58:12

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : [email protected][2].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 15/05/2004 16:58:11
Last accessed : 14/05/2004 22:00:00
Last modified : 15/05/2004 16:58:12

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : standard@0[2].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 14/05/2004 10:24:41
Last accessed : 14/05/2004 22:00:00
Last modified : 14/05/2004 10:24:42

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : standard@cgi-bin[2].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 14/05/2004 13:22:29
Last accessed : 14/05/2004 22:00:00
Last modified : 14/05/2004 13:22:30

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : [email protected][1].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 14/05/2004 16:50:29
Last accessed : 14/05/2004 22:00:00
Last modified : 14/05/2004 16:50:30

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : [email protected][1].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 14/05/2004 16:50:27
Last accessed : 14/05/2004 22:00:00
Last modified : 14/05/2004 16:50:28

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : standard@realmedia[1].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 14/05/2004 15:58:39
Last accessed : 14/05/2004 22:00:00
Last modified : 14/05/2004 15:58:40

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : [email protected][2].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 15/05/2004 12:17:14
Last accessed : 14/05/2004 22:00:00
Last modified : 15/05/2004 12:17:16

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : [email protected][1].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 15/05/2004 13:18:41
Last accessed : 14/05/2004 22:00:00
Last modified : 15/05/2004 13:18:42

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : standard@sextracker[1].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 14/05/2004 16:50:29
Last accessed : 14/05/2004 22:00:00
Last modified : 14/05/2004 16:50:30

Tracking Cookie Objeto reconocido!
Tipo : Archivo
Fecha : standard@bravenet[1].txt
Categoria : Data Miner
Comentario :
Objeto : C:\WINDOWS\Cookies\

Created on : 15/05/2004 13:19:05
Last accessed : 14/05/2004 22:00:00
Last modified : 15/05/2004 13:19:06

Resultados Escaneo del disco: C:\
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 42

Escaneando y examinando archivos en profundidad (D:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Resultados Escaneo del disco: D:\
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 42

Scanning Hosts file(C:\WINDOWS\hosts)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Hosts file scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
11 entries scanned.
Nuevos objetos:0
Objetos encontrados hasta ahora: 42

Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Nuevos objetos: 0
Objetos encontrados hasta ahora: 42

19:19:00 Escaneo completo

Resumen Del escaneo
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total tiempo escaneo:00:25:15:950
Objetos Escaneados:177401
Objetos identificados:42
Objetos ignorados:0
Nuevos objetos:42

FatsGordon · « **Respuesta #12 en:** 15 de Mayo de 2004, 10:08:50 pm »

AnTiHeRoE, lo estás haciendo muy bien! Ahora por favor leé bien lo que va a continuación, y seguí todos los pasos que vengan. Tenés CWS en tu máquina, y puede ser que el NETSKY.

Por lo pronto copiá los archivos que están más abajo a una carpeta nueva llamada C:\basura\

C:\WINDOWS\SYSTEM32\winproc32.exe

C:\WINDOWS\SYSTEM\winlogon.exe

C:\WINDOWS\SYSTEM\webcheck.exe

C:\WINDOWS\SYSTEM\window.exe

En C:\basura comprimí con Winzip todos los archivos en un único archivo llamado basura.zip. Luego abrí el enlace que está en mi firma (el de envío de archivos para análisis), completá los datos, apretá Examinar..., buscá el archivo y cuando lo encuentres apretá Aceptar. En el campo de texto grande poné As per FatsGordon request, y luego enviá basura.zip apretando Submit.

Esto es muy importante porque si hay algo que el Ad-aware no detecta con eso ayudamos a detectarlo (a los investigadores), y será incorporado en próximos archivos de referencia.

Ahora escaneá de nuevo FULL con Ad-aware, como hiciste, y eliminá TODO. Reiniciá la máquina.

Bajate el HijackThis de http://www.spywareinfo.com/~merijn/files/HijackThis.exe, ponelo en una carpeta llamada C:\HijackThis\, ejecutalo, presioná Scan, luego Save log, luego grabá el log en la misma carpeta y cuando se abra el Bloc de notas copiá TODO y publicalo aquí.

Luego andá a cada uno de los siguientes antivirus ONLINE:

http://housecall.antivirus.com/

http://www.pandasoftware.es/activescan/activescan-com.asp

http://security.symantec.com/

y realizá un escaneo CON CADA UNO.

Una vez terminado todo reiniciá la máquina y volvé a publicar un log del HijackThis (uno nuevo, se entiende).

Espero los logs.

AnTiHeRoE · « **Respuesta #13 en:** 16 de Mayo de 2004, 01:43:24 pm »

Seguramente sea cortar y copiar lo de esos archivos de la carpeta basura, pero no estoy seguro. Me refiero a si los copio solo de donde esten o los traslado completamente. Creo que me arriesgare a hacerlo con cortar copiar por las ansias de solucionar esto.

AnTiHeRoE · « **Respuesta #14 en:** 16 de Mayo de 2004, 02:18:05 pm »

¿Y la carpeta basura la borro despues?

AnTiHeRoE · « **Respuesta #15 en:** 16 de Mayo de 2004, 02:20:43 pm »

Primer log:

Logfile of HijackThis v1.97.7
Scan saved at 14:23:15, on 16/05/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\SCARDSVR.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PELMICED.EXE
C:\IBMTOOLS\APTEZBTN\APTEZBP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\WINLOGON.EXE
C:\WINDOWS\SYSTEM\WEBCHECK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xjtdvc.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 3466709097 auto.search.msn.com
O1 - Hosts: 3466709097 sitefinder.verisign.com
O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
O1 - Hosts: 3466709097 www.your.com
O1 - Hosts: 3466709097 your.com
O1 - Hosts: 3466690378 ad.doubleclick.net
O1 - Hosts: 3466690378 view.atdmt.com
O1 - Hosts: 3466690378 click.atdmt.com
O1 - Hosts: 3466690378 leader.linkexchange.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\AHEAD\FIVE\DAP\DAPBHO.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [GDRIVE] C:\IBMTOOLS\IBMBOOT\GDRIVE.EXE -N
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\ARCHIV~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Creative WebCam Tray] CamTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [buscacancioneses] C:\buscacancioneses\BUSCACANCIONESES.EXE -t
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Archivos de programa\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\SYSTEM32\WINPROC32.EXE
O4 - HKCU\..\Run: [System Update2] c:\windows\system\winlogon.exe
O4 - HKCU\..\Run: [System Update4] c:\windows\system\webcheck.exe
O4 - HKCU\..\Run: [window.exe] C:\WINDOWS\SYSTEM\window.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with &DAP - D:\AHEAD\FIVE\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\AHEAD\FIVE\DAP\dapextie2.htm
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Cursos y Masters (HKLM)
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {CE5B52ED-3258-11D5-AD22-00902724DFE8} (CMCAPCSC Class) - http://www.epersonas.net/epersonas/cab/piloto/cmcati.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.epersonas.net/epersonas/cab/ScriptX.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - http://www.cert.fnmt.es/clase2/XENROLL.DLL
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://62.81.205.146/aplicacionesemv/msrdp.cab
O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

AnTiHeRoE · « **Respuesta #16 en:** 17 de Mayo de 2004, 11:27:53 am »

Y este es el segundo. Sobre lo de las webs de inicio, ya no me salen las del spyware y de los favoritos se me han ido los que salian solos. Los pop ups tampoco salen ya. Aun asi, los antivirus, sobre todo el primero me hablan de troyanos pero al intentar eliminar no me deja porque dice que esta e uso el archivo. Tampoco lo entiendo porque el directorio donde me dicen que estan no lo veo, dice que es C://_Restore y no lo tengo. Ya me contarás.

Logfile of HijackThis v1.97.7
Scan saved at 11:28:55, on 17/05/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\SCARDSVR.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PELMICED.EXE
C:\IBMTOOLS\APTEZBTN\APTEZBP.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alternativa.webcindario.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xjtdvc.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 3466709097 auto.search.msn.com
O1 - Hosts: 3466709097 sitefinder.verisign.com
O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
O1 - Hosts: 3466709097 www.your.com
O1 - Hosts: 3466709097 your.com
O1 - Hosts: 3466690378 ad.doubleclick.net
O1 - Hosts: 3466690378 view.atdmt.com
O1 - Hosts: 3466690378 click.atdmt.com
O1 - Hosts: 3466690378 leader.linkexchange.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\AHEAD\FIVE\DAP\DAPBHO.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [GDRIVE] C:\IBMTOOLS\IBMBOOT\GDRIVE.EXE -N
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\ARCHIV~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Creative WebCam Tray] CamTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [buscacancioneses] C:\buscacancioneses\BUSCACANCIONESES.EXE -t
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Archivos de programa\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\SYSTEM32\WINPROC32.EXE
O4 - HKCU\..\Run: [System Update2] c:\windows\system\winlogon.exe
O4 - HKCU\..\Run: [System Update4] c:\windows\system\webcheck.exe
O4 - HKCU\..\Run: [window.exe] C:\WINDOWS\SYSTEM\window.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with &DAP - D:\AHEAD\FIVE\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\AHEAD\FIVE\DAP\dapextie2.htm
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Cursos y Masters (HKLM)
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {CE5B52ED-3258-11D5-AD22-00902724DFE8} (CMCAPCSC Class) - http://www.epersonas.net/epersonas/cab/piloto/cmcati.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.epersonas.net/epersonas/cab/ScriptX.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - http://www.cert.fnmt.es/clase2/XENROLL.DLL
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://62.81.205.146/aplicacionesemv/msrdp.cab
O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

FatsGordon · « **Respuesta #17 en:** 17 de Mayo de 2004, 09:45:05 pm »

Independientemente de lo que digan los logs, si te dicen que están en Restore es que están en el System Restore. Lo que tenés que hacer es una purga del System Restore (no tengo ni ME ni System Restore, así que puede ser que los títulos estén mal, te dejo como se llaman en inglés), porque ningún programa puede entrar allí (si no lo hacés las porquerías estas van a seguir viviendo en tu máquina porque nadie las puede sacar):

Windows Me:

1. Cerrá todos los programas.
2. Hacé un click derecho en Mi PC en el Escritorio y luego un click en Propiedades.
3. Click en Rendimiento (Performance).
4. Click en Sistema de archivos (File System).
5. Click en Solución de problemas (Troubleshooting).
6. Poné una marca en Deshabilitar (Disable) System Restore, click en Aceptar (OK), y luego click en Cerrar.
7. Click en Si o Aceptar para reiniciar. Esto deshabilita el System Restore y purgará los contenidos del directorio _RESTORE cuando el sistema se reinicie.
8. Luego de limpiar, repetir los pasos de 1 a 7, excepto que en el 6 tenés que sacar la marca de Deshabilitar (Disable) System Restore.

Luego, después de haber hecho esto creá un nuevo restore point:

Andá a Inicio->Programas->Accessorios->Herramientas de Sistema->System Restore. En la siguiente página que aparece tenés tres opciones, elegí Crear Restore Point. Luego hacé click en Siguiente y escribí una descripción.

Espero que esto sirva.

Luego de estos paso, reiniciá la máquina y publicá un log de HijackThis nuevo.

AnTiHeRoE · « **Respuesta #18 en:** 17 de Mayo de 2004, 10:29:43 pm »

Este es el log. ¿Tengo que dar a fix cheked o algun boton?.

Logfile of HijackThis v1.97.7
Scan saved at 22:32:45, on 17/05/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\SCARDSVR.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\PELMICED.EXE
C:\IBMTOOLS\APTEZBTN\APTEZBP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\LOADQM.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\WINLOGON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alternativa.webcindario.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xjtdvc.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 3466709097 auto.search.msn.com
O1 - Hosts: 3466709097 sitefinder.verisign.com
O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
O1 - Hosts: 3466709097 www.your.com
O1 - Hosts: 3466709097 your.com
O1 - Hosts: 3466690378 ad.doubleclick.net
O1 - Hosts: 3466690378 view.atdmt.com
O1 - Hosts: 3466690378 click.atdmt.com
O1 - Hosts: 3466690378 leader.linkexchange.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\AHEAD\FIVE\DAP\DAPBHO.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [GDRIVE] C:\IBMTOOLS\IBMBOOT\GDRIVE.EXE -N
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\ARCHIV~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Creative WebCam Tray] CamTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [buscacancioneses] C:\buscacancioneses\BUSCACANCIONESES.EXE -t
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Archivos de programa\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\SYSTEM32\WINPROC32.EXE
O4 - HKCU\..\Run: [System Update2] c:\windows\system\winlogon.exe
O4 - HKCU\..\Run: [System Update4] c:\windows\system\webcheck.exe
O4 - HKCU\..\Run: [window.exe] C:\WINDOWS\SYSTEM\window.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with &DAP - D:\AHEAD\FIVE\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\AHEAD\FIVE\DAP\dapextie2.htm
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Cursos y Masters (HKLM)
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {CE5B52ED-3258-11D5-AD22-00902724DFE8} (CMCAPCSC Class) - http://www.epersonas.net/epersonas/cab/piloto/cmcati.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.epersonas.net/epersonas/cab/ScriptX.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - http://www.cert.fnmt.es/clase2/XENROLL.DLL
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://62.81.205.146/aplicacionesemv/msrdp.cab
O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

FatsGordon · « **Respuesta #19 en:** 17 de Mayo de 2004, 11:18:48 pm »

Citar

Seguramente sea cortar y copiar lo de esos archivos de la carpeta basura, pero no estoy seguro. Me refiero a si los copio solo de donde esten o los traslado completamente. Creo que me arriesgare a hacerlo con cortar copiar por las ansias de solucionar esto.

No, es sólo copiar.

Citar

¿Y la carpeta basura la borro despues?

Después de enviados los archivos.

Igualmente ahora voy a pedirte que envíes archivos, así que hacemos un único paquete:

c:\windows\system\winlogon.exe
c:\windows\system\webcheck.exe
C:\WINDOWS\SYSTEM\window.exe
C:\WINDOWS\SYSTEM32\WINPROC32.EXE

Luego cerrá todos los programas abiertos y todas las ventanas de explorador, abrí HijackThis, apretá Scan y poné una marca en cada una de las siguientes entradas (sólo en estas entradas!):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xjtdvc.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 3466709097 auto.search.msn.com
O1 - Hosts: 3466709097 sitefinder.verisign.com
O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
O1 - Hosts: 3466709097 www.your.com
O1 - Hosts: 3466709097 your.com
O1 - Hosts: 3466690378 ad.doubleclick.net
O1 - Hosts: 3466690378 view.atdmt.com
O1 - Hosts: 3466690378 click.atdmt.com
O1 - Hosts: 3466690378 leader.linkexchange.com
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\SYSTEM32\WINPROC32.EXE
O4 - HKCU\..\Run: [System Update2] c:\windows\system\winlogon.exe
O4 - HKCU\..\Run: [System Update4] c:\windows\system\webcheck.exe
O4 - HKCU\..\Run: [window.exe] C:\WINDOWS\SYSTEM\window.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm

Una vez marcados apretá Fix checked, cerrá HijackThis y reiniciá en modo A prueba de fallos (F8 ). Una vez en dicho modo buscá los archivos:

c:\windows\system\winlogon.exe
c:\windows\system\webcheck.exe
C:\WINDOWS\SYSTEM\window.exe
C:\WINDOWS\SYSTEM32\WINPROC32.EXE

y eliminalos (comprobá que los hayas copiado previamente a la carpeta C:\Basura). Reiniciá la máquina, enviá los archivos si no lo hiciste y publicá un nuevo log de HijackThis.

Noticias:

Autor Tema: Ad-Aware (Leído 12271 veces)

FatsGordon

Ad-Aware

AnTiHeRoE

Mande

FatsGordon

Ad-Aware

AnTiHeRoE

cortar o copiar

AnTiHeRoE

hg

AnTiHeRoE

Primer Log

AnTiHeRoE

Segundo

FatsGordon

Ad-Aware

AnTiHeRoE

Ahi esta

FatsGordon

Ad-Aware