« anterior próximo »
Páginas: 1 [2] 3 4   Ir Abajo

Autor Tema: Problemas con WebDialer  (Leído 16136 veces)

Desconectado talgo

  • Member
  • ***
  • Mensajes: 124
Problemas con WebDialer
« Respuesta #10 en: 08 de Junio de 2004, 05:36:29 pm »
Esto es lo que pone el analisis de hijack:

Logfile of HijackThis v1.97.7
Scan saved at 17:35:19, on 08/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\docume~1\toni\datosd~1\service.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\Archivos de programa\Logitech\ImageStudio\LowLight.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Toni\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {21831F49-AD0B-4853-B645-A59CFB5B7EE3} - C:\WINDOWS\System32\opm.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [SizeWma] C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [System Update4] c:\docume~1\toni\datosd~1\service.exe
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: http://*.nuker.com
O15 - Trusted Zone: http://*.spywarenuker.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100



Saludos
En línea
http://talgopesca.webcindario.com
Casi todos los enlaces relacionados con el mundo de la pesca y mas. (En constante renovacion)

http://www.Elanzuelo.es
El mejor foro de pesca Mar-Costa y Lance Pesado de la actualidad

Desconectado talgo

  • Member
  • ***
  • Mensajes: 124
Problemas con WebDialer
« Respuesta #11 en: 08 de Junio de 2004, 06:02:47 pm »
Ya no es solo el WebDialer, que parece que no sale, ya es que de vez en cuando sale un acceso directo en el escritorio que es un icono cuadrado con una X y con el titulo de Hot Line Show.

Me salen varias veces al dia mensajes que dicen que Windows a detectado que tengo spywarw maligno en el ordenador y me da la opcion de si quiero descargarlo, llo cierro directamente con la cruz.

Otras veces tambien sale que esta instalando el Office 2000 y sigue la instalacion hasta que pide el disco. momento en que borro.

En otras ocasiones cuando cambio de pagina o estoy navegando se lanza y abre una pagina donde dice que he de descargar un contolador o algo asi.

Las direcciones que tengo bloqueadas u que insisten en entrar en el sistema son en principio dos:
la 'http://66.230.167.185/e.html
y la 'http://www.casinopalazzo.com/index.php?sourced=100806
y esta misma direccion con los ultimos numeros cambiados.

Si quereis imagenes de las ventanas y poput tengo capturas de pantalla, ya direis si os las pongo.

Decir que ahora mismo tengo instalado:
-. El Norton 2002 actualizado (me caduca la subscripcion el 26 de Junio de 2004)
-. El Tren Micro Internet Security
-. El Ad-aware 6.0  version Built 6.181 con archivo de referencia  01R315
-. El Trojan Remove 6.2.3
-. El HijackThis v1.97.7

Con todo esta no soy capaz de detener las famosas ventanas ni el redireccionamiento de las paginas.

El Norton, una de las veces detecto y elimino el VBS.StarPage.C que me detectaba y no lo odoa encontrar.
Asi mismo ha estado detectando al reiniciar el ordenador un scrip malicioso pero que lo pongo a buscar en el ordenador y no lo encuentra y cuando paso el antivirus no sale nada.

Se que os estoy molestando mucho pero es que estoy casi desesperado, si estare harto y desanimado que la opcion del formateo ronda por mi cabeza aun a sabiendas que perdere informacion y que me costara muucho trabajo recuperarlo.

Gracias anticipadas por vuestra dedicacion y vuestro tiempo





Saludos
En línea
http://talgopesca.webcindario.com
Casi todos los enlaces relacionados con el mundo de la pesca y mas. (En constante renovacion)

http://www.Elanzuelo.es
El mejor foro de pesca Mar-Costa y Lance Pesado de la actualidad

Desconectado fedelf

  • Iniciado
  • *****
  • Mensajes: 2060
  • Avatar By Dabo
    • Mi Flickr
Problemas con WebDialer
« Respuesta #12 en: 08 de Junio de 2004, 06:53:28 pm »
El que te aparezcan ventanas emergentes como si fueran del propio windows, tiene toda la pinta de ser el Messenger Service. Cutipasteo aqui lo que Miyu ya ha respondido en algun que otro post al respecto, sin su permiso. ;) :lol:

Vete a Inicio ---> Configuración ---> Panel de control ---> Herramientas Administrativas ---> Servicios:Aqui busca Mensajero, clika con el botón derecho sobre él, vete a Propiedades, y en General elige Detener o Deshabilitar.
 

Esto cosecha propia. ;)

Inicio -> Ejecutar -> services.msc -> aceptar ->Aqui busca Mensajero, clika con el botón derecho sobre él, vete a Propiedades, y en General elige Detener o Deshabilitar.

Ambas soluciones son la misma pero por distintos caminos.

Otra cosilla mas, me ha llamado la atencion esto:
C:\docume~1\toni\datosd~1\service.exe , dentro de documents and settings, y dentro de datos de programa, un ejecutable corriendo, me mosquea mucho el tema, a ver si alguien confirma o rebate la sospecha.
En línea
Canon EOS 40D
18-55 EF-S / 70-200 F4 L IS USM / 50mm 1.4 pero aumentará   :smoke:

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Problemas con WebDialer
« Respuesta #13 en: 08 de Junio de 2004, 08:03:29 pm »
Pero fijate que no a todo el mundo le sirve lo que propone Miyu.

Si es este tu caso, por favor bajate el Shoot The Messenger de http://grc.com/stm/shootthemessenger.htm . Asimismo bajate el DCOMbobulator de http://grc.com/dcom/ y el Unplug 'n Pray de http://grc.com/unpnp/unpnp.htm . Correlos los tres de modo tal que desactiven los respectivos servicios.

Por otra parte ni pienses en el formateo, que no es necesario. ¿Tenés un firewall? ¿Cuál?

Vamos ahora al log del HijackThis. Por ahora sólo leé lo que pongo, no hagas nada hasta que te lo pida.

Lo primero que salta a la vista es este archivo que está corriendo:

C:\docume~1\toni\datosd~1\service.exe

Este service.exe es una de las porquerías que tenés en la máquina. Según lo que dice aquí http://www.liutilities.com/products/wintaskspro/processlibrary/service/ fue agregado por el virus Worm.Win32.Raleka.

Entonces vamos a empezar por el principio.

Andá a TODOS los siguientes antivirus online y realizá un escaneo. Borrá todo lo que encuentren:

http://security.symantec.com/

http://housecall.trendmicro.com/

http://www.pandasoftware.com/activescan/

http://www.ravantivirus.com/scan/

Luego de hacer eso reiniciá la máquina y publicá un nuevo log de HijackThis.

Tené en cuenta, para tu información, que tener el HijackThis no te salva de ningún problema. No es un antivirus o un firewall. Es por otra parte una poderosísima herramienta que mal utilizada puede provocar daños irreparables a la computadora, así que hay que manejarla con precaución y siempre de la mano de un experto, para evitar problemas.
En línea

Desconectado talgo

  • Member
  • ***
  • Mensajes: 124
Problemas con WebDialer
« Respuesta #14 en: 08 de Junio de 2004, 09:30:46 pm »
Se me olvido comentaros que tambien tengo el Spybot -Search&Destroy y el XPAntiSpy.

fedelf cuando he mirado lo que comentabas del Mensajero ya estaba desabilitado.

Entiendo que al estar desconectado parte de lo que me comentas:
Citar
Si es este tu caso, por favor bajate el Shoot The Messenger de http://grc.com/stm/shootthemessenger.htm . Asimismo bajate el DCOMbobulator de http://grc.com/dcom/ y el Unplug 'n Pray de http://grc.com/unpnp/unpnp.htm . Correlos los tres de modo tal que desactiven los respectivos servicios.
no tengo que hacerlo.

Por lo que paso al siguiente punto que seria pasar todos los antivirus en linea.

Respecto al firewall el Trend Micro ya lleva uno incorpaorado (decir que este antivirus lo he puesto a raiz de la infeccion, antes no tenia ninguno), me fiaba del router 3COM OFICE 512.

Siguen saliendo paginas, mienmtras escribo esto se me cambia ella sola a  hxxp://www . popupcommander . com/cb/?hop=x000000x


En fin vamos a probar lo de los antivirus y ya os dire algo.




Saludos

:!: URL editada por FatsGordon :!:
En línea
http://talgopesca.webcindario.com
Casi todos los enlaces relacionados con el mundo de la pesca y mas. (En constante renovacion)

http://www.Elanzuelo.es
El mejor foro de pesca Mar-Costa y Lance Pesado de la actualidad

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Problemas con WebDialer
« Respuesta #15 en: 08 de Junio de 2004, 10:14:51 pm »
Cita de: talgo
Entiendo que al estar desconectado parte de lo que me comentas:
Citar
Si es este tu caso, por favor bajate el Shoot The Messenger de http://grc.com/stm/shootthemessenger.htm. Asimismo bajate el DCOMbobulator de http://grc.com/dcom/ y el Unplug 'n Pray de http://grc.com/unpnp/unpnp.htm. Correlos los tres de modo tal que desactiven los respectivos servicios.
no tengo que hacerlo.

Primero, trata de no poner URLs "vivos", porque cualquier tonto podría entrar y contagiarse de algo. Ya lo corregí.

Segundo, no importa si ya tenés desactivados o no los servicios. Bajalos igual porque son programas chiquititos y te sacan de cualquier duda.

Esperamos la info de los virus y el nuevo log.
En línea

Desconectado talgo

  • Member
  • ***
  • Mensajes: 124
Problemas con WebDialer
« Respuesta #16 en: 09 de Junio de 2004, 02:24:49 am »
Hola, he hecho lo queme decias y de los tres primeros enlaces el primero y el tercero no se abren, me dicen pagina no encontrada.

De los antivirus el tTrend Micro cuando le doy a escanear me cierra todas la ventans de internet, lo he probado varias veces.

Puede ser porque lo tengo instalado???

el norton me haborrado algo y no me he acrdoado de copiarlo pero del panda si:

Incident                               Status                  Location                                                                                                                                                                                                                                                        

Virus:Trj/Bespy.A                 Disinfected          Operating system                                                                                                                                                                                                                                                
Virus:Trj/Downloader.GK     No disinfected     C:\Documents and Settings\Toni\Configuración local\Temp\THI278.tmp\twaintec.cab[polall1t.exe]                                                                                                                                                                  
Virus:Trj/Downloader.EC      Disinfected          C:\Documents and Settings\Toni\Escritorio\Norton LiveUpdate Subscription enhancer_Until.29.12.2029.zip[start.exe]                                                                                                                                              
Virus:Trj/Downloader.EC      Disinfected          C:\Documents and Settings\Toni\Escritorio\start.exe                                                                                                                                                                                                            
Virus:Trj/Runet.A                Disinfected            C:\WINDOWS\homepage.htm                                                                                                                                                                                                                                        
Virus:Trj/Runet.A                  Disinfected          C:\WINDOWS\odbs.log                                                                                                                                                                                                                                            



Y el del RAV Antivirus:
Scan started at 09/06/2004 0:22:10
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\mailtool.dll - Win32/NewMalware.gen! -> Suspicious
C:\Documents and Settings\Toni\Configuración local\Temp\alchem.cab->alchem.exe - TrojanDownloader:Win32/Alchemic.A -> Infected
C:\Documents and Settings\Toni\Configuración local\Temp\msx.exe->(UPXW) - Tool:PornDialer.gen! -> Infected
C:\Documents and Settings\Toni\Configuración local\Temp\THI278.tmp\twaintec.cab->twaintec.dll - Trojan:Win32/Spy.BiSpy.C -> Infected
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(UPXW)->(RARSfx)->s\Trivial\ircaptrivial.mrc - IRC/Generic* -> Suspicious
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(UPXW)->(RARSfx)->s\sockets.mrc - IRC/Generic* -> Suspicious
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(RARSfx)->s\Trivial\ircaptrivial.mrc - IRC/Generic* -> Suspicious
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(RARSfx)->s\sockets.mrc - IRC/Generic* -> Suspicious
C:\WINDOWS\system32\d2kndr.exe - Tool:PornDialer.HQ -> Infected
C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\U81JN2PH\m[1].bin - Trojan:Win32/StartPage.GV.dam#2 -> Infected

Scanned
============================
   Objects: 54510
   Directories: 4522
   Archives: 1479
   Size(Kb): 834083
   Infected files: 5

Found
============================
   Viruses found: 5
   Suspicious files: 5
   Disinfected files: 0
   Mail files: 121

Por cierto de este ultimo no encuentro la opcion de borrar los archivos y no los puedo borrar.

Ahora reiniciare y pasare el Hijack y os pondre el resultado.


Saludos
En línea
http://talgopesca.webcindario.com
Casi todos los enlaces relacionados con el mundo de la pesca y mas. (En constante renovacion)

http://www.Elanzuelo.es
El mejor foro de pesca Mar-Costa y Lance Pesado de la actualidad

Desconectado talgo

  • Member
  • ***
  • Mensajes: 124
Problemas con WebDialer
« Respuesta #17 en: 09 de Junio de 2004, 02:55:30 am »
Logfile of HijackThis v1.97.7
Scan saved at 2:54:32, on 09/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\Documents and Settings\Toni\Escritorio\HijackThis.exe
C:\Archivos de programa\Logitech\ImageStudio\LowLight.exe
C:\Archivos de programa\Symantec\LiveUpdate\AUpdate.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {21831F49-AD0B-4853-B645-A59CFB5B7EE3} - C:\WINDOWS\System32\opm.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [SizeWma] C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [System Update4] c:\docume~1\toni\datosd~1\service.exe
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: http://*.nuker.com
O15 - Trusted Zone: http://*.spywarenuker.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100


Esto es lo que da una vez reiniciado.



Saludos
En línea
http://talgopesca.webcindario.com
Casi todos los enlaces relacionados con el mundo de la pesca y mas. (En constante renovacion)

http://www.Elanzuelo.es
El mejor foro de pesca Mar-Costa y Lance Pesado de la actualidad

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Problemas con WebDialer
« Respuesta #18 en: 09 de Junio de 2004, 07:48:10 pm »
Cita de: talgo
Hola, he hecho lo queme decias y de los tres primeros enlaces el primero y el tercero no se abren, me dicen pagina no encontrada.


Porque tienen un punto al final (equivocado). Ya corregí los enlaces, probá de nuevo.
En línea

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Problemas con WebDialer
« Respuesta #19 en: 09 de Junio de 2004, 08:19:19 pm »
Ahora seguí mis pasos. Es ALTAMENTE probable que parte de lo que hagamos ahora vuelva a aparecer. NO IMPORTA. Lo que quiero es asegurarme de eliminar algunas cosas antes de continuar.

Primero poné el HijackThis dentro de una carpeta propia. NO LO DEJES EN EL ESCRITORIO!!!

Luego desinstalá el MessengerPlus3.

Luego:

Copiá los siguientes archivos a una carpeta en tu escritorio, llamada Basura (para ver todos los archivos seguí las instrucciones en http://www.daboweb.com/phpBB2/viewtopic.php?p=52716#52716 ):

C:\WINDOWS\System32\opm.dll
C:\WINDOWS\System32\msmk.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe

Después:

Cerrá TODOS los programas. Esto INCLUYE las ventanas del navegador. Abrí el HijackThis y poné una marca en SOLAMENTE los siguientes ítemes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {21831F49-AD0B-4853-B645-A59CFB5B7EE3} - C:\WINDOWS\System32\opm.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SizeWma] C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [System Update4] c:\docume~1\toni\datosd~1\service.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O15 - Trusted Zone: http://*.nuker.com
O15 - Trusted Zone: http://*.spywarenuker.com

Luego apretá Fix checked, cerrá el HijackThis y reiniciá la máquina en modo a prueba de fallos (apretando F8 cuando reinicia).

Una vez en modo A prueba de fallos buscá los siguientes archivos y eliminalos:

C:\WINDOWS\System32\opm.dll
C:\WINDOWS\System32\msmk.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe

También eliminá la carpeta CLOSEB~1\. NO BORRES LA CARPETA Basura NI SU CONTENIDO.

Luego reiniciá normalmente y publicá un nuevo log de HT. La máquina todavía no está limpia, seguís teniendo el CWS, pero en el siguiente paso lo vamos a desenmascarar (eso espero...)
En línea
Páginas: 1 [2] 3 4   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.