Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: talgo en 04 de Junio de 2004, 04:13:23 pm
-
Hola, llevo tres dias intentando solucionar este problema.
Desde hace tres dias que al abrir segun que paginas de internet se direccionan hacia una direccion porno (cada vez a una diferente) y ya no se como solucionarlo.
El tema del formateo preferiria dejarlo como ultimo recurso ya que tengo muchos datos y dispersos en el ordenador y, la verdad me causaria un transtorno importante.
El problema se inicio cuando en una conversacion por MSN uno de los participantes puso un enlace, resultando ser un enlace a una pagina de enlaces porno. Por curiosidad abri un par de ellas y alli empezo mi clavario.
Tengo el Adware 6.181 y detecta que tengo varios robots espia y miners y cosas de esas, que siempre me habia limpiado sin problemas.
Tambien tengo instalado el Spybot - Search & Destroy, y este me detecta el WebDialer y algun programa mas (alguno con mas de 6 entradas al registro). Cuando finaliza elk escaneo le doy a solucionar problemas, me da como que esta resuelto y cuando entro de nuevo en internert estan otra vez alli.
A partir de ese dia limpia todo pero se vuelve a instalar sin saber porque.
He intentado borarlo desde instalar y desintalar progrmas pero no veo ninguno raro.
He probado de borrar las claves que pone el Spybot directamente desde el registro (jugandomela, porque entiendo muy poco de informatica).
He probado de buscar por todos los archivos manualmente, uno a uno y tampoco me suenan ninguno (todos me suenan a chino).
Ya no se que hacer, probare de enviaros el Log del Adware aver si vosotros veis algo que pueda ayudarme.
Gracias de antemano.
Saludos
-
Hola talgo, y bienvenido al foro!
Por favor, reiniciá tu máquina y tan luego como ha levantado realizá un escaneo FULL con Ad-aware (con la segunda opción, Custom en la versión en inglés) verificando ANTES que:
1- Tengas el último archivo de referencia (el de hoy es 01R314)
2- Tengas todos los seteos como dice en http://www.daboweb.com/phpBB2/viewtopic.php?t=2443
Luego de finalizado, eliminá todo lo que encuentre. Cerrá el Ad-aware y volvé a reiniciar, pero esta vez en modo A prueba de fallos (con F8 cuando se reinicia). Volvé a escanear, volvé a eliminar, y reiniciá en modo normal. Luego realizá un tercer escaneo (siempre FULL) y publicá ese log aquí.
Puede que la publicación del log te lleve más de una vez. Fijate siempre que lo publicado haya llegado hasta Sumario. Si no es así, continuá publicando desde donde terminó hasta el final.
Muchas gracias!
-
Empecemos por el principio:
Cuando reincie en MODO A PRUEBA DE FALLOS no me detecto nada
sin encambio al reinciiar en normal me salieron 9 entradas (mientras escaneaba en normal estab con el MSN, y mirando 2 paginas)
este es el log
Lavasoft Ad-aware Personal Build 6.181
Logfile created on :viernes, 04 de junio de 2004 20:07:59
Created with Ad-aware Personal, free for private use.
Using reference-file :01R314 02.06.2004
______________________________________________________
Reffile status:
=========================
Reference file loaded:
Reference Number : 01R314 02.06.2004
Internal build : 246
File location : C:\Archivos de programa\Lavasoft\Ad-aware 6
\reflist.ref
Total size : 1201492 Bytes
Signature data size : 1181377 Bytes
Reference data size : 20051 Bytes
Signatures total : 26331
Target categories : 10
Target families : 491
Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium IV
Memory available:42 %
Total physical memory:523760 kb
Available physical memory:215764 kb
Total page file size:1280520 kb
Available on page file:1015588 kb
Total virtual memory:2097024 kb
Available virtual memory:2047628 kb
OS:
Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file
Extended Ad-aware Settings
=========================
Set : Unload recognized processes during scanning
Set : Reanalyze result after scanning, before displaying result list
Set : Run scan as background process (Low CPU usage)
Set : Include basic Ad-aware settings in logfile
Set : Include additional Ad-aware settings in logfile
Set : Let windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Always back up reference file, before updating
Set : Play sound if scan produced a result
04/06/2004 20:07:59 - Scan started. (Custom mode)
Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ThreadCreationTime : 04/06/2004 18:06:29
BasePriority : Normal
#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 04/06/2004 18:06:31
BasePriority : High
#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 04/06/2004 18:06:32
BasePriority : Normal
FileSize : 99 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
Copyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
CompanyName : Microsoft Corporation
FileDescription : Aplicaci
InternalName : services.exe
OriginalFilename : services.exe
ProductName : Sistema operativo Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 04/06/2004 17:09:36
Last modified : 24/08/2001 16:00:00
#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 04/06/2004 18:06:32
BasePriority : Normal
FileSize : 11 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
OriginalFilename : lsass.exe
ProductName : Microsoft
Created on : 09/09/2002 17:51:32
Last accessed : 04/06/2004 17:09:36
Last modified : 09/09/2002 17:51:32
#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 04/06/2004 18:06:33
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 04/06/2004 17:26:06
Last modified : 24/08/2001 16:00:00
#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 04/06/2004 18:06:33
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 04/06/2004 17:26:06
Last modified : 24/08/2001 16:00:00
#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 04/06/2004 18:06:36
BasePriority : Normal
FileSize : 50 KB
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 04/06/2004 17:09:36
Last modified : 24/08/2001 16:00:00
#:8 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 04/06/2004 18:06:36
BasePriority : Normal
FileSize : 983 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft
Created on : 09/09/2002 17:51:28
Last accessed : 04/06/2004 18:06:58
Last modified : 09/09/2002 17:51:28
#:9 [hpqcmon.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\
ThreadCreationTime : 04/06/2004 18:06:39
BasePriority : Normal
FileSize : 88 KB
FileVersion : 2.0.0.133
ProductVersion : 2.0.0.133
Copyright : Copyright (C) 2001
FileDescription : HpqCmon MFC Application
InternalName : HpqCmon
OriginalFilename : HpqCmon.EXE
ProductName : HpqCmon Application
Created on : 06/10/2002 22:23:20
Last accessed : 04/06/2004 18:06:29
Last modified : 06/10/2002 22:23:20
#:10 [hpgs2wnd.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\
ThreadCreationTime : 04/06/2004 18:06:39
BasePriority : Normal
FileSize : 68 KB
FileVersion : 2,3,0,0\
ProductVersion : 2,3,0,0\
Copyright : Copyright
CompanyName : Hewlett-Packard
FileDescription : hpgs2wnd
InternalName : hpgs2wnd
OriginalFilename : hpgs2wnd.exe
ProductName : Hewlett-Packard hpgs2wnd
Created on : 17/04/2002 8:42:56
Last accessed : 04/06/2004 18:06:29
Last modified : 17/04/2002 8:42:56
#:11 [clonecdtray.exe]
FilePath : C:\Archivos de programa\Elaborate Bytes\CloneCD\
ThreadCreationTime : 04/06/2004 18:06:39
BasePriority : Normal
FileSize : 72 KB
FileVersion : 4, 2, 0, 0
ProductVersion : 4, 2, 0, 0
Copyright : Copyright
CompanyName : Elaborate Bytes AG
FileDescription : CloneCD Tray
InternalName : CloneCDTray
OriginalFilename : CloneCDTray.exe
ProductName : CloneCD
Created on : 02/12/2002 14:17:37
Last accessed : 04/06/2004 18:07:03
Last modified : 02/12/2002 14:17:37
#:12 [qttask.exe]
FilePath : C:\Archivos de programa\QuickTime\
ThreadCreationTime : 04/06/2004 18:06:40
BasePriority : Normal
FileSize : 76 KB
FileVersion : 6.1c
ProductVersion : QuickTime 6.1c
CompanyName : Apple Computer, Inc.
InternalName : QuickTime Task
OriginalFilename : QTTask.exe
ProductName : QuickTime
Created on : 29/06/2003 18:13:55
Last accessed : 04/06/2004 18:06:29
Last modified : 29/06/2003 18:13:55
#:13 [lvcoms.exe]
FilePath : C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\
ThreadCreationTime : 04/06/2004 18:06:40
BasePriority : Normal
FileSize : 124 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : LVCom Server
InternalName : LVComS.exe
OriginalFilename : LVComS.exe
ProductName : Logitech ImageStudio
Created on : 25/12/2003 14:40:01
Last accessed : 04/06/2004 18:06:29
Last modified : 10/12/2002 16:54:04
#:14 [logitray.exe]
FilePath : C:\Archivos de programa\Logitech\ImageStudio\
ThreadCreationTime : 04/06/2004 18:06:40
BasePriority : Normal
FileSize : 60 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : ImageStudio Tray Application
InternalName : LogiTray.exe
OriginalFilename : LogiTray.exe
ProductName : Logitech ImageStudio
Created on : 10/12/2002 17:31:34
Last accessed : 04/06/2004 18:06:29
Last modified : 10/12/2002 17:31:34
#:15 [winampa.exe]
FilePath : C:\Archivos de programa\Winamp\
ThreadCreationTime : 04/06/2004 18:06:40
BasePriority : Normal
FileSize : 33 KB
Created on : 13/12/2003 0:50:34
Last accessed : 04/06/2004 18:06:29
Last modified : 13/12/2003 0:50:34
#:16 [realsched.exe]
FilePath : C:\Archivos de programa\Archivos comunes\Real\Update_OB\
ThreadCreationTime : 04/06/2004 18:06:40
BasePriority : Normal
FileSize : 148 KB
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
OriginalFilename : realsched.exe
ProductName : RealOne Player (32-bit)
Created on : 05/02/2004 16:10:02
Last accessed : 04/06/2004 18:06:29
Last modified : 05/02/2004 16:10:02
#:17 [msgplus.exe]
FilePath : C:\Archivos de programa\Messenger Plus! 3\
ThreadCreationTime : 04/06/2004 18:06:40
BasePriority : Normal
FileSize : 156 KB
FileVersion : 3, 0, 0, 92
ProductVersion : 3, 0, 0, 92
Copyright : Copyright (C) 2001-2004
CompanyName : Patchou
FileDescription : Messenger Plus!
InternalName : MsgPlus
OriginalFilename : MsgPlus.exe
ProductName : Messenger Plus! 3
Created on : 30/05/2004 16:41:30
Last accessed : 04/06/2004 18:06:40
Last modified : 30/05/2004 16:41:39
#:18 [pccguide.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 04/06/2004 18:06:41
BasePriority : Normal
FileSize : 920 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCCGuide
InternalName : PCCGuide
OriginalFilename : PCCGuide
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:44:44
Last accessed : 04/06/2004 18:06:29
Last modified : 14/11/2003 17:44:44
#:19 [pcclient.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 04/06/2004 18:06:41
BasePriority : Normal
FileSize : 620 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCClient
InternalName : PCClient
OriginalFilename : PCClient
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:44:18
Last accessed : 04/06/2004 18:06:29
Last modified : 14/11/2003 17:44:18
#:20 [tmoagent.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 04/06/2004 18:06:41
BasePriority : Normal
FileSize : 284 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : TrendMicro Outbreak agent
InternalName : TMOAgent
OriginalFilename : TMOAgent.EXE
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:43:06
Last accessed : 04/06/2004 18:06:29
Last modified : 14/11/2003 17:43:06
#:21 [navapw32.exe]
FilePath : C:\ARCHIV~1\NORTON~1\
ThreadCreationTime : 04/06/2004 18:06:41
BasePriority : Normal
FileSize : 77 KB
FileVersion : 8.07.17
ProductVersion : 8.07.17
Copyright : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Agent
InternalName : NAVAPW32
OriginalFilename : NAVAPW32.EXE
ProductName : Norton AntiVirus
Created on : 25/03/2002 11:25:26
Last accessed : 04/06/2004 18:06:29
Last modified : 25/03/2002 11:25:26
#:22 [ad-aware.exe]
FilePath : C:\Archivos de programa\Lavasoft\Ad-aware 6\
ThreadCreationTime : 04/06/2004 18:06:42
BasePriority : Idle
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 22/07/2003 11:30:07
Last accessed : 04/06/2004 18:06:29
Last modified : 12/07/2003 20:00:20
#:23 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 04/06/2004 18:06:42
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 09/09/2002 17:51:26
Last accessed : 04/06/2004 18:06:29
Last modified : 09/09/2002 17:51:26
#:24 [service.exe]
FilePath : C:\docume~1\toni\datosd~1\
ThreadCreationTime : 04/06/2004 18:06:43
BasePriority : Normal
FileSize : 12 KB
Created on : 03/06/2004 22:34:54
Last accessed : 04/06/2004 18:06:29
Last modified : 03/06/2004 22:34:54
#:25 [backweb-8876480.exe]
FilePath : C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\
ThreadCreationTime : 04/06/2004 18:06:43
BasePriority : Normal
FileSize : 16 KB
Created on : 17/04/2004 5:51:08
Last accessed : 04/06/2004 18:06:29
Last modified : 17/04/2004 4:30:36
#:26 [navapsvc.exe]
FilePath : C:\Archivos de programa\Norton AntiVirus\
ThreadCreationTime : 04/06/2004 18:06:45
BasePriority : Normal
FileSize : 113 KB
FileVersion : 8.07.17
ProductVersion : 8.07.17
Copyright : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Service
InternalName : NAVAPSVC
OriginalFilename : NAVAPSVC.EXE
ProductName : Norton AntiVirus
Created on : 25/03/2002 11:26:12
Last accessed : 04/06/2004 18:06:29
Last modified : 25/03/2002 11:26:12
#:27 [hpgs2wnf.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\
ThreadCreationTime : 04/06/2004 18:06:46
BasePriority : Normal
FileSize : 76 KB
FileVersion : 2, 6, 0,
ProductVersion : 2, 6, 0,
Copyright : Copyright 2001
FileDescription : hpgs2wnf Module
InternalName : hpgs2wnf
OriginalFilename : hpgs2wnf.EXE
ProductName : hpgs2wnf Module
Created on : 17/04/2002 8:49:16
Last accessed : 04/06/2004 18:06:29
Last modified : 17/04/2002 8:49:16
#:28 [calcheck.exe]
FilePath : C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\
ThreadCreationTime : 04/06/2004 18:06:46
BasePriority : Normal
FileSize : 56 KB
FileVersion : 4, 0, 0, 0
ProductVersion : 1, 0, 0, 1
Copyright : Copyright (C) 1992-1999.Ulead Systems, Inc.
CompanyName : Ulead Systems, Inc.
FileDescription : Photo Express -- Calendar Checker
InternalName : CalCheck
OriginalFilename : CalCheck.EXE
ProductName : Calendar Checker Application
Created on : 21/10/2003 18:48:47
Last accessed : 04/06/2004 18:07:09
Last modified : 15/03/2001 9:50:56
#:29 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 04/06/2004 18:06:48
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 04/06/2004 17:26:06
Last modified : 24/08/2001 16:00:00
#:30 [tmntsrv.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 04/06/2004 18:06:52
BasePriority : Normal
FileSize : 236 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : Tmntsrv
InternalName : Tmntsrv
OriginalFilename : Tmntsrv.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:50:16
Last accessed : 04/06/2004 17:09:37
Last modified : 14/11/2003 17:50:16
#:31 [tmproxy.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 04/06/2004 18:06:53
BasePriority : Normal
FileSize : 200 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : TmProxy.exe
InternalName : TmProxy.exe
OriginalFilename : TmProxy.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:51:24
Last accessed : 04/06/2004 18:06:29
Last modified : 14/11/2003 17:51:24
#:32 [pccpfw.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 04/06/2004 18:06:57
BasePriority : Normal
FileSize : 684 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCCPFW
InternalName : PCCPFW
OriginalFilename : PCCPFW.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:47:28
Last accessed : 04/06/2004 18:06:29
Last modified : 14/11/2003 17:47:28
#:33 [lowlight.exe]
FilePath : C:\Archivos de programa\Logitech\ImageStudio\
ThreadCreationTime : 04/06/2004 18:07:35
BasePriority : Normal
FileSize : 52 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : Automatic Low Light Module
InternalName : LowLight.exe
OriginalFilename : LowLight.exe
ProductName : Logitech ImageStudio
Created on : 10/12/2002 17:33:42
Last accessed : 04/06/2004 18:07:33
Last modified : 10/12/2002 17:33:42
Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0
Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
CoolWebSearch Object recognized!
Type : RegValue
Data :
Category : Malware
Comment : "HOMEOldSP"
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Value : HOMEOldSP
Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1
Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Category : Malware
Comment : Possible browser hijack attempt
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
Possible browser hijack attempt : .Default\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Category : Malware
Comment : Possible browser hijack attempt
Rootkey : HKEY_USERS
Object : .Default\Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\pcojba.dll
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{0D5D2B02-4BB3-493A-A808-A80140384D9B}
CoolWebSearch Object recognized!
Type : File
Data : pcojba.dll
Category : Malware
Comment :
Object : c:\windows\system32\
FileSize : 30 KB
Created on : 04/06/2004 18:07:49
Last accessed : 04/06/2004 18:07:49
Last modified : 04/06/2004 18:07:49
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\pcojba.dll
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{AC6B826F-9851-444B-A14C-CBDE1D09A500}
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\pcojba.dll
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/html
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\pcojba.dll
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/plain
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\pcojba.dll
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0D5D2B02-4BB3-493A-A808-A80140384D9B}
Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 7
Objects found so far: 9
Deep scanning and examining files (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Disk scan result for C:\
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 9
Scanning Hosts file(C:\WINDOWS\System32\drivers\etc\hosts)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Hosts file scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
1 entries scanned.
New objects :0
Objects found so far: 9
Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 9
Reanalyzing scan result
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
No objects have been removed from the result list.
20:32:00 Scan complete
Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:24:00:625
Objects scanned :180379
Objects identified :9
Objects ignored :0
New objects :9
-
Ok. Si ponés todo eso en cuarentena, y después reiniciás la máquina (es importantísimo reiniciar) y volvés a pasar el Ad-aware, ¿qué sucede? ¿Sale límpio?
-
bienvenido amigo, sientete en tu casa
otro pescata :wink: un saludo
a ver si nos contesta fats :wink:
-
Hoy cuando llegue de trabajar le he pasado el Adware y le he puesto los archivos en cuarentena y reinicie el ordenador.
Volvia a pasar el Adware y mientras estuve visitando un par de paginas, como me daba muchos objetos volvi a guardarlos y reinicie de nuevo.
Cuando reinicio me salta la alerta de Norton diciendo que tengo un scrip dañino, pero no lo reconoce ningun antivirus, ni Norton, ni Panda On-line. Los avisos son los siguientes:
Fecha: 06/06/2004, Hora: 10:48:36, Toni
Análisis de virus iniciado.
Fecha: 06/06/2004, Hora: 10:48:36, Toni
Análisis de virus finalizado.
Registros de arranque maestro:
Analizados: 0
Infectados: 0
Reparados: 0
Registros de arranque:
Analizados: 0
Infectados: 0
Reparados: 0
Archivos:
Analizados: 1
Infectados: 0
Reparados: 0
En cuarentena: 0
Borrados: 0
Fecha: 06/06/2004, Hora: 10:56:54, Toni en PEPINO-NTML9537
El archivo
C:\WINDOWS\odbc.hta
está infectado por el virus VBS.StartPage.C.
No es posible reparar este archivo.
Fecha: 06/06/2004, Hora: 10:56:56, Toni en PEPINO-NTML9537
El archivo
C:\WINDOWS\odbc.hta
está infectado por el virus VBS.StartPage.C.
Se ha denegado el acceso al archivo.
Fecha: 06/06/2004, Hora: 11:03:58, Toni en PEPINO-NTML9537
El bloqueo de secuencias de comandos detectó una actividad sospechosa.
Archivo: C:\WINDOWS\odbc.hta
Objeto: FileSystem Object
Actividad: GetSpecialFolder
Se detuvo la secuencia de comandos.
He buscado el archivo odbc.hta y no esta en el directorio de windows, lo he buscado con la herramienta buscar y tampoco aparece nada de ese archivo.
Ahora os pongo los tres ultimos archivos del Adware, durante el ultimo no se toca el ordenador para nada, se reinicia y se deja que acabe el proceso del Adware:
Lavasoft Ad-aware Personal Build 6.181
Logfile created on :domingo, 06 de junio de 2004 9:48:04
Created with Ad-aware Personal, free for private use.
Using reference-file :01R314 02.06.2004
______________________________________________________
Reffile status:
=========================
Reference file loaded:
Reference Number : 01R314 02.06.2004
Internal build : 246
File location : C:\Archivos de programa\Lavasoft\Ad-aware 6
\reflist.ref
Total size : 1201492 Bytes
Signature data size : 1181377 Bytes
Reference data size : 20051 Bytes
Signatures total : 26331
Target categories : 10
Target families : 491
Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium IV
Memory available:41 %
Total physical memory:523760 kb
Available physical memory:211608 kb
Total page file size:1280520 kb
Available on page file:1021204 kb
Total virtual memory:2097024 kb
Available virtual memory:2047728 kb
OS:
Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file
Extended Ad-aware Settings
=========================
Set : Unload recognized processes during scanning
Set : Reanalyze result after scanning, before displaying result list
Set : Run scan as background process (Low CPU usage)
Set : Include basic Ad-aware settings in logfile
Set : Include additional Ad-aware settings in logfile
Set : Let windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Always back up reference file, before updating
Set : Play sound if scan produced a result
06/06/2004 9:48:04 - Scan started. (Custom mode)
Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ThreadCreationTime : 06/06/2004 7:47:01
BasePriority : Normal
#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 06/06/2004 7:47:03
BasePriority : High
#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 06/06/2004 7:47:04
BasePriority : Normal
FileSize : 99 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
Copyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
CompanyName : Microsoft Corporation
FileDescription : Aplicaci
InternalName : services.exe
OriginalFilename : services.exe
ProductName : Sistema operativo Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 7:47:01
Last modified : 24/08/2001 16:00:00
#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 06/06/2004 7:47:04
BasePriority : Normal
FileSize : 11 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
OriginalFilename : lsass.exe
ProductName : Microsoft
Created on : 09/09/2002 17:51:32
Last accessed : 06/06/2004 7:47:01
Last modified : 09/09/2002 17:51:32
#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 06/06/2004 7:47:05
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 7:47:01
Last modified : 24/08/2001 16:00:00
#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 06/06/2004 7:47:05
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 7:47:01
Last modified : 24/08/2001 16:00:00
#:7 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 06/06/2004 7:47:08
BasePriority : Normal
FileSize : 983 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft
Created on : 09/09/2002 17:51:28
Last accessed : 06/06/2004 7:47:20
Last modified : 09/09/2002 17:51:28
#:8 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 06/06/2004 7:47:09
BasePriority : Normal
FileSize : 50 KB
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 7:47:01
Last modified : 24/08/2001 16:00:00
#:9 [hpqcmon.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\
ThreadCreationTime : 06/06/2004 7:47:11
BasePriority : Normal
FileSize : 88 KB
FileVersion : 2.0.0.133
ProductVersion : 2.0.0.133
Copyright : Copyright (C) 2001
FileDescription : HpqCmon MFC Application
InternalName : HpqCmon
OriginalFilename : HpqCmon.EXE
ProductName : HpqCmon Application
Created on : 06/10/2002 22:23:20
Last accessed : 06/06/2004 7:47:01
Last modified : 06/10/2002 22:23:20
#:10 [hpgs2wnd.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\
ThreadCreationTime : 06/06/2004 7:47:11
BasePriority : Normal
FileSize : 68 KB
FileVersion : 2,3,0,0\
ProductVersion : 2,3,0,0\
Copyright : Copyright
CompanyName : Hewlett-Packard
FileDescription : hpgs2wnd
InternalName : hpgs2wnd
OriginalFilename : hpgs2wnd.exe
ProductName : Hewlett-Packard hpgs2wnd
Created on : 17/04/2002 8:42:56
Last accessed : 06/06/2004 7:47:01
Last modified : 17/04/2002 8:42:56
#:11 [clonecdtray.exe]
FilePath : C:\Archivos de programa\Elaborate Bytes\CloneCD\
ThreadCreationTime : 06/06/2004 7:47:11
BasePriority : Normal
FileSize : 72 KB
FileVersion : 4, 2, 0, 0
ProductVersion : 4, 2, 0, 0
Copyright : Copyright
CompanyName : Elaborate Bytes AG
FileDescription : CloneCD Tray
InternalName : CloneCDTray
OriginalFilename : CloneCDTray.exe
ProductName : CloneCD
Created on : 02/12/2002 14:17:37
Last accessed : 06/06/2004 7:47:11
Last modified : 02/12/2002 14:17:37
#:12 [qttask.exe]
FilePath : C:\Archivos de programa\QuickTime\
ThreadCreationTime : 06/06/2004 7:47:11
BasePriority : Normal
FileSize : 76 KB
FileVersion : 6.1c
ProductVersion : QuickTime 6.1c
CompanyName : Apple Computer, Inc.
InternalName : QuickTime Task
OriginalFilename : QTTask.exe
ProductName : QuickTime
Created on : 29/06/2003 18:13:55
Last accessed : 06/06/2004 7:47:01
Last modified : 29/06/2003 18:13:55
#:13 [lvcoms.exe]
FilePath : C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\
ThreadCreationTime : 06/06/2004 7:47:11
BasePriority : Normal
FileSize : 124 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : LVCom Server
InternalName : LVComS.exe
OriginalFilename : LVComS.exe
ProductName : Logitech ImageStudio
Created on : 25/12/2003 14:40:01
Last accessed : 06/06/2004 7:47:01
Last modified : 10/12/2002 16:54:04
#:14 [logitray.exe]
FilePath : C:\Archivos de programa\Logitech\ImageStudio\
ThreadCreationTime : 06/06/2004 7:47:12
BasePriority : Normal
FileSize : 60 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : ImageStudio Tray Application
InternalName : LogiTray.exe
OriginalFilename : LogiTray.exe
ProductName : Logitech ImageStudio
Created on : 10/12/2002 17:31:34
Last accessed : 06/06/2004 7:47:01
Last modified : 10/12/2002 17:31:34
#:15 [winampa.exe]
FilePath : C:\Archivos de programa\Winamp\
ThreadCreationTime : 06/06/2004 7:47:12
BasePriority : Normal
FileSize : 33 KB
Created on : 13/12/2003 0:50:34
Last accessed : 06/06/2004 7:47:01
Last modified : 13/12/2003 0:50:34
#:16 [realsched.exe]
FilePath : C:\Archivos de programa\Archivos comunes\Real\Update_OB\
ThreadCreationTime : 06/06/2004 7:47:12
BasePriority : Normal
FileSize : 148 KB
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
OriginalFilename : realsched.exe
ProductName : RealOne Player (32-bit)
Created on : 05/02/2004 16:10:02
Last accessed : 06/06/2004 7:47:01
Last modified : 05/02/2004 16:10:02
#:17 [msgplus.exe]
FilePath : C:\Archivos de programa\Messenger Plus! 3\
ThreadCreationTime : 06/06/2004 7:47:12
BasePriority : Normal
FileSize : 156 KB
FileVersion : 3, 0, 0, 92
ProductVersion : 3, 0, 0, 92
Copyright : Copyright (C) 2001-2004
CompanyName : Patchou
FileDescription : Messenger Plus!
InternalName : MsgPlus
OriginalFilename : MsgPlus.exe
ProductName : Messenger Plus! 3
Created on : 30/05/2004 16:41:30
Last accessed : 06/06/2004 7:47:12
Last modified : 30/05/2004 16:41:39
#:18 [pccguide.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06/06/2004 7:47:13
BasePriority : Normal
FileSize : 920 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCCGuide
InternalName : PCCGuide
OriginalFilename : PCCGuide
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:44:44
Last accessed : 06/06/2004 7:47:01
Last modified : 14/11/2003 17:44:44
#:19 [pcclient.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06/06/2004 7:47:13
BasePriority : Normal
FileSize : 620 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCClient
InternalName : PCClient
OriginalFilename : PCClient
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:44:18
Last accessed : 06/06/2004 7:47:01
Last modified : 14/11/2003 17:44:18
#:20 [tmoagent.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06/06/2004 7:47:13
BasePriority : Normal
FileSize : 284 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : TrendMicro Outbreak agent
InternalName : TMOAgent
OriginalFilename : TMOAgent.EXE
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:43:06
Last accessed : 06/06/2004 7:47:01
Last modified : 14/11/2003 17:43:06
#:21 [navapw32.exe]
FilePath : C:\ARCHIV~1\NORTON~1\
ThreadCreationTime : 06/06/2004 7:47:13
BasePriority : Normal
FileSize : 77 KB
FileVersion : 8.07.17
ProductVersion : 8.07.17
Copyright : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Agent
InternalName : NAVAPW32
OriginalFilename : NAVAPW32.EXE
ProductName : Norton AntiVirus
Created on : 25/03/2002 11:25:26
Last accessed : 06/06/2004 7:47:01
Last modified : 25/03/2002 11:25:26
#:22 [ad-aware.exe]
FilePath : C:\Archivos de programa\Lavasoft\Ad-aware 6\
ThreadCreationTime : 06/06/2004 7:47:14
BasePriority : Idle
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 22/07/2003 11:30:07
Last accessed : 06/06/2004 7:47:01
Last modified : 12/07/2003 20:00:20
#:23 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 06/06/2004 7:47:14
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 09/09/2002 17:51:26
Last accessed : 06/06/2004 7:47:01
Last modified : 09/09/2002 17:51:26
#:24 [service.exe]
FilePath : C:\docume~1\toni\datosd~1\
ThreadCreationTime : 06/06/2004 7:47:15
BasePriority : Normal
FileSize : 12 KB
Created on : 03/06/2004 22:34:54
Last accessed : 06/06/2004 7:47:01
Last modified : 03/06/2004 22:34:54
#:25 [realevent.exe]
FilePath : C:\Archivos de programa\Archivos comunes\Real\Update_OB\
ThreadCreationTime : 06/06/2004 7:47:15
BasePriority : Idle
FileSize : 52 KB
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Event Launcher
InternalName : wrapperapp
OriginalFilename : realevent.exe
ProductName : RealOne Player (32-bit)
Created on : 05/02/2004 16:10:02
Last accessed : 06/06/2004 7:27:25
Last modified : 05/02/2004 16:10:02
#:26 [backweb-8876480.exe]
FilePath : C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\
ThreadCreationTime : 06/06/2004 7:47:16
BasePriority : Normal
FileSize : 16 KB
Created on : 17/04/2004 5:51:08
Last accessed : 06/06/2004 7:47:01
Last modified : 17/04/2004 4:30:36
#:27 [calcheck.exe]
FilePath : C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\
ThreadCreationTime : 06/06/2004 7:47:17
BasePriority : Normal
FileSize : 56 KB
FileVersion : 4, 0, 0, 0
ProductVersion : 1, 0, 0, 1
Copyright : Copyright (C) 1992-1999.Ulead Systems, Inc.
CompanyName : Ulead Systems, Inc.
FileDescription : Photo Express -- Calendar Checker
InternalName : CalCheck
OriginalFilename : CalCheck.EXE
ProductName : Calendar Checker Application
Created on : 21/10/2003 18:48:47
Last accessed : 06/06/2004 7:47:23
Last modified : 15/03/2001 9:50:56
#:28 [navapsvc.exe]
FilePath : C:\Archivos de programa\Norton AntiVirus\
ThreadCreationTime : 06/06/2004 7:47:18
BasePriority : Normal
FileSize : 113 KB
FileVersion : 8.07.17
ProductVersion : 8.07.17
Copyright : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Service
InternalName : NAVAPSVC
OriginalFilename : NAVAPSVC.EXE
ProductName : Norton AntiVirus
Created on : 25/03/2002 11:26:12
Last accessed : 06/06/2004 7:47:01
Last modified : 25/03/2002 11:26:12
#:29 [hpgs2wnf.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\
ThreadCreationTime : 06/06/2004 7:47:18
BasePriority : Normal
FileSize : 76 KB
FileVersion : 2, 6, 0,
ProductVersion : 2, 6, 0,
Copyright : Copyright 2001
FileDescription : hpgs2wnf Module
InternalName : hpgs2wnf
OriginalFilename : hpgs2wnf.EXE
ProductName : hpgs2wnf Module
Created on : 17/04/2002 8:49:16
Last accessed : 06/06/2004 7:47:01
Last modified : 17/04/2002 8:49:16
#:30 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 06/06/2004 7:47:21
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 7:47:01
Last modified : 24/08/2001 16:00:00
#:31 [taskmgr.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 06/06/2004 7:47:21
BasePriority : High
FileSize : 131 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : Administrador de tareas de Windows
InternalName : taskmgr
OriginalFilename : taskmgr.exe
ProductName : Sistema operativo Microsoft
Created on : 09/09/2002 17:51:38
Last accessed : 06/06/2004 7:47:29
Last modified : 09/09/2002 17:51:38
#:32 [tmntsrv.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06/06/2004 7:47:22
BasePriority : Normal
FileSize : 236 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : Tmntsrv
InternalName : Tmntsrv
OriginalFilename : Tmntsrv.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:50:16
Last accessed : 06/06/2004 7:47:01
Last modified : 14/11/2003 17:50:16
#:33 [tmproxy.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06/06/2004 7:47:26
BasePriority : Normal
FileSize : 200 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : TmProxy.exe
InternalName : TmProxy.exe
OriginalFilename : TmProxy.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:51:24
Last accessed : 06/06/2004 7:42:59
Last modified : 14/11/2003 17:51:24
#:34 [pccpfw.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06/06/2004 7:47:29
BasePriority : Normal
FileSize : 684 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCCPFW
InternalName : PCCPFW
OriginalFilename : PCCPFW.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:47:28
Last accessed : 06/06/2004 7:47:01
Last modified : 14/11/2003 17:47:28
Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0
Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
CoolWebSearch Object recognized!
Type : RegValue
Data :
Category : Malware
Comment : "HOMEOldSP"
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Value : HOMEOldSP
Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1
Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Category : Malware
Comment : Possible browser hijack attempt
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Category : Malware
Comment : Possible browser hijack attempt
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\hodhp.dll
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{53E09742-A1D4-4C57-93C3-85464BB2114C}
CoolWebSearch Object recognized!
Type : File
Data : hodhp.dll
Category : Malware
Comment :
Object : c:\windows\system32\
FileSize : 30 KB
Created on : 05/06/2004 12:01:59
Last accessed : 06/06/2004 7:42:17
Last modified : 05/06/2004 12:01:59
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\hodhp.dll
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{EB4F4160-1493-4DA0-9180-D450B96F5D1F}
Trusted zone presumably compromised : 63.219.181.7
Possible Browser Hijack attempt Object recognized!
Type : RegKey
Data :
Category : Vulnerability
Comment : Trusted zone presumably compromised : 63.219.181.7
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\63.219.181.7
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\hodhp.dll
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/html
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\hodhp.dll
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/plain
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\hodhp.dll
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53E09742-A1D4-4C57-93C3-85464BB2114C}
Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 8
Objects found so far: 10
Deep scanning and examining files (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Disk scan result for C:\
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 10
Scanning Hosts file(C:\WINDOWS\System32\drivers\etc\hosts)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Hosts file scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
1 entries scanned.
New objects :0
Objects found so far: 10
Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
CoolWebSearch Object recognized!
Type : File
Data : reg32.exe
Category : Malware
Comment :
Object : c:\windows\system32\
FileSize : 3 KB
Created on : 04/06/2004 21:09:25
Last accessed : 06/06/2004 8:11:26
Last modified : 04/06/2004 21:09:25
Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 11
Reanalyzing scan result
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
No objects have been removed from the result list.
10:11:28 Scan complete
Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:23:22:391
Objects scanned :178646
Objects identified :11
Objects ignored :0
New objects :11
Lavasoft Ad-aware Personal Build 6.181
Logfile created on :domingo, 06 de junio de 2004 10:25:12
Created with Ad-aware Personal, free for private use.
Using reference-file :01R314 02.06.2004
______________________________________________________
Reffile status:
=========================
Reference file loaded:
Reference Number : 01R314 02.06.2004
Internal build : 246
File location : C:\Archivos de programa\Lavasoft\Ad-aware 6
\reflist.ref
Total size : 1201492 Bytes
Signature data size : 1181377 Bytes
Reference data size : 20051 Bytes
Signatures total : 26331
Target categories : 10
Target families : 491
Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium IV
Memory available:14 %
Total physical memory:523760 kb
Available physical memory:71744 kb
Total page file size:1280520 kb
Available on page file:589368 kb
Total virtual memory:2097024 kb
Available virtual memory:2047728 kb
OS:
Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file
Extended Ad-aware Settings
=========================
Set : Unload recognized processes during scanning
Set : Reanalyze result after scanning, before displaying result list
Set : Run scan as background process (Low CPU usage)
Set : Include basic Ad-aware settings in logfile
Set : Include additional Ad-aware settings in logfile
Set : Let windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Always back up reference file, before updating
Set : Play sound if scan produced a result
06-06-2004 10:25:12 - Scan started. (Custom mode)
Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ThreadCreationTime : 06-06-2004 7:47:01
BasePriority : Normal
#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 06-06-2004 7:47:03
BasePriority : High
#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 06-06-2004 7:47:04
BasePriority : Normal
FileSize : 99 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
Copyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
CompanyName : Microsoft Corporation
FileDescription : Aplicaci
InternalName : services.exe
OriginalFilename : services.exe
ProductName : Sistema operativo Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 7:47:01
Last modified : 24/08/2001 16:00:00
#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 06-06-2004 7:47:04
BasePriority : Normal
FileSize : 11 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
OriginalFilename : lsass.exe
ProductName : Microsoft
Created on : 09/09/2002 17:51:32
Last accessed : 06/06/2004 7:47:01
Last modified : 09/09/2002 17:51:32
#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 06-06-2004 7:47:05
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 7:47:01
Last modified : 24/08/2001 16:00:00
#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 06-06-2004 7:47:05
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 7:47:01
Last modified : 24/08/2001 16:00:00
#:7 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 06-06-2004 7:47:08
BasePriority : Normal
FileSize : 983 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft
Created on : 09/09/2002 17:51:28
Last accessed : 06/06/2004 8:20:02
Last modified : 09/09/2002 17:51:28
#:8 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 06-06-2004 7:47:09
BasePriority : Normal
FileSize : 50 KB
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 7:47:01
Last modified : 24/08/2001 16:00:00
#:9 [hpqcmon.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\
ThreadCreationTime : 06-06-2004 7:47:11
BasePriority : Normal
FileSize : 88 KB
FileVersion : 2.0.0.133
ProductVersion : 2.0.0.133
Copyright : Copyright (C) 2001
FileDescription : HpqCmon MFC Application
InternalName : HpqCmon
OriginalFilename : HpqCmon.EXE
ProductName : HpqCmon Application
Created on : 06/10/2002 22:23:20
Last accessed : 06/06/2004 7:47:01
Last modified : 06/10/2002 22:23:20
#:10 [hpgs2wnd.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\
ThreadCreationTime : 06-06-2004 7:47:11
BasePriority : Normal
FileSize : 68 KB
FileVersion : 2,3,0,0\
ProductVersion : 2,3,0,0\
Copyright : Copyright
CompanyName : Hewlett-Packard
FileDescription : hpgs2wnd
InternalName : hpgs2wnd
OriginalFilename : hpgs2wnd.exe
ProductName : Hewlett-Packard hpgs2wnd
Created on : 17/04/2002 8:42:56
Last accessed : 06/06/2004 7:47:01
Last modified : 17/04/2002 8:42:56
#:11 [clonecdtray.exe]
FilePath : C:\Archivos de programa\Elaborate Bytes\CloneCD\
ThreadCreationTime : 06-06-2004 7:47:11
BasePriority : Normal
FileSize : 72 KB
FileVersion : 4, 2, 0, 0
ProductVersion : 4, 2, 0, 0
Copyright : Copyright
CompanyName : Elaborate Bytes AG
FileDescription : CloneCD Tray
InternalName : CloneCDTray
OriginalFilename : CloneCDTray.exe
ProductName : CloneCD
Created on : 02/12/2002 14:17:37
Last accessed : 06/06/2004 7:47:11
Last modified : 02/12/2002 14:17:37
#:12 [qttask.exe]
FilePath : C:\Archivos de programa\QuickTime\
ThreadCreationTime : 06-06-2004 7:47:11
BasePriority : Normal
FileSize : 76 KB
FileVersion : 6.1c
ProductVersion : QuickTime 6.1c
CompanyName : Apple Computer, Inc.
InternalName : QuickTime Task
OriginalFilename : QTTask.exe
ProductName : QuickTime
Created on : 29/06/2003 18:13:55
Last accessed : 06/06/2004 7:47:01
Last modified : 29/06/2003 18:13:55
#:13 [lvcoms.exe]
FilePath : C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\
ThreadCreationTime : 06-06-2004 7:47:11
BasePriority : Normal
FileSize : 124 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : LVCom Server
InternalName : LVComS.exe
OriginalFilename : LVComS.exe
ProductName : Logitech ImageStudio
Created on : 25/12/2003 14:40:01
Last accessed : 06/06/2004 7:47:01
Last modified : 10/12/2002 16:54:04
#:14 [logitray.exe]
FilePath : C:\Archivos de programa\Logitech\ImageStudio\
ThreadCreationTime : 06-06-2004 7:47:12
BasePriority : Normal
FileSize : 60 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : ImageStudio Tray Application
InternalName : LogiTray.exe
OriginalFilename : LogiTray.exe
ProductName : Logitech ImageStudio
Created on : 10/12/2002 17:31:34
Last accessed : 06/06/2004 7:47:01
Last modified : 10/12/2002 17:31:34
#:15 [winampa.exe]
FilePath : C:\Archivos de programa\Winamp\
ThreadCreationTime : 06-06-2004 7:47:12
BasePriority : Normal
FileSize : 33 KB
Created on : 13/12/2003 0:50:34
Last accessed : 06/06/2004 7:47:01
Last modified : 13/12/2003 0:50:34
#:16 [realsched.exe]
FilePath : C:\Archivos de programa\Archivos comunes\Real\Update_OB\
ThreadCreationTime : 06-06-2004 7:47:12
BasePriority : Normal
FileSize : 148 KB
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
OriginalFilename : realsched.exe
ProductName : RealOne Player (32-bit)
Created on : 05/02/2004 16:10:02
Last accessed : 06/06/2004 7:47:01
Last modified : 05/02/2004 16:10:02
#:17 [msgplus.exe]
FilePath : C:\Archivos de programa\Messenger Plus! 3\
ThreadCreationTime : 06-06-2004 7:47:12
BasePriority : Normal
FileSize : 156 KB
FileVersion : 3, 0, 0, 92
ProductVersion : 3, 0, 0, 92
Copyright : Copyright (C) 2001-2004
CompanyName : Patchou
FileDescription : Messenger Plus!
InternalName : MsgPlus
OriginalFilename : MsgPlus.exe
ProductName : Messenger Plus! 3
Created on : 30/05/2004 16:41:30
Last accessed : 06/06/2004 7:47:12
Last modified : 30/05/2004 16:41:39
#:18 [pccguide.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 7:47:13
BasePriority : Normal
FileSize : 920 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCCGuide
InternalName : PCCGuide
OriginalFilename : PCCGuide
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:44:44
Last accessed : 06/06/2004 7:47:01
Last modified : 14/11/2003 17:44:44
#:19 [pcclient.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 7:47:13
BasePriority : Normal
FileSize : 620 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCClient
InternalName : PCClient
OriginalFilename : PCClient
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:44:18
Last accessed : 06/06/2004 7:47:01
Last modified : 14/11/2003 17:44:18
#:20 [tmoagent.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 7:47:13
BasePriority : Normal
FileSize : 284 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : TrendMicro Outbreak agent
InternalName : TMOAgent
OriginalFilename : TMOAgent.EXE
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:43:06
Last accessed : 06/06/2004 7:47:01
Last modified : 14/11/2003 17:43:06
#:21 [navapw32.exe]
FilePath : C:\ARCHIV~1\NORTON~1\
ThreadCreationTime : 06-06-2004 7:47:13
BasePriority : Normal
FileSize : 77 KB
FileVersion : 8.07.17
ProductVersion : 8.07.17
Copyright : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Agent
InternalName : NAVAPW32
OriginalFilename : NAVAPW32.EXE
ProductName : Norton AntiVirus
Created on : 25/03/2002 11:25:26
Last accessed : 06/06/2004 7:47:01
Last modified : 25/03/2002 11:25:26
#:22 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 06-06-2004 7:47:14
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 09/09/2002 17:51:26
Last accessed : 06/06/2004 7:47:01
Last modified : 09/09/2002 17:51:26
#:23 [service.exe]
FilePath : C:\docume~1\toni\datosd~1\
ThreadCreationTime : 06-06-2004 7:47:15
BasePriority : Normal
FileSize : 12 KB
Created on : 03/06/2004 22:34:54
Last accessed : 06/06/2004 7:47:01
Last modified : 03/06/2004 22:34:54
#:24 [backweb-8876480.exe]
FilePath : C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\
ThreadCreationTime : 06-06-2004 7:47:16
BasePriority : Normal
FileSize : 16 KB
Created on : 17/04/2004 5:51:08
Last accessed : 06/06/2004 7:47:01
Last modified : 17/04/2004 4:30:36
#:25 [calcheck.exe]
FilePath : C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\
ThreadCreationTime : 06-06-2004 7:47:17
BasePriority : Normal
FileSize : 56 KB
FileVersion : 4, 0, 0, 0
ProductVersion : 1, 0, 0, 1
Copyright : Copyright (C) 1992-1999.Ulead Systems, Inc.
CompanyName : Ulead Systems, Inc.
FileDescription : Photo Express -- Calendar Checker
InternalName : CalCheck
OriginalFilename : CalCheck.EXE
ProductName : Calendar Checker Application
Created on : 21/10/2003 18:48:47
Last accessed : 06/06/2004 7:47:23
Last modified : 15/03/2001 9:50:56
#:26 [navapsvc.exe]
FilePath : C:\Archivos de programa\Norton AntiVirus\
ThreadCreationTime : 06-06-2004 7:47:18
BasePriority : Normal
FileSize : 113 KB
FileVersion : 8.07.17
ProductVersion : 8.07.17
Copyright : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Service
InternalName : NAVAPSVC
OriginalFilename : NAVAPSVC.EXE
ProductName : Norton AntiVirus
Created on : 25/03/2002 11:26:12
Last accessed : 06/06/2004 7:47:01
Last modified : 25/03/2002 11:26:12
#:27 [hpgs2wnf.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\
ThreadCreationTime : 06-06-2004 7:47:18
BasePriority : Normal
FileSize : 76 KB
FileVersion : 2, 6, 0,
ProductVersion : 2, 6, 0,
Copyright : Copyright 2001
FileDescription : hpgs2wnf Module
InternalName : hpgs2wnf
OriginalFilename : hpgs2wnf.EXE
ProductName : hpgs2wnf Module
Created on : 17/04/2002 8:49:16
Last accessed : 06/06/2004 7:47:01
Last modified : 17/04/2002 8:49:16
#:28 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 06-06-2004 7:47:21
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 7:47:01
Last modified : 24/08/2001 16:00:00
#:29 [taskmgr.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 06-06-2004 7:47:21
BasePriority : High
FileSize : 131 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : Administrador de tareas de Windows
InternalName : taskmgr
OriginalFilename : taskmgr.exe
ProductName : Sistema operativo Microsoft
Created on : 09/09/2002 17:51:38
Last accessed : 06/06/2004 7:47:29
Last modified : 09/09/2002 17:51:38
#:30 [tmntsrv.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 7:47:22
BasePriority : Normal
FileSize : 236 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : Tmntsrv
InternalName : Tmntsrv
OriginalFilename : Tmntsrv.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:50:16
Last accessed : 06/06/2004 7:47:01
Last modified : 14/11/2003 17:50:16
#:31 [tmproxy.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 7:47:26
BasePriority : Normal
FileSize : 200 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : TmProxy.exe
InternalName : TmProxy.exe
OriginalFilename : TmProxy.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:51:24
Last accessed : 06/06/2004 7:42:59
Last modified : 14/11/2003 17:51:24
#:32 [pccpfw.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 7:47:29
BasePriority : Normal
FileSize : 684 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCCPFW
InternalName : PCCPFW
OriginalFilename : PCCPFW.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:47:28
Last accessed : 06/06/2004 7:47:01
Last modified : 14/11/2003 17:47:28
#:33 [lowlight.exe]
FilePath : C:\Archivos de programa\Logitech\ImageStudio\
ThreadCreationTime : 06-06-2004 7:48:11
BasePriority : Normal
FileSize : 52 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : Automatic Low Light Module
InternalName : LowLight.exe
OriginalFilename : LowLight.exe
ProductName : Logitech ImageStudio
Created on : 10/12/2002 17:33:42
Last accessed : 06/06/2004 7:48:09
Last modified : 10/12/2002 17:33:42
#:34 [iexplore.exe]
FilePath : C:\Archivos de programa\Internet Explorer\
ThreadCreationTime : 06-06-2004 7:52:29
BasePriority : Normal
FileSize : 89 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
OriginalFilename : IEXPLORE.EXE
ProductName : Sistema operativo Microsoft
Created on : 19/06/2003 19:16:06
Last accessed : 06/06/2004 7:52:38
Last modified : 09/09/2002 17:51:30
#:35 [excel.exe]
FilePath : C:\Archivos de programa\Microsoft Office\Office\
ThreadCreationTime : 06-06-2004 8:06:34
BasePriority : Normal
FileSize : 6984 KB
FileVersion : 9.0.2719
ProductVersion : 9.0.2719
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Microsoft Excel for Windows
InternalName : Excel
OriginalFilename : Excel.exe
ProductName : Microsoft Office 2000
Created on : 20/03/1999 20:54:56
Last accessed : 06/06/2004 8:06:31
Last modified : 20/03/1999 20:54:56
#:36 [ad-aware.exe]
FilePath : C:\Archivos de programa\Lavasoft\Ad-aware 6\
ThreadCreationTime : 06-06-2004 8:24:37
BasePriority : Idle
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 22/07/2003 11:30:07
Last accessed : 06/06/2004 8:24:37
Last modified : 12/07/2003 20:00:20
Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0
Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
CoolWebSearch Object recognized!
Type : RegValue
Data :
Category : Malware
Comment : "HOMEOldSP"
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Value : HOMEOldSP
Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1
Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Category : Malware
Comment : Possible browser hijack attempt
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Category : Malware
Comment : Possible browser hijack attempt
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\hodhp.dll
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{53E09742-A1D4-4C57-93C3-85464BB2114C}
CoolWebSearch Object recognized!
Type : File
Data : hodhp.dll
Category : Malware
Comment :
Object : c:\windows\system32\
FileSize : 30 KB
Created on : 05/06/2004 12:01:59
Last accessed : 06/06/2004 7:42:17
Last modified : 05/06/2004 12:01:59
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\hodhp.dll
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{EB4F4160-1493-4DA0-9180-D450B96F5D1F}
Trusted zone presumably compromised : 63.219.181.7
Possible Browser Hijack attempt Object recognized!
Type : RegKey
Data :
Category : Vulnerability
Comment : Trusted zone presumably compromised : 63.219.181.7
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\63.219.181.7
CoolWebSearch Object recognized!
Type : RegKey
Data :
Category : Malware
Comment : c:\windows\system32\hodhp.dll
Rootkey : HKEY_CLASSES_ROOT
Obje
-
ontinuacion del post anterior//
#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 06-06-2004 9:02:28
BasePriority : Normal
FileSize : 50 KB
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 8:53:03
Last modified : 24/08/2001 16:00:00
#:8 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 06-06-2004 9:02:28
BasePriority : Normal
FileSize : 983 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft
Created on : 09/09/2002 17:51:28
Last accessed : 06/06/2004 9:03:13
Last modified : 09/09/2002 17:51:28
#:9 [hpqcmon.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\
ThreadCreationTime : 06-06-2004 9:02:31
BasePriority : Normal
FileSize : 88 KB
FileVersion : 2.0.0.133
ProductVersion : 2.0.0.133
Copyright : Copyright (C) 2001
FileDescription : HpqCmon MFC Application
InternalName : HpqCmon
OriginalFilename : HpqCmon.EXE
ProductName : HpqCmon Application
Created on : 06/10/2002 22:23:20
Last accessed : 06/06/2004 9:02:21
Last modified : 06/10/2002 22:23:20
#:10 [hpgs2wnd.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\
ThreadCreationTime : 06-06-2004 9:02:31
BasePriority : Normal
FileSize : 68 KB
FileVersion : 2,3,0,0\
ProductVersion : 2,3,0,0\
Copyright : Copyright
CompanyName : Hewlett-Packard
FileDescription : hpgs2wnd
InternalName : hpgs2wnd
OriginalFilename : hpgs2wnd.exe
ProductName : Hewlett-Packard hpgs2wnd
Created on : 17/04/2002 8:42:56
Last accessed : 06/06/2004 9:02:21
Last modified : 17/04/2002 8:42:56
#:11 [clonecdtray.exe]
FilePath : C:\Archivos de programa\Elaborate Bytes\CloneCD\
ThreadCreationTime : 06-06-2004 9:02:31
BasePriority : Normal
FileSize : 72 KB
FileVersion : 4, 2, 0, 0
ProductVersion : 4, 2, 0, 0
Copyright : Copyright
CompanyName : Elaborate Bytes AG
FileDescription : CloneCD Tray
InternalName : CloneCDTray
OriginalFilename : CloneCDTray.exe
ProductName : CloneCD
Created on : 02/12/2002 14:17:37
Last accessed : 06/06/2004 9:02:31
Last modified : 02/12/2002 14:17:37
#:12 [qttask.exe]
FilePath : C:\Archivos de programa\QuickTime\
ThreadCreationTime : 06-06-2004 9:02:31
BasePriority : Normal
FileSize : 76 KB
FileVersion : 6.1c
ProductVersion : QuickTime 6.1c
CompanyName : Apple Computer, Inc.
InternalName : QuickTime Task
OriginalFilename : QTTask.exe
ProductName : QuickTime
Created on : 29/06/2003 18:13:55
Last accessed : 06/06/2004 9:02:21
Last modified : 29/06/2003 18:13:55
#:13 [lvcoms.exe]
FilePath : C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\
ThreadCreationTime : 06-06-2004 9:02:32
BasePriority : Normal
FileSize : 124 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : LVCom Server
InternalName : LVComS.exe
OriginalFilename : LVComS.exe
ProductName : Logitech ImageStudio
Created on : 25/12/2003 14:40:01
Last accessed : 06/06/2004 9:02:21
Last modified : 10/12/2002 16:54:04
#:14 [logitray.exe]
FilePath : C:\Archivos de programa\Logitech\ImageStudio\
ThreadCreationTime : 06-06-2004 9:02:32
BasePriority : Normal
FileSize : 60 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : ImageStudio Tray Application
InternalName : LogiTray.exe
OriginalFilename : LogiTray.exe
ProductName : Logitech ImageStudio
Created on : 10/12/2002 17:31:34
Last accessed : 06/06/2004 9:02:21
Last modified : 10/12/2002 17:31:34
#:15 [winampa.exe]
FilePath : C:\Archivos de programa\Winamp\
ThreadCreationTime : 06-06-2004 9:02:32
BasePriority : Normal
FileSize : 33 KB
Created on : 13/12/2003 0:50:34
Last accessed : 06/06/2004 9:02:21
Last modified : 13/12/2003 0:50:34
#:16 [realsched.exe]
FilePath : C:\Archivos de programa\Archivos comunes\Real\Update_OB\
ThreadCreationTime : 06-06-2004 9:02:32
BasePriority : Normal
FileSize : 148 KB
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
OriginalFilename : realsched.exe
ProductName : RealOne Player (32-bit)
Created on : 05/02/2004 16:10:02
Last accessed : 06/06/2004 9:02:21
Last modified : 05/02/2004 16:10:02
#:17 [msgplus.exe]
FilePath : C:\Archivos de programa\Messenger Plus! 3\
ThreadCreationTime : 06-06-2004 9:02:33
BasePriority : Normal
FileSize : 156 KB
FileVersion : 3, 0, 0, 92
ProductVersion : 3, 0, 0, 92
Copyright : Copyright (C) 2001-2004
CompanyName : Patchou
FileDescription : Messenger Plus!
InternalName : MsgPlus
OriginalFilename : MsgPlus.exe
ProductName : Messenger Plus! 3
Created on : 30/05/2004 16:41:30
Last accessed : 06/06/2004 9:02:33
Last modified : 30/05/2004 16:41:39
#:18 [pccguide.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 9:02:33
BasePriority : Normal
FileSize : 920 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCCGuide
InternalName : PCCGuide
OriginalFilename : PCCGuide
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:44:44
Last accessed : 06/06/2004 9:02:21
Last modified : 14/11/2003 17:44:44
#:19 [pcclient.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 9:02:33
BasePriority : Normal
FileSize : 620 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCClient
InternalName : PCClient
OriginalFilename : PCClient
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:44:18
Last accessed : 06/06/2004 9:02:21
Last modified : 14/11/2003 17:44:18
#:20 [tmoagent.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 9:02:33
BasePriority : Normal
FileSize : 284 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : TrendMicro Outbreak agent
InternalName : TMOAgent
OriginalFilename : TMOAgent.EXE
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:43:06
Last accessed : 06/06/2004 9:02:21
Last modified : 14/11/2003 17:43:06
#:21 [navapw32.exe]
FilePath : C:\ARCHIV~1\NORTON~1\
ThreadCreationTime : 06-06-2004 9:02:34
BasePriority : Normal
FileSize : 77 KB
FileVersion : 8.07.17
ProductVersion : 8.07.17
Copyright : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Agent
InternalName : NAVAPW32
OriginalFilename : NAVAPW32.EXE
ProductName : Norton AntiVirus
Created on : 25/03/2002 11:25:26
Last accessed : 06/06/2004 9:02:21
Last modified : 25/03/2002 11:25:26
#:22 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 06-06-2004 9:02:34
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 09/09/2002 17:51:26
Last accessed : 06/06/2004 9:02:21
Last modified : 09/09/2002 17:51:26
#:23 [service.exe]
FilePath : C:\docume~1\toni\datosd~1\
ThreadCreationTime : 06-06-2004 9:02:35
BasePriority : Normal
FileSize : 12 KB
Created on : 03/06/2004 22:34:54
Last accessed : 06/06/2004 9:02:21
Last modified : 03/06/2004 22:34:54
#:24 [backweb-8876480.exe]
FilePath : C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\
ThreadCreationTime : 06-06-2004 9:02:35
BasePriority : Normal
FileSize : 16 KB
Created on : 17/04/2004 5:51:08
Last accessed : 06/06/2004 9:02:21
Last modified : 17/04/2004 4:30:36
#:25 [navapsvc.exe]
FilePath : C:\Archivos de programa\Norton AntiVirus\
ThreadCreationTime : 06-06-2004 9:02:37
BasePriority : Normal
FileSize : 113 KB
FileVersion : 8.07.17
ProductVersion : 8.07.17
Copyright : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Service
InternalName : NAVAPSVC
OriginalFilename : NAVAPSVC.EXE
ProductName : Norton AntiVirus
Created on : 25/03/2002 11:26:12
Last accessed : 06/06/2004 8:51:19
Last modified : 25/03/2002 11:26:12
#:26 [hpgs2wnf.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\
ThreadCreationTime : 06-06-2004 9:02:38
BasePriority : Normal
FileSize : 76 KB
FileVersion : 2, 6, 0,
ProductVersion : 2, 6, 0,
Copyright : Copyright 2001
FileDescription : hpgs2wnf Module
InternalName : hpgs2wnf
OriginalFilename : hpgs2wnf.EXE
ProductName : hpgs2wnf Module
Created on : 17/04/2002 8:49:16
Last accessed : 06/06/2004 8:53:03
Last modified : 17/04/2002 8:49:16
#:27 [calcheck.exe]
FilePath : C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\
ThreadCreationTime : 06-06-2004 9:02:39
BasePriority : Normal
FileSize : 56 KB
FileVersion : 4, 0, 0, 0
ProductVersion : 1, 0, 0, 1
Copyright : Copyright (C) 1992-1999.Ulead Systems, Inc.
CompanyName : Ulead Systems, Inc.
FileDescription : Photo Express -- Calendar Checker
InternalName : CalCheck
OriginalFilename : CalCheck.EXE
ProductName : Calendar Checker Application
Created on : 21/10/2003 18:48:47
Last accessed : 06/06/2004 9:03:00
Last modified : 15/03/2001 9:50:56
#:28 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 06-06-2004 9:02:40
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 24/08/2001 16:00:00
Last accessed : 06/06/2004 8:53:03
Last modified : 24/08/2001 16:00:00
#:29 [tmntsrv.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 9:02:45
BasePriority : Normal
FileSize : 236 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : Tmntsrv
InternalName : Tmntsrv
OriginalFilename : Tmntsrv.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:50:16
Last accessed : 06/06/2004 8:53:03
Last modified : 14/11/2003 17:50:16
#:30 [tmproxy.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 9:02:46
BasePriority : Normal
FileSize : 200 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : TmProxy.exe
InternalName : TmProxy.exe
OriginalFilename : TmProxy.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:51:24
Last accessed : 06/06/2004 8:53:03
Last modified : 14/11/2003 17:51:24
#:31 [pccpfw.exe]
FilePath : C:\Archivos de programa\Trend Micro\Internet Security\
ThreadCreationTime : 06-06-2004 9:02:48
BasePriority : Normal
FileSize : 684 KB
FileVersion : 11.0.0.1295
ProductVersion : 11.0.0
Copyright : Copyright (C) 1995-2003 Trend Micro Incorporated. All rights reserved.
CompanyName : Trend Micro Incorporated.
FileDescription : PCCPFW
InternalName : PCCPFW
OriginalFilename : PCCPFW.exe
ProductName : Trend Pc-cillin 11
Created on : 14/11/2003 17:47:28
Last accessed : 06/06/2004 8:53:03
Last modified : 14/11/2003 17:47:28
#:32 [lowlight.exe]
FilePath : C:\Archivos de programa\Logitech\ImageStudio\
ThreadCreationTime : 06-06-2004 9:03:29
BasePriority : Normal
FileSize : 52 KB
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
Copyright : (c) 1996-2002 Logitech. All rights reserved.
CompanyName : Logitech Inc.
FileDescription : Automatic Low Light Module
InternalName : LowLight.exe
OriginalFilename : LowLight.exe
ProductName : Logitech ImageStudio
Created on : 10/12/2002 17:33:42
Last accessed : 06/06/2004 9:03:26
Last modified : 10/12/2002 17:33:42
#:33 [ad-aware.exe]
FilePath : C:\Archivos de programa\Lavasoft\Ad-aware 6\
ThreadCreationTime : 06-06-2004 9:05:02
BasePriority : Idle
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 22/07/2003 11:30:07
Last accessed : 06/06/2004 9:03:13
Last modified : 12/07/2003 20:00:20
Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0
Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
CoolWebSearch Object recognized!
Type : RegValue
Data :
Category : Malware
Comment : "HOMEOldSP"
Rootkey : HKEY_CURRENT_USER
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Value : HOMEOldSP
Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1
Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 1
Deep scanning and examining files (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Disk scan result for C:\
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 1
Scanning Hosts file(C:\WINDOWS\System32\drivers\etc\hosts)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Hosts file scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
1 entries scanned.
New objects :0
Objects found so far: 1
Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 1
Reanalyzing scan result
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
No objects have been removed from the result list.
11:23:29 Scan complete
Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:18:20:110
Objects scanned :178504
Objects identified :1
Objects ignored :0
New objects :1
-
Ok, vas a ir a http://www.spywareinfo.com/~merijn/files/HijackThis.exe y te vas a bajar el HijackThis. Poenlo en una carpeta propia, como C:\HijackThis. Luego abrilo, apretá Scan, luego Save log, luego dale Save y luego copiá TODO lo que está en el Bloc de notas y pegalo acá.
-
Otra cosina... si usas windows XP o windows Millenium debes de desactivar previamente al escaneo del pc y desinfección la opción de "Restaurar sistema". Después reiniciando en modo a prueba de fallos o modo seguro no deberías de tener problema para escanear el pc conn los programas que te han recomendado y con el antivirus y eliminar los resultados que te aparezcan. Eso si, asegurate muy mucho de actualizar la base de datos de los programas antivirus y antyspy antes de los escaneos. Si no de poco servirán.
Cuando finalices el análisis y desinfección vuelve a activar la opción restaurar sistema.
A ver si hay suerte!!
PD:
* Para iniciar el pc en modo a prueba de fallos (diferentes métodos) :
http://www.alerta-antivirus.es/seguridad/ver_pag.html?tema=V&articulo=11&pagina=1
http://www.aclantis.com/article3006.html
* Restaurar sistema en XP :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/sldocid/20020515173946924
* Restaurar sistema en Me:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/sldocid/20020515174221924
-
Gracias Goonie!
Tiene XP.
-
Esto es lo que pone el analisis de hijack:
Logfile of HijackThis v1.97.7
Scan saved at 17:35:19, on 08/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\docume~1\toni\datosd~1\service.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\Archivos de programa\Logitech\ImageStudio\LowLight.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Toni\Escritorio\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {21831F49-AD0B-4853-B645-A59CFB5B7EE3} - C:\WINDOWS\System32\opm.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [SizeWma] C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [System Update4] c:\docume~1\toni\datosd~1\service.exe
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: http://*.nuker.com
O15 - Trusted Zone: http://*.spywarenuker.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100
Saludos
-
Ya no es solo el WebDialer, que parece que no sale, ya es que de vez en cuando sale un acceso directo en el escritorio que es un icono cuadrado con una X y con el titulo de Hot Line Show.
Me salen varias veces al dia mensajes que dicen que Windows a detectado que tengo spywarw maligno en el ordenador y me da la opcion de si quiero descargarlo, llo cierro directamente con la cruz.
Otras veces tambien sale que esta instalando el Office 2000 y sigue la instalacion hasta que pide el disco. momento en que borro.
En otras ocasiones cuando cambio de pagina o estoy navegando se lanza y abre una pagina donde dice que he de descargar un contolador o algo asi.
Las direcciones que tengo bloqueadas u que insisten en entrar en el sistema son en principio dos:
la 'http://66.230.167.185/e.html
y la 'http://www.casinopalazzo.com/index.php?sourced=100806
y esta misma direccion con los ultimos numeros cambiados.
Si quereis imagenes de las ventanas y poput tengo capturas de pantalla, ya direis si os las pongo.
Decir que ahora mismo tengo instalado:
-. El Norton 2002 actualizado (me caduca la subscripcion el 26 de Junio de 2004)
-. El Tren Micro Internet Security
-. El Ad-aware 6.0 version Built 6.181 con archivo de referencia 01R315
-. El Trojan Remove 6.2.3
-. El HijackThis v1.97.7
Con todo esta no soy capaz de detener las famosas ventanas ni el redireccionamiento de las paginas.
El Norton, una de las veces detecto y elimino el VBS.StarPage.C que me detectaba y no lo odoa encontrar.
Asi mismo ha estado detectando al reiniciar el ordenador un scrip malicioso pero que lo pongo a buscar en el ordenador y no lo encuentra y cuando paso el antivirus no sale nada.
Se que os estoy molestando mucho pero es que estoy casi desesperado, si estare harto y desanimado que la opcion del formateo ronda por mi cabeza aun a sabiendas que perdere informacion y que me costara muucho trabajo recuperarlo.
Gracias anticipadas por vuestra dedicacion y vuestro tiempo
Saludos
-
El que te aparezcan ventanas emergentes como si fueran del propio windows, tiene toda la pinta de ser el Messenger Service. Cutipasteo aqui lo que Miyu ya ha respondido en algun que otro post al respecto, sin su permiso. ;) :lol:
Vete a Inicio ---> Configuración ---> Panel de control ---> Herramientas Administrativas ---> Servicios:Aqui busca Mensajero, clika con el botón derecho sobre él, vete a Propiedades, y en General elige Detener o Deshabilitar.
Esto cosecha propia. ;)
Inicio -> Ejecutar -> services.msc -> aceptar ->Aqui busca Mensajero, clika con el botón derecho sobre él, vete a Propiedades, y en General elige Detener o Deshabilitar.
Ambas soluciones son la misma pero por distintos caminos.
Otra cosilla mas, me ha llamado la atencion esto:
C:\docume~1\toni\datosd~1\service.exe , dentro de documents and settings, y dentro de datos de programa, un ejecutable corriendo, me mosquea mucho el tema, a ver si alguien confirma o rebate la sospecha.
-
Pero fijate que no a todo el mundo le sirve lo que propone Miyu.
Si es este tu caso, por favor bajate el Shoot The Messenger de http://grc.com/stm/shootthemessenger.htm . Asimismo bajate el DCOMbobulator de http://grc.com/dcom/ y el Unplug 'n Pray de http://grc.com/unpnp/unpnp.htm . Correlos los tres de modo tal que desactiven los respectivos servicios.
Por otra parte ni pienses en el formateo, que no es necesario. ¿Tenés un firewall? ¿Cuál?
Vamos ahora al log del HijackThis. Por ahora sólo leé lo que pongo, no hagas nada hasta que te lo pida.
Lo primero que salta a la vista es este archivo que está corriendo:
C:\docume~1\toni\datosd~1\service.exe
Este service.exe es una de las porquerías que tenés en la máquina. Según lo que dice aquí http://www.liutilities.com/products/wintaskspro/processlibrary/service/ fue agregado por el virus Worm.Win32.Raleka.
Entonces vamos a empezar por el principio.
Andá a TODOS los siguientes antivirus online y realizá un escaneo. Borrá todo lo que encuentren:
http://security.symantec.com/
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
Luego de hacer eso reiniciá la máquina y publicá un nuevo log de HijackThis.
Tené en cuenta, para tu información, que tener el HijackThis no te salva de ningún problema. No es un antivirus o un firewall. Es por otra parte una poderosísima herramienta que mal utilizada puede provocar daños irreparables a la computadora, así que hay que manejarla con precaución y siempre de la mano de un experto, para evitar problemas.
-
Se me olvido comentaros que tambien tengo el Spybot -Search&Destroy y el XPAntiSpy.
fedelf cuando he mirado lo que comentabas del Mensajero ya estaba desabilitado.
Entiendo que al estar desconectado parte de lo que me comentas:
Si es este tu caso, por favor bajate el Shoot The Messenger de http://grc.com/stm/shootthemessenger.htm . Asimismo bajate el DCOMbobulator de http://grc.com/dcom/ y el Unplug 'n Pray de http://grc.com/unpnp/unpnp.htm . Correlos los tres de modo tal que desactiven los respectivos servicios.
no tengo que hacerlo.
Por lo que paso al siguiente punto que seria pasar todos los antivirus en linea.
Respecto al firewall el Trend Micro ya lleva uno incorpaorado (decir que este antivirus lo he puesto a raiz de la infeccion, antes no tenia ninguno), me fiaba del router 3COM OFICE 512.
Siguen saliendo paginas, mienmtras escribo esto se me cambia ella sola a hxxp://www . popupcommander . com/cb/?hop=x000000x
En fin vamos a probar lo de los antivirus y ya os dire algo.
Saludos
:!: URL editada por FatsGordon :!:
-
Entiendo que al estar desconectado parte de lo que me comentas:
Si es este tu caso, por favor bajate el Shoot The Messenger de http://grc.com/stm/shootthemessenger.htm. Asimismo bajate el DCOMbobulator de http://grc.com/dcom/ y el Unplug 'n Pray de http://grc.com/unpnp/unpnp.htm. Correlos los tres de modo tal que desactiven los respectivos servicios.
no tengo que hacerlo.
Primero, trata de no poner URLs "vivos", porque cualquier tonto podría entrar y contagiarse de algo. Ya lo corregí.
Segundo, no importa si ya tenés desactivados o no los servicios. Bajalos igual porque son programas chiquititos y te sacan de cualquier duda.
Esperamos la info de los virus y el nuevo log.
-
Hola, he hecho lo queme decias y de los tres primeros enlaces el primero y el tercero no se abren, me dicen pagina no encontrada.
De los antivirus el tTrend Micro cuando le doy a escanear me cierra todas la ventans de internet, lo he probado varias veces.
Puede ser porque lo tengo instalado???
el norton me haborrado algo y no me he acrdoado de copiarlo pero del panda si:
Incident Status Location
Virus:Trj/Bespy.A Disinfected Operating system
Virus:Trj/Downloader.GK No disinfected C:\Documents and Settings\Toni\Configuración local\Temp\THI278.tmp\twaintec.cab[polall1t.exe]
Virus:Trj/Downloader.EC Disinfected C:\Documents and Settings\Toni\Escritorio\Norton LiveUpdate Subscription enhancer_Until.29.12.2029.zip[start.exe]
Virus:Trj/Downloader.EC Disinfected C:\Documents and Settings\Toni\Escritorio\start.exe
Virus:Trj/Runet.A Disinfected C:\WINDOWS\homepage.htm
Virus:Trj/Runet.A Disinfected C:\WINDOWS\odbs.log
Y el del RAV Antivirus:
Scan started at 09/06/2004 0:22:10
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\mailtool.dll - Win32/NewMalware.gen! -> Suspicious
C:\Documents and Settings\Toni\Configuración local\Temp\alchem.cab->alchem.exe - TrojanDownloader:Win32/Alchemic.A -> Infected
C:\Documents and Settings\Toni\Configuración local\Temp\msx.exe->(UPXW) - Tool:PornDialer.gen! -> Infected
C:\Documents and Settings\Toni\Configuración local\Temp\THI278.tmp\twaintec.cab->twaintec.dll - Trojan:Win32/Spy.BiSpy.C -> Infected
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(UPXW)->(RARSfx)->s\Trivial\ircaptrivial.mrc - IRC/Generic* -> Suspicious
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(UPXW)->(RARSfx)->s\sockets.mrc - IRC/Generic* -> Suspicious
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(RARSfx)->s\Trivial\ircaptrivial.mrc - IRC/Generic* -> Suspicious
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(RARSfx)->s\sockets.mrc - IRC/Generic* -> Suspicious
C:\WINDOWS\system32\d2kndr.exe - Tool:PornDialer.HQ -> Infected
C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\U81JN2PH\m[1].bin - Trojan:Win32/StartPage.GV.dam#2 -> Infected
Scanned
============================
Objects: 54510
Directories: 4522
Archives: 1479
Size(Kb): 834083
Infected files: 5
Found
============================
Viruses found: 5
Suspicious files: 5
Disinfected files: 0
Mail files: 121
Por cierto de este ultimo no encuentro la opcion de borrar los archivos y no los puedo borrar.
Ahora reiniciare y pasare el Hijack y os pondre el resultado.
Saludos
-
Logfile of HijackThis v1.97.7
Scan saved at 2:54:32, on 09/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\Documents and Settings\Toni\Escritorio\HijackThis.exe
C:\Archivos de programa\Logitech\ImageStudio\LowLight.exe
C:\Archivos de programa\Symantec\LiveUpdate\AUpdate.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {21831F49-AD0B-4853-B645-A59CFB5B7EE3} - C:\WINDOWS\System32\opm.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [SizeWma] C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [System Update4] c:\docume~1\toni\datosd~1\service.exe
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: http://*.nuker.com
O15 - Trusted Zone: http://*.spywarenuker.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100
Esto es lo que da una vez reiniciado.
Saludos
-
Hola, he hecho lo queme decias y de los tres primeros enlaces el primero y el tercero no se abren, me dicen pagina no encontrada.
Porque tienen un punto al final (equivocado). Ya corregí los enlaces, probá de nuevo.
-
Ahora seguí mis pasos. Es ALTAMENTE probable que parte de lo que hagamos ahora vuelva a aparecer. NO IMPORTA. Lo que quiero es asegurarme de eliminar algunas cosas antes de continuar.
Primero poné el HijackThis dentro de una carpeta propia. NO LO DEJES EN EL ESCRITORIO!!!
Luego desinstalá el MessengerPlus3.
Luego:
Copiá los siguientes archivos a una carpeta en tu escritorio, llamada Basura (para ver todos los archivos seguí las instrucciones en http://www.daboweb.com/phpBB2/viewtopic.php?p=52716#52716 ):
C:\WINDOWS\System32\opm.dll
C:\WINDOWS\System32\msmk.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe
Después:
Cerrá TODOS los programas. Esto INCLUYE las ventanas del navegador. Abrí el HijackThis y poné una marca en SOLAMENTE los siguientes ítemes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {21831F49-AD0B-4853-B645-A59CFB5B7EE3} - C:\WINDOWS\System32\opm.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SizeWma] C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [System Update4] c:\docume~1\toni\datosd~1\service.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O15 - Trusted Zone: http://*.nuker.com
O15 - Trusted Zone: http://*.spywarenuker.com
Luego apretá Fix checked, cerrá el HijackThis y reiniciá la máquina en modo a prueba de fallos (apretando F8 cuando reinicia).
Una vez en modo A prueba de fallos buscá los siguientes archivos y eliminalos:
C:\WINDOWS\System32\opm.dll
C:\WINDOWS\System32\msmk.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe
También eliminá la carpeta CLOSEB~1\. NO BORRES LA CARPETA Basura NI SU CONTENIDO.
Luego reiniciá normalmente y publicá un nuevo log de HT. La máquina todavía no está limpia, seguís teniendo el CWS, pero en el siguiente paso lo vamos a desenmascarar (eso espero...)
-
Hola FatsGordon, unos comentarios previos:
No encontrados y por lo tanto no se pueden copiar a la carpeta BASURA los siguientes archivos:
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe
El archivo Dalabout.exe no esta, No aparece no con el buscador.
El service.exe no es ta en esa carpeta, el buscador pone: service - service.exe - Process Information y esta en la carpeta liutilities ('www.liutilities.com)
El system.exe, el buscador de windows lo encuentra en C:\Documents and Setting\All Users\Datos de programa\Spybot - Search&Destroy\Recover\HeltzLittleSpy.zip
------------------------------------------------------------------------------
La entrada 04 - HKLM\..\Run:[messengerPlus] "C:\Archivos de programa\Messenger Plus!3MsgPlus.exe" no la encontre por lo que no fue marcada.
Una vez reiniciado en modo a prueba de fallos busco los archivos para borrarlos y no encuentro los siguientes:
C:\WINDOWS\System32\opm.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\Sustem32\system.exe
por lo que no son borrados.
----------------------------------------------------------
El log del HT despues de reiniciar el ordenador es el siguiente:
Logfile of HijackThis v1.97.7
Scan saved at 3:13:46, on 10/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\hijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C81B3D98-CAD3-4D2E-AABA-00B4F2595918} - C:\WINDOWS\System32\eiiibaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100
Saludos
-
No encontrados y por lo tanto no se pueden copiar a la carpeta BASURA los siguientes archivos:
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe
El archivo Dalabout.exe no esta, No aparece no con el buscador.
El service.exe no es ta en esa carpeta, el buscador pone: service - service.exe - Process Information y esta en la carpeta liutilities ('www.liutilities.com)
El system.exe, el buscador de windows lo encuentra en C:\Documents and Setting\All Users\Datos de programa\Spybot - Search&Destroy\Recover\HeltzLittleSpy.zip
No importa, ya no están, evidentemente. El service.exe es un archivo malware, parece de sistema pero no lo es. El system.exe probablemente te lo haya eliminado el SpyBot y lo que quedó lo eliminamos con el HijackThis (la llamada).
La entrada 04 - HKLM\..\Run:[messengerPlus] "C:\Archivos de programa\Messenger Plus!3MsgPlus.exe" no la encontre por lo que no fue marcada.
Si desinstalaste el MessengerPlus, es lógico que no la encuentres.
Una vez reiniciado en modo a prueba de fallos busco los archivos para borrarlos y no encuentro los siguientes:
C:\WINDOWS\System32\opm.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\Sustem32\system.exe
por lo que no son borrados.
Ok.
Lo que queda ahora, luego de limpiar (por eso fue útil limpiar primero), es el CWS about:blank. Como te dije, parte de lo que eliminamos volvió... :)
Para limpiarlo empecemos por saber quién es el que provoca esto.
Seguí mis instrucciones:
Bajate 'Dllfix.exe' de:
http://tools.zerosrealm.com/dllfix.exe
Es un archivo autoextraíble; hacé doble click en él.
Abrí la carpeta DLLFIX y hacé doble click en Start.bat.
En el menú principal presioná '1' (Run Find-All by FreeAtLast) y enter.
Dejá que el programa corra.
Cuando termine, presioná 'E' para salir.
Abrí la carpeta DLLFix.
1. Publicá los contenidos de Output.txt.
2. Publicá también los contenidos de Windows.txt.
-
Hola esto es lo que pone en el Output.txt
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
10/06/2004
16:40
System Info:
Microsoft Windows XP [Versi¢n 5.1.2600]
C: "" (68C6:21AA) - FS:NTFS clusters:4k
Total: 80 015 491 072 [75G] - Free: 37 668 724 736 [35G]
*IE version and Service packs:
6.0.2800.1106 C:\Archivos de programa\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\system32\notepad.exe
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Archivos de programa\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q818529;Q330994;Q822925;
Locked or 'Suspect' file(s) found...
Scanning for main Hijacker:
File found was C:\WINDOWS\System32\EIIIBAA.DLL
Md5 tested As 4E24A18F3A557AF479219E47E27B8B59
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C81B3D98-CAD3-4D2E-AABA-00B4F2595918}]
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{23D0A32D-9B66-4807-B37C-BAD2C2D676B6}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{23D0A32D-9B66-4807-B37C-BAD2C2D676B6}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Usuarios
(IO) ALLOW Read BUILTIN\Usuarios
(NI) ALLOW Read BUILTIN\Usuarios avanzados
(IO) ALLOW Read BUILTIN\Usuarios avanzados
(NI) ALLOW Full access BUILTIN\Administradores
(IO) ALLOW Full access BUILTIN\Administradores
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(NI) ALLOW Full access BUILTIN\Administradores
(IO) ALLOW Full access CREATOR OWNER
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Usuarios
Read BUILTIN\Usuarios avanzados
Full access BUILTIN\Administradores
Full access NT AUTHORITY\SYSTEM
�
Saludos
-
Y este es de Winwows.txt
regf� � � � � � � Pugf hbin � ¨ÿÿÿnk, †�<×LGÄ� ÿÿÿÿ ÿÿÿÿÿÿÿÿ� @� x ÿÿÿÿ 0 @ T � Windows Èþÿÿsk x x � �� � �” � �� � � ì
� � � �� � !�
� €�� � !� � � � �� � #�
� €�� � #� � ? � �� � �
� ��� � � � ? � �� ��
� ��� �� � ? � �� � �
� ��� � �� � � �� �� Øÿÿÿvk @ Ø� � � fùAppInit_DLLsÖæG¸ÿÿÿC : \ W I N D O W S \ S y s t e m 3 2 \ s q l e n k d . d l l p p � °� Ðÿÿÿvk� � X� � � ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5 � o£Þ—ðÿÿÿ9 0 � HZ� Ðÿÿÿvk� � €�' � � ��GDIProcessHandleQuota,2àÿÿÿvk� � È� � � � Spoolerwðÿÿÿy e s éÔ=p� °� (� x� ¨� ð� àÿÿÿvk� � € � � . swapdiskÐÿÿÿvk� � h� � � J TransmissionRetryTimeoutàÿÿÿ°� (� x� ¨� ð� �� `� Ðÿÿÿvk� � €�' � � , USERProcessHandleQuota, p
Saludos
-
Ok, ya la tenemos a la vista. Se trata del archivo sqlenkd.dll
Tal vez si lo buscás (no te pido que lo hagas) no lo encuentres. Vamos a seguir la "receta" al pie de la letra, a ver si podemos eliminarlo.
Ahora hacé lo siguiente:
Abrí la carpeta DLLFIX y hacé doble click en Start.bat.
En el menú principal poné '2' (Run Fix) y apretá Enter.
En el segundo menú apretá '1' (Enter DLL Name Manually) y Enter.
En el prompt ingresá: sqlenkd.dll y apretá Enter.
El sistema reiniciará sólo en 15 segundos y comenzará la cura.
Cuando termine habrá un archivo llamado log.txt en la carpeta DLLFIX. Publicá el contenido de ese archivo.
-
Este es el resultado que muestra el archivo logs.txt:
CWSDLL/Searchx Appinit Fix By Shadowwar
Version 3.01 060504
Please Do not mirror Without Permission!
I can be contacted at spywaresubmit at aol.com
10/06/2004
18:08
Backing up Registry Hive
La operación finalizó correctamente
Deleting Windows Key
La operación finalizó correctamente
Adding Test Windows Key
La operación finalizó correctamente
Restoring temp Values Key
La operación finalizó correctamente
Deleting Bad Appinit Value
La operación finalizó correctamente
Backup of Modified Hiv
La operación finalizó correctamente
Deleting test Windows key
La operación finalizó correctamente
Deleting Filter text
Running from C:\Documents and Settings\Toni\Escritorio\dllfix
Scanning for Locked File
Unlocking Locked File
C:\WINDOWS\System32\SQLENKD.DLL
Scanning For main hijacker.
Found Main Hijacker Dll:C:\WINDOWS\System32\EIIIBAA.DLL
Md5 tested As 4E24A18F3A557AF479219E47E27B8B59
Processing File Manually
C:\WINDOWS\system32\sqlenkd.dll
Md5 Check of C:\WINDOWS\system32\sqlenkd.dll
Md5 tested As C185B36F9969D3A6D2122BA7CBC02249
Md5 matched known baddies.
Processing and Deleting File.
Processing ACL of: <\\?\C:\WINDOWS\system32\sqlenkd.dll>
SetACL finished successfully.
File was successfully Deleted.
Please Run Hijackthis or Cwshredder to finish cleanup.
Adding Back Windows Key
La operación finalizó correctamente
Restoring Registry Hive
La operación finalizó correctamente
Restoring Cleaned Appinit Value
La operación finalizó correctamente
Saludos
-
Muy bien!!!! Ya vamos llegando. :D
El archivo fue eliminado. Ahora reiniciá la máquina y lo primero que vas a hacer es correr el HijackThis. Luego publicá el log.
Lo que sigue ahora es la limpieza final, así que falta poquitito...
-
Este es el log del HT:
Logfile of HijackThis v1.97.7
Scan saved at 19:05:39, on 10/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\hijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C81B3D98-CAD3-4D2E-AABA-00B4F2595918} - C:\WINDOWS\System32\eiiibaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100
No me canso de daros las gracias por el tiempo que dedicais a ayudar a los que necesitamos de vuestros consejos y ayuda.
Saludos
-
Para eso estamos (cuando podemos ;) ).
Nuevamente cerrá TODOS los programas y (MUY IMPORTANTE) ventanas del navegador y abrí el HT. Presioná Scan y a continuación marcá los siguientes ítemes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {C81B3D98-CAD3-4D2E-AABA-00B4F2595918} - C:\WINDOWS\System32\eiiibaa.dll
y apretá Fix checked. Cerrá el HT. Actualizá el Ad-aware (sólo actualizalo) y reiniciá en modo a prueba de fallos. Buscá el archivo C:\WINDOWS\System32\eiiibaa.dll y ELIMINALO (sin asco).
Después abrí el Ad-aware y realizá un escaneo FULL (Custom), creo que ya hicimos, sino fijate en este mismo foro cómo se hace (es la segunda opción de las tres que hay) y qué hay que setear. ELIMINÁ todo lo que encuentres. Luego reiniciá en modo normal y hacé lo mismo. Luego reiniciá otra vez (modo normal) y publicá un nuevo log del HijackThis.
-
Por las dudas, fijate que lo acabo de editar (le agregué la eliminación del archivo C:\WINDOWS\System32\eiiibaa.dll.
-
El archivo C:\Windows\System32\eiiiba.dll no lo encuentro.
Lo busco estado en Modo Prueba de Fallos y no aparece:
Este es el Log del HT:
Logfile of HijackThis v1.97.7
Scan saved at 23:56:30, on 11/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\hijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100
Saludos
-
Ese log se ve límpio... ¿Cómo sentís la máquina? ¿Funciona bien?
-
Va mucho mejor pero creo que el problema no se ha ido, te explico:
De vez en cuando al abrir una pagina se me abre una en blanco con el titulo de internet explorer, y sucede que en ocasiones cuando la cierro se me cierran todas las ventanas de internet, todas, ahora es la segunda vez que escribo este post porque se han cerrado todas las paginas y he perdido todo lo que estaba escrito.
En otras ocasiones al abrir determinadas paginas me sale el programa de instalacion de Microsot Office 2000 Premium que se para cuando te pide el disco.
Las paginas que he detectado que al abrirlas sale el mensaje de instalcion DE Windows son:
'http://diablopesca.webcindario.com/
'http://ramalolo.webcindario.com/
Estas paginas son de dos compañeros de pesca.
Le he pasado el SpyBot y dice que tengo el WebDialer y el archivo HomeOLDSP y que no me lo puede borrar, sin embargo le he pasdo el Ad-Aware me dice que no hay nada.
Dime que es lo que hice mal o que puede ser, porque antes no me ocurria nada de esto.
Saludos
PD/ Disculpa mi torpeza
-
No hay problemas! :D
Por favor, publicá un nuevo log de HijackThis, y veremos a continuación.
-
Aqui tienes el log.
Logfile of HijackThis v1.97.7
Scan saved at 19:20:59, on 15/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Documents and Settings\Toni\Escritorio\Toni\protect p2p\P2PHazard.exe
C:\Archivos de programa\PeerGuardian_1.98b\PeerGuardian_1.98b.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Microsoft Office\Office\EXCEL.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\hijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Zero Popup - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - C:\ARCHIV~1\ZEROPO~1\ZERO-P~1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {03177121-226B-11D4-B0BE-005004AD3039} (UploaderCtrl Class) - http://members16.clubphoto.com/_img/uploader/atl_uploader.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100
Saludos
-
talgo, yo no veo nada raro, salvo el Messenger Plus. Fijate qué sucede si lo desinstalás. Si querés volverlo a instalar después, sé consciente de los problemas que te puede acarrear.
-
Muchas gracias por la ayuda prestada.
Una cosa, que hago con la carpeta BASUR, la puedo eliminar??, y los programas que me baje?? la verdad es que salvo el adaware y el HT los otros tres no se ni como funcionan.
Mi mas sincera gratitud por la ayuda prestada.
Saludos
-
Oh, si no te lo dije lo hago ahora.
Lo que tenés en la carpeta BASURA son archivos que necesitamos en Lavasoft para mejorar la capacidad de detección del Ad-aware. Si sos tan amable de remitirlos al enlace en mi firma te lo vamos a agradecer. Ellos después los estudian y, como por ejemplo en el caso de fedelf (mirá el post en este mismo foro), se incorporan el o los archivos y lo que puedan generar a la detección y eliminación por parte del Ad-aware. Justamente los que tenés en la carpeta no fueron detectados.
Una vez en el enlace completá los campos. Todos los archivos que tengas ahí podés hacerlos uno solo con el Winzip. Copiá el path completo al archivo (lo vas a encontrar en la parte superior del Explorer, por ejemplo C:\BASURA\porqueria.zip) en el tercer campo, en el cuarto y último poné "As per FatsGordon request" sin las comillas, y apretá el botón Submit new or...
Una vez hecho esto podés borrar la carpeta con todo lo que tiene adentro.
Los otros programas dejalos, creo que son chiquitos. Espero que no tengas que usarlos nunca más, pero por las dudas... Si querés eliminarlos, eliminalos. Eso manejalo a tu gusto.
Un abrazo, y me alegro que todo ande bien! :D
-
Mandado el archivo comprimido Lavasof.
Gracias de nuevo y si necesitais algo por aqui andare.
Saludos
-
Gracias a vos por tu ayuda!!! :D