Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Yedai22 en 30 de Abril de 2005, 01:02:37 pm
-
Guenas a todos
el asunto es el siguiente: cuando entro en el ordenador me salen peticiones de conexión a internet tipo "un programa pide su conexión a dev.lsass.cc" o "dev.mezmero.org" de las cuales no tengo ni flowers.
Creo que es un troyano que intenta conectarse para pedir información pero no logro detectarlo.
He`pasado el Kaspersk y nada. El Spybot y nada.
¿Sabesi que puede ser?
Gracias
-
http://www.emsisoft.org/es/software/download/
desde esta página te puedes bajar en su versión free un antitroyanos, pásalo a ver que te dice.
Saludos
-
Pues ya lo he pasado
me ha detectado 1 mailware. Lo he eliminado y he reiniciado...
Pero siguen apareciendo las peticiones de conexión. No ha habido suerte.
Un saludo
-
Hola:
Bienvenido al foro.
escanea el pc con tus programa antiespias (ad aware, spybot) y tu antivirus pero, en modo a prueba de fallos.. A ver que tal va.
Un saludo
-
Bueno
he pasado el Ad-ware, el spybot y el a-squared e modo a prueba de fallos y na de na
Buf, esto no se va ni con agua caliente
¿Teneis alguna otra opción?
Gracias por todo
-
Bajate el HijackThis de http://www.merijn.org/files/hijackthis.zip , ponelo en una carpeta propia (por ejemplo, C:\HijackThis\), abrí el zip, extraé el ejecutable a dicha carpeta y ejecutalo. Presioná el PRIMER BOTÓN, o botón por defecto, y cuando te aparece el Bloc de notas copiá todo y pegalo en este mismo hilo usando Publicar respuesta.
-
¿Me puedes decir qu hace este programa? Es la primera vez que lo oigo.
Gracias
-
Hola, te recomiendo que te bajes un Anti-Dialer de estos:
Anti-Dialers[/i][/u]
- http://www.exa-sec.com/anti-dialers/Anti-Dialers.exe
Check Dialers[/i][/u]
- http://www.hispasec.com/software/checkdialer/descarga
Esto te lo digo para que sepas que conexiones a Internet tienes y veas cuales se te cuelan.
Algun Anti-Malwares:
Ad-Aware SE[/i][/u]
- http://www.lavasoft.de/support/download/
Manual de Empleo
- http://www.daboweb.com/phpBB2/viewtopic.php?t=7132
Tambien te recomiendo un buen Anti-Troyanos:
The Cleaner 4.1[/i][/u]
- http://www.moosoft.com/products/cleaner/download/
Actualizalo y pasalo.
Y por ultimo un buen Anti-Virus:
NOD32[/i][/u]
- http://www.nod32-es.com/download/download.htm
Manual de Empleo
- http://www.nod32-es.com/download/download.htm
KAV Personal 5[/i][/u]
- http://ftp://downloads-us2l.kaspersky-labs.com/products/release/spanish/homeuser/kavpersonal/kav5.0.227_personales.exe
Manual de Empleo
- http://www.daboweb.com/phpBB2/viewtopic.php?t=5055
Espero que todo esto te haya servido de algo y sobre todo de ayuda. Un saludo.
-
¿Me puedes decir qu hace este programa? Es la primera vez que lo oigo.
Gracias
Claro. Es un programa de detección y remoción de hijackers de páginas de inicio en general. Si es que estás con recelos de ejecutarlo te digo que te quedes tranquil@ y que veas que es de uso comun en este y otros muchos foros en todos los idiomas.
Espero tu log.
-
Ahí va el log
Logfile of HijackThis v1.99.1
Scan saved at 20:37:34, on 05/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\upnp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
C:\WINDOWS\System32\HotfixQ0306270.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\iolo\System Mechanic 5 Professional\PopupStopper.exe
C:\Archivos de programa\iolo\Common\Task Agent\Task_Agent.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\Kodak EasyShare software\bin\EasyShare.exe
C:\Archivos de programa\LeechGet 2004\LeechGet.exe
C:\Archivos de programa\Maxthon\Maxthon.exe
C:\Documents and Settings\David i Núria\Mis documentos\Programes\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [System Mechanic Popup Stopper] "C:\Archivos de programa\iolo\System Mechanic 5 Professional\PopupStopper.exe"
O4 - HKCU\..\Run: [iolo Task Agent] C:\Archivos de programa\iolo\Common\Task Agent\Task_Agent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak EasyShare software\bin\EasyShare.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Bajar web con LeechGet - file://C:\Archivos de programa\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://C:\Archivos de programa\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Descargar usando LeechGet - file://C:\Archivos de programa\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {23232323-2323-2323-2323-232323291122} - file://c:\x.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4FD1DD5-22E5-40F2-BFB2-7DF18C4EEFDF}: NameServer = 80.58.61.250 80.58.61.254
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Universal Plug and Play Device Configuration (UPnP Configuration) - Unknown owner - C:\WINDOWS\System32\upnp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
-
Bueno, veamos qué se puede limpiar.
Primero reiniciá la máquina en modo seguro (presionando repetidas veces la tecla F8 cuando está reiniciando y eligiendo modo seguro del menú que te aparece). Una vez en dicho modo abrí el HijackThis.
Apretá el SEGUNDO BOTÓN, contando desde arriba (Do a system scan only), y ponele una marca a lo siguiente (y SÓLO a lo siguiente):
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {23232323-2323-2323-2323-232323291122} - file://c:\x.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
La verdad es que no me gusta esta entrada:
O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
Haciendo búsquedas siempre sale diferente, y la explicación de qué es no me convence. No estaría de más entrar en Kaspersky ( http://www.kaspersky.com ) y revisar este archivo en particular online. Si no da nada, lo dejamos tranquilo.
Una vez que pusiste las marcas que te mencioné (todos los O16), presioná Fix checked y cerrá el HijackThis.
Reiniciá la máquina y publicá un nuevo log del HT junto con tus comentarios sobre cómo está todo.
-
Bueno, he seguido los pasos y borrado los 016
sigue apareciendo el temita
os pongo el nuevo log
Logfile of HijackThis v1.99.1
Scan saved at 22:45:31, on 06/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\David i Núria\Mis documentos\Programes\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Universal Plug and Play Device Configuration (UPnP Configuration) - Unknown owner - C:\WINDOWS\System32\upnp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Gracias
-
Bien!
Ahora se ve algo más que antes no estaba.
Volvé a entrar en modo seguro y abrí el HT.
Marcá y apretá Fix checked para lo siguiente:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
Este item...:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
Con respecto al O21, agrego esta info:
O21 - ShellServiceObjectDelayLoad
What it looks like:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
What to do:
This is an undocumented autorun method, normally used by a few Windows system components. Items listed at HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad are loaded by Explorer when Windows starts. HijackThis uses a whitelist of several very common SSODL items, so whenever an item is displayed in the log it is unknown and possibly malicious. Treat with extreme care.
En mi opinión al decir (no file) es que hemos eliminado algo que algun agente malicioso necesitaba. Dejo a tu criterio la eliminación del mismo, pero dado que el HijackThis realiza por defecto copias de backup de lo que se elimina, si yo fuera vos lo eliminaría sin más.
De cualquier modo, como con las enfermedades, podés consultar a otros "médicos"... :D
Cualquiera sea la opción que tomes, nos gustaría ver un nuevo log del HT y tus impresiones con respecto al funcionamiento de la máquina.
-
He eliminado lo que comentais menos el O21¿ Tendría que eliminarlo?
La cosa sigue igual. Como cuesta el condenao!!!!!
Os poongo el nuevo log
Logfile of HijackThis v1.99.1
Scan saved at 19:28:46, on 07/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\David i Núria\Mis documentos\Programes\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Universal Plug and Play Device Configuration (UPnP Configuration) - Unknown owner - C:\WINDOWS\System32\upnp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
-
¿Vos reconocés este archivo? ¿De qué programa o aplicación proviene?
O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
La pregunta viene porque no logro asociar el ejecutable a LG_PLUtil (de hecho no existe si uno busca LG_PLUtil en Google). El archivo PLBkMon.exe en general y por lo que puedo ver en Google está asociado a la firma Prolific, específicamente a un USB FLASH DISK UTILITY, aunque podría ser totalmente válido... :shock:
Por otra parte, eliminemos esta entrada:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
Luego de lo que hagas, volvé a publicar un HT y tu impresiones.
-
A ver
la entrada que comentas supongo que es de la memoria usb de la marca LG. Hace tiempo que la tengo y el problema actual no existia.
He eliminado la entrada O21 pero siguen aparecendo las peticiones de conexion.
Pongo el log
Logfile of HijackThis v1.99.1
Scan saved at 20:21:19, on 07/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\David i Núria\Mis documentos\Programes\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Universal Plug and Play Device Configuration (UPnP Configuration) - Unknown owner - C:\WINDOWS\System32\upnp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
-
Por favor, probá (si no lo hiciste antes) de limpiar TODOS los temporales, tanto los de Internet como los propios.
Yo no tengo XP ni ME, pero sé que hay algo más que hacer para limpiar por completo el sistema. Siempre se me olvida (mal lo mío... :cry: )
¿Alguien puede dar una mano aquí con ese tema?
Mientras tanto voy a investigar un poco más, pero necesito más info:
- ¿Quién te avisa de los intentos de conexión? ¿Cuál es el mensaje exacto? Digo, porque tal vez en el mensaje esté la clave.
- ¿Qué firewall estás usando?
-
Vale, a ver
Inicio el ordenador, se carga Windows y al finalizar la carga (todo correcto) aparece una petición de conexión típica
" un progrma solicita información y desea conectarse a dev.lsass.cc"
Le digo que CANCELAR y le marco la pestaña de no volver a preguntar durante esta sesión.
A veces me hace caso y no vuelve, otras al momento (y con la pestaña marcada) me pide lo mismo pero pa otra dirección "dev.lsass.org" o "0x41.cybercrime.com". Le vuelvo a dar a cancelar y listos, ya no aparece más.
Utilizo lo siguiente en materia de Anti virus,etc.
- Kaspersky Antivirus
-Zone Alarm Pro
-Ad Aware SE Personal
-Spybot Search and destroy
-e-Squared
Ya está
Gracias
-
Ok, ahí se ve más claro.
Por favor andá a Inicio, luego Ejecutar y escribí MSConfig y luego Enter.
Esto debería traer la lista de procesos que se ejecutan al inicio. Tratá de identificar al lsass.exe y marcalo (o desmarcalo) para que NO se ejecute al inicio.
Mi consejo es que entres a Kaspersky y revises el archivo C:\WINDOWS\system32\lsass.exe con el esaneo online que te permite analizar por archivo.
Lo que se ve por ahí es que es un proceso válido de Windows pero al cual infecta el Sasser. Creo que mis colegas aquí tienen más experiencia en el tema del Sasser que yo, en todo caso seguí mis instrucciones, que luego alguien seguirá con el tema (mis instrucciones no van a dañar nada).
-
Vale, me imaginaba que era un exploit del lsass y que algún agente externo me lo había modificado.
He pasado el Kaspersky online pero no me ha detectado nada.
¿Puedes decirme como identifico al lsass.exe en el MSConfig? No lo he visto como tal y debe ser un proceso, pero no me marca la ruta para saber cual es.
Un saludo.
-
Hummm.... ¿No te aparece como proceso?
Había una dirección web de Microsoft para bajar una copia del lsass.exe, justamente por ese (y otros) problemas, pero ya no existe...
Supongo que tiene que haber una cura...
Algo que podemos adelantar es lo siguiente: hacé el escaneo con el HijackThis y copiá la entrada C:\WINDOWS\system32\lsass.exe y pegala en un Word. Cambiale el tipo de letra a Serif (o al revés, no recuerdo), de modo tal de poner en evidencia si se trata de una L o de una i mayúscula. Para ser el original tiene que tener una L. Eso ya nos da una idea, o restringe las acciones.
Si es el Lsass, lo que podemos hacer es tratar de buscar el original y pisarlo. Hay un enlace en inglés que hace referencia a este tema en extenso: http://castlecops.com/postt13642.html
De cualquier modo voy a seguir buscando. Si tenés alguna novedad avisame.
-
Creo que pueden ser gusanos del yahoo messenger. Si lo tienes instalado, desinstalalo y prueba algún otro compatible como el Gaim (http://gaim.sourceforge.net/downloads.php) a ver que tal.
-
Si no lo veo no lo creo
Resulta que al conectarme a Internet el kaspersky me ha avisado de un Backdoor y lo he borrado.
Al iniciar el ordenador... ya no me salen las peticiones!!!!
No entiendo nada
Bueno. De momento esto rula. Gracias a todos por vuetra paciencia, de verdad.
Un abrazo.
-
Muy bien! :D
Por favor avisanos si todo sigue bien.