Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: rocha en 18 de Marzo de 2005, 10:08:07 pm

Título: Mi log de hijackthis
Publicado por: rocha en 18 de Marzo de 2005, 10:08:07 pm

Segun dice la pagina de Hijackthis ( http://www.hijackthis.de/ )  tengo visita, me gustaria confirmarlo :twisted:

Logfile of HijackThis v1.99.1
Scan saved at 20:05:56, on 18/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107285582343
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Título: Mi log de hijackthis
Publicado por: FatsGordon en 18 de Marzo de 2005, 10:41:04 pm

No te fíes de los analizadores. Lo que te dice éste es que no deberías tener la entrada en el archivo hosts.

La pregunta es si dicha entrada la pusiste vos o si ni sabías que existía, y (OJO) siempre hablando de una máquina hogareña, porque si estamos en un trabajo y el archivo de hosts tiene contenido primero habría que averiguar si no lo hicieron así los administradores...

Por lo demás yo no noto nada raro...

Título: Mi log de hijackthis
Publicado por: rocha en 18 de Marzo de 2005, 10:46:38 pm

Cita de: FatsGordon

No te fíes de los analizadores. Lo que te dice éste es que no deberías tener la entrada en el archivo hosts.

La pregunta es si dicha entrada la pusiste vos o si ni sabías que existía, y (OJO) siempre hablando de una máquina hogareña, porque si estamos en un trabajo y el archivo de hosts tiene contenido primero habría que averiguar si no lo hicieron así los administradores...

Por lo demás yo no noto nada raro...

Hola FatsGordon   :wink: La entrada creo que se me colo hoy y como suelo analizar el equipo cada semana pues me aparecio esa entrada, no se si debo fiarme de los analizarodores pero cuando me detecta algo siempre voy y pego el log para que los expertos me lo lean por si las moscas... :wink:

Título: Mi log de hijackthis
Publicado por: FatsGordon en 18 de Marzo de 2005, 10:58:39 pm

...y está muy bien.

Por favor, pegale una ojeada a http://www.daboweb.com/phpBB2/viewtopic.php?p=86342#86342 , pero te adelanto que allí aconsejé eliminar la entrada en el HijackThis.

Y después de eso tenés que proteger el archivo hosts para que nadie lo pueda abrir sin que lo sepas...

Había un soft para eso, voy a buscarlo a ver si lo encuentro...

Título: Mi log de hijackthis
Publicado por: rocha en 18 de Marzo de 2005, 11:05:29 pm

Pues te cuento, lo que acabo de hacer es eliminarla en el mismo archivo del hosts, la unica entrada que he dejado es la 127.0.0.1       localhost he reiniciado y ya no esta la entrada que borre, he vuelto a analizar y aqui te dejo el log que aparentemente ya esta limpio ... :wink:  de todas maneras si que me intereza ese soft.. :twisted:

Logfile of HijackThis v1.99.1
Scan saved at 21:57:53, on 18/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107285582343
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Título: Mi log de hijackthis
Publicado por: FatsGordon en 18 de Marzo de 2005, 11:07:44 pm

No pude encontrarlo... :(

Dame un tiempo que voy a ver si en casa lo encuentro.

Me alegro que esté todo limpio ahora :)

Título: Mi log de hijackthis
Publicado por: rocha en 18 de Marzo de 2005, 11:13:57 pm

ok.. :twisted:

Título: Mi log de hijackthis
Publicado por: rocha en 20 de Marzo de 2005, 11:57:31 am

Hola, no se si sera aconsejable hacer la pregunta en este hilo pero como lo abri yo y ya que estamos por aqui puesss.... :wink:

Resulta que tengo el log igualito que arriba pero es que cuando lo hago con internet conectado me sale una 017 que no me sale con internet desconectado, suponia que seria mi IP pero fijandome bien no lo es, yo normalmente cuando utilizo la herramienta Hijackers siempre antes de utilizarla pues cierro todos pero todos los programas que tengo abiertos ( internet, msn, kaspersky, firewall, yahoo..etc etc ) peroo...si no desconecto intenet me sale esta entrada, asi que si alguien me lo puede explicar pues se lo agradeceria...  

O17 - HKLM\System\CCS\Services\Tcpip\..\{DC782E7E-A525-40C3-94D6-D644C0719256}: NameServer = 80.58.61.250 80.58.61.254

PD: Tambien me mosquea un poco por que en la pagina de Hijackthis ( http://www.hijackthis.de/ ) me aparece como una entrada media sospechosa  ya que le sale una interrogante amarilla.. :twisted:

Título: Mi log de hijackthis
Publicado por: FatsGordon en 21 de Marzo de 2005, 05:33:36 pm

El O17 no te muestra tu IP, sino el rango de IP de tu proveedor de Internet o de un hijacker (secuestrador) como el LOP.com.

Lo que se estila es hacer una búsqueda en Google con (en este caso) 80.58.61.250 80.58.61.254 y ver qué resulta. En tu caso aparecen muchas entradas en español referidas a ADSL, ya verás si se trata alguna de tu proveedor o no.

Título: Mi log de hijackthis
Publicado por: rocha en 21 de Marzo de 2005, 08:08:38 pm

vaya, pero si son mis DNS  

saluditosss.... :twisted: