Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: puntual en 23 de Noviembre de 2004, 06:41:26 pm
-
Hola a todos ! ya tenia un buen rato de no saludarlos, de visitarlos si, lo hago casi a diario, bueno tengo un problema,
computadora con win xp pro, tengo antivirus avast, actualizado, ad-aware se actualizado, spybot & search version beta 132b, actualizado, spywareblaster actualizado, y spywareguard actualizado.
A pesar de todo, el spywareguard me detecta que algo esta tratando de modificar mi pagina de inicio, pero es de forma recurrente, siempre le damos que restaure el valor anterior, pero no deja trabajar ya que aparece una vez por minuto, ya corri ad-aware y spybot en modo a prueba de fallos, y no detectan nada.
Alguna sugerencia?
Gracias se los agradezco por adelantado.
Este lugar es muy importante para todos nosotros, felicitaciones a todos.
Saludos.
-
Hola!
Por favor bajate el HijackThis de http://www.zerosrealm.com/downloads/hjt.zip, creá una carpeta nueva (por ejemplo llamada HijackThis) y ponelo adentro. Abrilo ahí y ejecutalo. Presioná Scan, luego que termine presioná Save log, seguí los pasos y copiá el contenido del log aquí mismo, en este mismo hilo. Vamos a ver qué es lo que puede estar molestando...
CONSEJO: Para minimizar el tamaño del log te aconsejo que reinicies la máquina y ejecutes el HijackThis apenas terminó de levantar, así no habrá aplicaciones extra que controlar.
Esperamos tu respuesta. :D
-
Otia, Fats, encantado de verte por aqui de nuevo. :D
Un abrazo. ;)
-
Gracias por tu atencion FatsGordon, el log te lo enviare mas tarde, ya que la computadora infectada es de un cliente.
Gracias nuevamente
Saludos
-
Fats, holaaaaaaa.
Que alegria verte de nuevo por aqui.
Un abrazo
-
Una disculpa por la tardanza, pero aqui esta el log.
Gracias por tu atencion.
Logfile of HijackThis v1.97.7
Scan saved at 12:56:57 p.m., on 27/11/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\srv32.exe
C:\WINDOWS\SM1BG.EXE
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\ScanToPc.exe
C:\Palm\hotsync.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
C:\Archivos de programa\JavaSoft\JRE\1.3.1_04\bin\javaw.exe
C:\Archivos de programa\SpywareGuard\sgmain.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\seguridad\hijack\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.suxstefekpxizzmm.com/kREt8/ILc329LKM175AJjxX62DgY4vaqSGyD2Qk8UdGUtp/gmC5TfYn9/064fqc6.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sjgsiavpuke.org/kREt8/ILc3337wqugt1YsWM79VZOGqWwEDncf1YrW38.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B79B20B2-7502-3E24-9120-2A883F85D55B} - C:\DOCUME~1\pc\DATOSD~1\COALEG~1\wmaheart.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\en-us\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [websx] C:\Archivos de programa\websx\int114502.exe -auto
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Limeshop0] "C:\Archivos de programa\Lime_Shop\Limeshop0.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [FREE INSIDE MEOW THAT] C:\Documents and Settings\All Users\Datos de programa\ACID REMOTE FREE INSIDE\2 Ref.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [lessitch] C:\DOCUME~1\pc\DATOSD~1\MPEG4~1\online bind base.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Escanear-a-PC.lnk = C:\WINDOWS\ScanToPc.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: LimeWire 3.6.15.lnk = C:\Archivos de programa\LimeWire\3.6.15\LimeWire.exe
O8 - Extra context menu item: LimeShop Preferences - file://C:\Archivos de programa\Lime_Shop\Sy700\Tp700\scri700a.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: NuevoMensaje (HKCU)
O9 - Extra 'Tools' menuitem: NuevoMensaje (HKCU)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Smart Viewer 7) - https://see.sbi.com.mx/viewer/activeXViewer/activexviewer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab
-
Veo q tienes el Messenger Plus!, ten cuidado q lleva spyware.
-
Reinicia en Modo a prueba de fallos, ejecuta el HijackThis y marca para eliminar/reparar las entradas:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.suxstefekpxizzmm.com/kREt8/ILc329LKM175AJjxX62DgY4vaqSGyD2Qk8UdGUtp/gmC5TfYn9/064fqc6.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sjgsiavpuke.org/kREt8/ILc3337wqugt1YsWM79VZOGqWwEDncf1YrW38.asp
O2 - BHO: (no name) - {B79B20B2-7502-3E24-9120-2A883F85D55B} - C:\DOCUME~1\pc\DATOSD~1\COALEG~1\wmaheart.exe
O4 - HKLM\..\Run: [websx] C:\Archivos de programa\websx\int114502.exe -auto
O4 - HKLM\..\Run: [Limeshop0] "C:\Archivos de programa\Lime_Shop\Limeshop0.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [FREE INSIDE MEOW THAT] C:\Documents and Settings\All Users\Datos de programa\ACID REMOTE FREE INSIDE\2 Ref.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [lessitch] C:\DOCUME~1\pc\DATOSD~1\MPEG4~1\online bind base.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: LimeWire 3.6.15.lnk = C:\Archivos de programa\LimeWire\3.6.15\LimeWire.exe
O8 - Extra context menu item: LimeShop Preferences - file://C:\Archivos de programa\Lime_Shop\Sy700\Tp700\scri700a.htm
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab
Reinicia normal y prueba la máquina...
-
Además de lo que marcó Mr_X, no me gusta lo siguiente:
C:\WINDOWS\System32\srv32.exe
Por favor controlá con algún antivirus online, como el de Symantec:
http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym
o el de Panda:
www.pandasoftware.es/activescan/
O en Kaspersky ( http://www.kaspersky.com/scanforvirus ), ingresando C:\WINDOWS\System32\srv32.exe en la casilla que dice Online Virus Scanner y apretando Submit.
Una vez hecho todo esto, reiniciá la máquina y volvé a publicar un log del HT.
-
El msn plus tiene spyware? yo lo tng pero sin instalar....no es recomendable instalarlo? te puede traer problemas?
Gracias.
-
Yo no lo tengo instalado, pero he visto varios usuarios con problemas y que tenían el MSN Plus. Desde luego, cada uno es libre de instalar lo que le plazca, por lo cual no me es posible hacer una recomendación al respecto... ;)
-
Edi, fedelf ;)
Gracias por la bienvenida!!!! :D
-
Hola a todos, mil disculpas por la tardanza, elimine lo que me sugeriste,
entre a un ativirus on line para revisar el srv32.exe el cual me dijo que estaba limpio, pero al reinicar la maquina me vuelve a aparecer la ventana de que quieren modificar la pagina de inicio.
Anexo el nuevo log, el primer R1 si lo elimine , pero vuelve a aparecer.
Gracias por tu atencion.
Saludos
Logfile of HijackThis v1.97.7
Scan saved at 01:06:47 p.m., on 04/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\seguridad\hijack\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.upzpjdddqioddyhcty.com/kREt8/ILc329LKM175AJjxX62DgY4vaqSGyD2Qk8UdHMxl4TRNv5_Yn9/064fqc6.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prodigy.com.mx/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\en-us\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Escanear-a-PC.lnk = C:\WINDOWS\ScanToPc.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: NuevoMensaje (HKCU)
O9 - Extra 'Tools' menuitem: NuevoMensaje (HKCU)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Smart Viewer 7) - https://see.sbi.com.mx/viewer/activeXViewer/activexviewer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
-
Hola Puntual, disculpa la intromisión, pero yo tengo una manera personal de limpiar la pagina de inicio ve si te sirve
Buscar los archivos *.dll
ordenarlos por fecha
eliminar los de hoy
eliminar los de la fecha en la que se produjo el cambio, tu primr post es del 27 de nov asi que debe ser poco antes
los archivos que no se puedan eliminar debes cambiarle de nombre
En los registros
Buscar el nombre de la pagina de persistente y eliminarla del registro
Usa regcleaner y limpia los registros no validos
Msconfig
busca en la pestaña inicio la pagina prsistente y quita el check, acepta y reinicia
Cambia tu pagina de inicio por la que deseas y prueba que haya funcionado
Un saludo
-
Puntual, sería bueno contar con un log del HijackThis versión 1.98.2, que es la última. Por favor fijate en http://www.spywareinfo.com/~merijn/downloads.html que te da varios sitios para descargarlo, hacelo y volvé a publicar el log.
Muchas gracias!
-
Hola, gracias por tu atencion, baje el hijack, del sitio que me recomendaste, pero la version que esta ahi es la 1.97.7 no la que me dices, de todas formas te envio el log con esta version.
Nuevamente gracias.
Logfile of HijackThis v1.97.7
Scan saved at 12:39:56 p.m., on 08/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\srv32.exe
C:\WINDOWS\SM1BG.EXE
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\ScanToPc.exe
C:\Palm\hotsync.exe
C:\Archivos de programa\SpywareGuard\sgmain.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\seguridad\hijack\hjt\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ymgtnghfprizwihqsq.com/kREt8/ILc329LKM175AJjxX62DgY4vaqSGyD2Qk8UdH8NWKtVfwkkYn9/064fqc6.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prodigy.com.mx/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\en-us\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [lessitch] C:\DOCUME~1\pc\DATOSD~1\MPEG4~1\online bind base.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Escanear-a-PC.lnk = C:\WINDOWS\ScanToPc.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: NuevoMensaje (HKCU)
O9 - Extra 'Tools' menuitem: NuevoMensaje (HKCU)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Smart Viewer 7) - https://see.sbi.com.mx/viewer/activeXViewer/activexviewer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
-
Puntual es necesario q lo hagas con la última versión del HijackThis. Prueba a descargarlo de estos sitios a ver si está la versión q dice Fast.
http://www.zerosrealm.com/downloads/hjt.zip
http://www.lurkhere.com/~nicefiles/
http://downloads.subratam.org/hijackthis.zip
http://ftp.officefive.org.uk/sites/www.spywareinfo.com/~merijn/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
http://computercops.biz/zx/Merijn/hijackthis.zip
-
Hola a todos, ya descargue la version que me recomendo Fats, y adjunto el log, ah ! y ahora me aparece una barra azul en la parte de abajo la cual no puedo quitarla con nada, gracias por la atencion.
Logfile of HijackThis v1.98.2
Scan saved at 12:15:20 p.m., on 11/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\srv32.exe
C:\WINDOWS\SM1BG.EXE
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\ScanToPc.exe
C:\Palm\hotsync.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\SpywareGuard\sgmain.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\seguridad\hijack1\HijackThis19802.exe
C:\WINDOWS\System32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aqrdtffwsoorgcdnbpbsj.com/kREt8/ILc329LKM175AJjxX62DgY4vaqSGyD2Qk8UdFm_CroX_L4Von9/064fqc6.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prodigy.com.mx/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\en-us\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [lessitch] C:\DOCUME~1\pc\DATOSD~1\MPEG4~1\online bind base.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Escanear-a-PC.lnk = C:\WINDOWS\ScanToPc.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra button: NuevoMensaje - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\pc\Datos de programa\MATRIX\NuevoMensaje\LanzarDll.exe (HKCU)
O9 - Extra 'Tools' menuitem: NuevoMensaje - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\pc\Datos de programa\MATRIX\NuevoMensaje\LanzarDll.exe (HKCU)
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Smart Viewer 7) - https://see.sbi.com.mx/viewer/activeXViewer/activexviewer.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
-
Perdón por las demoras.
Lo que yo veo mal ahí es lo siguiente:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aqrdtffwsoorgcdnbpbsj.com/kREt8/ILc329LKM175AJjxX62DgY4vaqSGyD2Qk8UdFm_CroX_L4Von9/064fqc6.php
O9 - Extra button: NuevoMensaje - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\pc\Datos de programa\MATRIX\NuevoMensaje\LanzarDll.exe (HKCU)
O9 - Extra 'Tools' menuitem: NuevoMensaje - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\pc\Datos de programa\MATRIX\NuevoMensaje\LanzarDll.exe (HKCU)
Fijate que hay un ejecutable llamado LanzarDll.exe, el cual está relacionado con un troyano o alguna peste similar. Si hacés una búsqueda en Google con la cadena {03FBB191-FB50-4154-91D7-587D5E3C0000} vas a ver un sinnúmero de entradas referidas a estas porquerías.
En fin, en principio lo que deseo que hagas es lo siguiente:
- Abrí una carpeta nueva en el Escritorio, llamada Basura.
- Dentro de Basura copiá el archivo C:\Documents and Settings\pc\Datos de programa\MATRIX\NuevoMensaje\LanzarDll.exe y a continuación zipealo (no lo ejecutes!!!). Llamalo LanzarDll.zip
- Abrí el HijackThis, apretá Scan y ponele una marca a los tres ítemes que puse más arriba (el R1 y los dos O9). Apretá Fix checked y reiniciá la máquina.
- Andá a OTRO antivirus online y volvé a escanear tu máquina completa (por ejemplo con Panda Y con Symantec)
- Una vez escaneada y eventualmente limpia, reiniciá la máquina (muy importante)
- Volvé a pasar el HijackThis y publicá el log
-
Hola, saludos a todos, especialmente a ti Fats por las atenciones, ok, ya hice lo que me sugeriste, y te anexo el log, muchas gracias nuevamente.
Logfile of HijackThis v1.98.2
Scan saved at 01:26:01 p.m., on 18/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\srv32.exe
C:\WINDOWS\SM1BG.EXE
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\ScanToPc.exe
C:\Palm\hotsync.exe
C:\Archivos de programa\SpywareGuard\sgmain.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
c:\archiv~1\intern~1\iexplore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\seguridad\hijack1\HijackThis19802.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ygphobidiyxhpfsbvlm.com/kREt8/ILc329LKM175AJjxX62DgY4vaqSGyD2Qk8UdGGpffK2U_1TIn9/064fqc6.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com.mx/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\en-us\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [lessitch] C:\DOCUME~1\pc\DATOSD~1\MPEG4~1\online bind base.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Escanear-a-PC.lnk = C:\WINDOWS\ScanToPc.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Smart Viewer 7) - https://see.sbi.com.mx/viewer/activeXViewer/activexviewer.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
-
puntual, he visto por aquí que ya está la versión 1.99 del HijackThis. Por favor bajala y correla, así vemos qué dice.
De cualquier modo algo no está bien. La página ésa sigue cambiando...
Antes de republicar el log del HT, por favor limpiá todos los temporales de Internet y los de tu usuario, típicamente están en C:\Documents and settings\Mi usuario\. Y yo no sé cómo se límpia el XP, aquí hay gente que sabe hacerlo (¿se llama system recovery?), yo tengo Windows 2000 Pro, así que por favor alguien de una mano en esto.
-
Pues para limpiar temporales, y porquería varia, yo, y creo que bastantes usamos el Ccleaner, es rápido y puedes seleccionar lo que borra, pero aun sin seleccionar nada, no quita ninguna cosa que pueda ser esencial, por lo que puedes pasarlo con tranquilidad.
Te lo puedes bajar de esta página:
http://www.ccleaner.com/
Y si lo quieres traducir, en esta tienes el programa más la traducción
http://hispanicoweb.net/
Saludos
-
Saludos a todos, Fats disculpa que no te haya contestado pero se atravezaron todas estas fiestas y no he podido ver a la persona que tiene el problema, por lo que te escribo para informarte que aun estoy pendiente con ese problema, en la primera oportunidad hare lo que me dices.
Aprovecho para desearte felices fiestas, y tranquilidad y salud para el 2005.
Gracias por todo.
-
Hola, FatsGordon, una disculpa, porque hasta ahora vulevo a tomar el asunto de la pagina de inicio.
Baje la version 1.99 y anexo el log. Ad-aware, spybot y avast estan actualizados no me detectan ningun problema, los ejecuto desde ,odo seguro.
Gracias por la atencion.
Logfile of HijackThis v1.99.0
Scan saved at 01:16:10 p.m., on 08/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\srv32.exe
C:\WINDOWS\SM1BG.EXE
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\ScanToPc.exe
C:\Palm\hotsync.exe
C:\Archivos de programa\SpywareGuard\sgmain.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\seguridad\hijack\hjt\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.niwanqkxzpqvqzj.com/Ck3MdmcO0Kx26wJXWtZvKIREbLHsWSk/Aq0O_C5oo2mnbJ6WEOBwHkXg6QA/0v0h.cgi
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prodigy.com.mx/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B79B20B2-7502-3E24-9120-2A883F85D55B} - C:\DOCUME~1\pc\DATOSD~1\COALEG~1\wmaheart.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\en-us\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [FREE INSIDE MEOW THAT] C:\Documents and Settings\All Users\Datos de programa\ACID REMOTE FREE INSIDE\vga pop.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [lessitch] C:\DOCUME~1\pc\DATOSD~1\MPEG4~1\online bind base.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Escanear-a-PC.lnk = C:\WINDOWS\ScanToPc.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Smart Viewer 7) - https://see.sbi.com.mx/viewer/activeXViewer/activexviewer.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
-
Bueno, no sé si serán cosas nuevas o viejas que se van mostrando a medida que se limpia... Lo cierto es que ahora tenemos que limpiar lo siguiente (seleccionar y apretar Fix checked):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.niwanqkxzpqvqzj.com/Ck3MdmcO0Kx26wJXWtZvKIREbLHsWSk/Aq0O_C5oo2mnbJ6WEOBwHkXg6QA/0v0h.cgi
O4 - HKLM\..\Run: [FREE INSIDE MEOW THAT] C:\Documents and Settings\All Users\Datos de programa\ACID REMOTE FREE INSIDE\vga pop.exe
Lo que no sé qué es es lo siguiente:
O2 - BHO: (no name) - {B79B20B2-7502-3E24-9120-2A883F85D55B} - C:\DOCUME~1\pc\DATOSD~1\COALEG~1\wmaheart.exe
O4 - HKCU\..\Run: [lessitch] C:\DOCUME~1\pc\DATOSD~1\MPEG4~1\online bind base.exe
O4 - Global Startup: Escanear-a-PC.lnk = C:\WINDOWS\ScanToPc.exe
Lo que no puedan reconocer como programas válidos, palo y a la bolsa.
Lo importante es que después, en modo seguro o a prueba de fallos eliminen los ejecutables respectivos (los que de la lista hayan eliminado con HT)
Al finalizar todo por favor volvé a publicar un log del HT.
-
Hola FatsGordon, te anexo el log, ya elimine lo que me comentaste, en modo seguro, y le pase el antivirus avast, ad-aware, spybot, todos actaulizados y cuando reinicio lo primero que me aparece es el aviso de spywareguard de que quieren cambiar mi pagina de inicio.
Gracias por tus atenciones.
Logfile of HijackThis v1.99.0
Scan saved at 04:45:02 p.m., on 14/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\srv32.exe
C:\WINDOWS\SM1BG.EXE
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\ScanToPc.exe
C:\Palm\hotsync.exe
C:\Archivos de programa\SpywareGuard\sgmain.exe
C:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\seguridad\hijack\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prodigy.com.mx/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\en-us\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Escanear-a-PC.lnk = C:\WINDOWS\ScanToPc.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Smart Viewer 7) - https://see.sbi.com.mx/viewer/activeXViewer/activexviewer.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
-
Yo no veo nada raro en el log...
En todo caso, probemos de vaciar todas las carpetas temporales, dado que algo quiere cambiar la página y debe estar residente por allí...
¿El SpywareGuard no te dice quién o qué intenta cambiar la página de inicio?
-
Hola, FatsGordon, gracias, por seguir aqui.
Te dire lo que hice: actualize, ad-aware, spybot y avast (aunque este es automatico), reinicie en modo seguro, borre todo lo que estaba en temporal, y ejecute ad-aware, no encontro nada, ejecute spybot y no encontro nada, y ejecute hijackthis, y borre una linea de pagina de inicio con una direccion muy rara. Reinicie en forma normal, y cuando esta cargando el mensajero msn, aparece la ventana de warning de spywareguard la cual me envia el siguiente mensaje:
Warning! your IE search bar has been changed
Your internet explorer current user search bar has been changed from:
http://www.jjufcqjztyhtr.net/CK3mDMCo0kx26wJXWTZvKIREb/HsW
To
=none=
y tambien un log de hijack.
Te agradezco toda la atencion que has tenido.
Nuevamente muchas gracias.
Logfile of HijackThis v1.99.0
Scan saved at 04:03:12 p.m., on 19/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\srv32.exe
C:\WINDOWS\SM1BG.EXE
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\ScanToPc.exe
C:\Palm\hotsync.exe
C:\Archivos de programa\SpywareGuard\sgmain.exe
C:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\mspaint.exe
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\seguridad\hijack\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prodigy.com.mx/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\en-us\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Escanear-a-PC.lnk = C:\WINDOWS\ScanToPc.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Smart Viewer 7) - https://see.sbi.com.mx/viewer/activeXViewer/activexviewer.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
(http://)(http://)(http://)
-
Bueno, no sé los demás, pero yo veo ese log límpio... Por otro lado lo que dice el SpywareGuard es que ya no tenés más esa página de inicio, lo que es bueno.
¿Está todo normal en la máquina o persiste algun problema?
-
Hola, FatsGordon, la maquina funciona bien, solo ese warning al principio, por lo demas, mantengo actualizado el avast, el ad-aware, el spybot, y como te digo no detectan ningun problema.
Si no hay alguna otra cosa, cerremos este tema y si sucede alguna situacion especial, te molestare nuevamente.
Gracias FatsGordon, muchisimas gracias. :lol: