Algunas dudas.

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware

Algunas dudas.

(1/3) > >>

Midomar3D:
Ayer tarde me encontre con las consecuencias que provocan los siguientes archivos cnbabe.dll, cnmib.dll, unins.exe y BabeIE.exe y me llevarón por la calle la amargura hasta que el ad-ware me los identifico y elimino. Despues de esta experiencia me han surgido algunas dudas y quisiera que me las aclareis si es posible.

- ¿Como y por donde se han colado estos dichosos archivos en mi pc? Tengo el Norton Personal Firewall activado y no me lo detecto.

- ¿ Porque si estuve navegando desde las 15:30 hasta las 17:00 en este foro sin ningún problema, a las 19:00 cuando inicie de nuevo el ordenador me encuentro con los dichosos efectos de la pagina en blanco? ¿Pueden estar sin activarse desde el sabado?

- ¿ Este tipo de programas afecta a la transferencia por ftp? Despues de limpiar todo, no consegui subir unos archivos por ftp a mi sitio web y todo me se notaba más relentizado.

Saludos. :wink:

Erebus:

--- Cita de: Midomar3D ---Ayer tarde me encontre con las consecuencias que provocan los siguientes archivos cnbabe.dll, cnmib.dll, unins.exe y BabeIE.exe y me llevarón por la calle la amargura hasta que el ad-ware me los identifico y elimino. Despues de esta experiencia me han surgido algunas dudas y quisiera que me las aclareis si es posible.
--- Fin de la cita ---

Los archivos en cuestión son parte del programa BabeIE, que es un spyware conocido. Según lo que he leido, se instala como una barra en el IE.

--- Cita de: Midomar3D ---- ¿Como y por donde se han colado estos dichosos archivos en mi pc? Tengo el Norton Personal Firewall activado y no me lo detecto.
--- Fin de la cita ---

No entiendo que tiene que ver un firewall con esto.

Usualmente, programas como este son instalados como BHO (Browser Helper Objects) del Internet Explorer cuando un control ActiveX o complemento solicita instalación. (La ventanita donde te pregunta si quieres instalar tal o cual programa).

Al no ser aplicaciones en todo el sentido de la palabra sino extensiones del navegador es muy dificil que el firewall detecte la salida o entrada de datos a este programa (lo que es su función), ya que usa para ello una aplicación permitida que es el IE.

Esos son los riesgos de continuar usando el Internet Explorer.

--- Cita de: Midomar3D ---- ¿ Porque si estuve navegando desde las 15:30 hasta las 17:00 en este foro sin ningún problema, a las 19:00 cuando inicie de nuevo el ordenador me encuentro con los dichosos efectos de la pagina en blanco? ¿Pueden estar sin activarse desde el sabado?
--- Fin de la cita ---

Porque tu navegador tenía que reiniciarse para que vieras los efectos.

--- Cita de: Midomar3D ---- ¿ Este tipo de programas afecta a la transferencia por ftp? Despues de limpiar todo, no consegui subir unos archivos por ftp a mi sitio web y todo me se notaba más relentizado.
--- Fin de la cita ---

No lo creo. Pero si estas usando el IE para subir archivos a tu sitio web y el IE se vio afectado por este complemento malicioso, es muy probable que aun queden efectos secundarios... Hace mucho tiempo que no uso el IE, asi que no te puedo ayudar a restaurarlo.

Saludos
Erebus

PD. Usa un navegador distinto de IE, te ahorraras disgustos y sustos... has eso por tu paz mental.

FatsGordon:
Erebus tiene razón, Midomar.

Por favor, bajate el HijackThis de http://www.spywareinfo.com/~merijn/files/HijackThis.exe , ponelo en una carpeta propia, como por ejemplo C:\HijackThis, y abrilo. Apretá Scan, luego Save log, luego Aceptar y por último, en el Bloc de notas que te aparece seleccioná todo, copialo y pegalo en este mismo hilo. Vamos a eliminar el BHO.

Muchas gracias!

Midomar3D:
Gracias por las aclaraciones, pues me han sido de gran utilidad para saber como he sido afectado. El tema es que yo no suelo usar el ie sino el mozilla firefox, pero este sabado pasado estuvo uno de mis sobrinos en mi casa y siempre que viene se conecta con el ie en las paginas de juegos online, asi que tendré que darle un toque de atención.

De nuevo, muchas gracias. :wink:

Midomar3D:
Log del HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 22:48:20, on 15/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Alcor Micro Corp\Sunkist\Sunkist.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\ARCHIV~1\INCRED~1\bin\IMAPP.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Archivos de programa\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Sunkist] C:\Archivos de programa\Alcor Micro Corp\Sunkist\Sunkist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\ARCHIV~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: TurboDownload (HKLM)
O9 - Extra button: Whois (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38141.7688310185
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

Navegación

[0] Índice de Mensajes

[#] Página Siguiente

Ir a la versión completa