SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
Problemas con WebDialer
talgo:
Esto es lo que pone el analisis de hijack:
Logfile of HijackThis v1.97.7
Scan saved at 17:35:19, on 08/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\docume~1\toni\datosd~1\service.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\Archivos de programa\Logitech\ImageStudio\LowLight.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Toni\Escritorio\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {21831F49-AD0B-4853-B645-A59CFB5B7EE3} - C:\WINDOWS\System32\opm.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [SizeWma] C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [System Update4] c:\docume~1\toni\datosd~1\service.exe
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: http://*.nuker.com
O15 - Trusted Zone: http://*.spywarenuker.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100
Saludos
talgo:
Ya no es solo el WebDialer, que parece que no sale, ya es que de vez en cuando sale un acceso directo en el escritorio que es un icono cuadrado con una X y con el titulo de Hot Line Show.
Me salen varias veces al dia mensajes que dicen que Windows a detectado que tengo spywarw maligno en el ordenador y me da la opcion de si quiero descargarlo, llo cierro directamente con la cruz.
Otras veces tambien sale que esta instalando el Office 2000 y sigue la instalacion hasta que pide el disco. momento en que borro.
En otras ocasiones cuando cambio de pagina o estoy navegando se lanza y abre una pagina donde dice que he de descargar un contolador o algo asi.
Las direcciones que tengo bloqueadas u que insisten en entrar en el sistema son en principio dos:
la 'http://66.230.167.185/e.html
y la 'http://www.casinopalazzo.com/index.php?sourced=100806
y esta misma direccion con los ultimos numeros cambiados.
Si quereis imagenes de las ventanas y poput tengo capturas de pantalla, ya direis si os las pongo.
Decir que ahora mismo tengo instalado:
-. El Norton 2002 actualizado (me caduca la subscripcion el 26 de Junio de 2004)
-. El Tren Micro Internet Security
-. El Ad-aware 6.0 version Built 6.181 con archivo de referencia 01R315
-. El Trojan Remove 6.2.3
-. El HijackThis v1.97.7
Con todo esta no soy capaz de detener las famosas ventanas ni el redireccionamiento de las paginas.
El Norton, una de las veces detecto y elimino el VBS.StarPage.C que me detectaba y no lo odoa encontrar.
Asi mismo ha estado detectando al reiniciar el ordenador un scrip malicioso pero que lo pongo a buscar en el ordenador y no lo encuentra y cuando paso el antivirus no sale nada.
Se que os estoy molestando mucho pero es que estoy casi desesperado, si estare harto y desanimado que la opcion del formateo ronda por mi cabeza aun a sabiendas que perdere informacion y que me costara muucho trabajo recuperarlo.
Gracias anticipadas por vuestra dedicacion y vuestro tiempo
Saludos
fedelf:
El que te aparezcan ventanas emergentes como si fueran del propio windows, tiene toda la pinta de ser el Messenger Service. Cutipasteo aqui lo que Miyu ya ha respondido en algun que otro post al respecto, sin su permiso. ;) :lol:
Vete a Inicio ---> Configuración ---> Panel de control ---> Herramientas Administrativas ---> Servicios:Aqui busca Mensajero, clika con el botón derecho sobre él, vete a Propiedades, y en General elige Detener o Deshabilitar.
Esto cosecha propia. ;)
Inicio -> Ejecutar -> services.msc -> aceptar ->Aqui busca Mensajero, clika con el botón derecho sobre él, vete a Propiedades, y en General elige Detener o Deshabilitar.
Ambas soluciones son la misma pero por distintos caminos.
Otra cosilla mas, me ha llamado la atencion esto:
C:\docume~1\toni\datosd~1\service.exe , dentro de documents and settings, y dentro de datos de programa, un ejecutable corriendo, me mosquea mucho el tema, a ver si alguien confirma o rebate la sospecha.
FatsGordon:
Pero fijate que no a todo el mundo le sirve lo que propone Miyu.
Si es este tu caso, por favor bajate el Shoot The Messenger de http://grc.com/stm/shootthemessenger.htm . Asimismo bajate el DCOMbobulator de http://grc.com/dcom/ y el Unplug 'n Pray de http://grc.com/unpnp/unpnp.htm . Correlos los tres de modo tal que desactiven los respectivos servicios.
Por otra parte ni pienses en el formateo, que no es necesario. ¿Tenés un firewall? ¿Cuál?
Vamos ahora al log del HijackThis. Por ahora sólo leé lo que pongo, no hagas nada hasta que te lo pida.
Lo primero que salta a la vista es este archivo que está corriendo:
C:\docume~1\toni\datosd~1\service.exe
Este service.exe es una de las porquerías que tenés en la máquina. Según lo que dice aquí http://www.liutilities.com/products/wintaskspro/processlibrary/service/ fue agregado por el virus Worm.Win32.Raleka.
Entonces vamos a empezar por el principio.
Andá a TODOS los siguientes antivirus online y realizá un escaneo. Borrá todo lo que encuentren:
http://security.symantec.com/
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
Luego de hacer eso reiniciá la máquina y publicá un nuevo log de HijackThis.
Tené en cuenta, para tu información, que tener el HijackThis no te salva de ningún problema. No es un antivirus o un firewall. Es por otra parte una poderosísima herramienta que mal utilizada puede provocar daños irreparables a la computadora, así que hay que manejarla con precaución y siempre de la mano de un experto, para evitar problemas.
talgo:
Se me olvido comentaros que tambien tengo el Spybot -Search&Destroy y el XPAntiSpy.
fedelf cuando he mirado lo que comentabas del Mensajero ya estaba desabilitado.
Entiendo que al estar desconectado parte de lo que me comentas:
--- Citar ---Si es este tu caso, por favor bajate el Shoot The Messenger de http://grc.com/stm/shootthemessenger.htm . Asimismo bajate el DCOMbobulator de http://grc.com/dcom/ y el Unplug 'n Pray de http://grc.com/unpnp/unpnp.htm . Correlos los tres de modo tal que desactiven los respectivos servicios.
--- Fin de la cita ---
no tengo que hacerlo.
Por lo que paso al siguiente punto que seria pasar todos los antivirus en linea.
Respecto al firewall el Trend Micro ya lleva uno incorpaorado (decir que este antivirus lo he puesto a raiz de la infeccion, antes no tenia ninguno), me fiaba del router 3COM OFICE 512.
Siguen saliendo paginas, mienmtras escribo esto se me cambia ella sola a hxxp://www . popupcommander . com/cb/?hop=x000000x
En fin vamos a probar lo de los antivirus y ya os dire algo.
Saludos
:!: URL editada por FatsGordon :!:
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa