Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: cherry09 en 05 de Junio de 2005, 09:53:02 pm

Título: trojan-spy.html.smitfraud.c ?
Publicado por: cherry09 en 05 de Junio de 2005, 09:53:02 pm

Hola tengo problemas con un troyano, el NOD32 me dice que se llama scrypt.c , no se si tenga el trojan-spy.html.smitfraud.c  o tenga varios :S
no puedo cambiar el fondo de escritorio, tengo el avast actualizado pero no lo detecta y el NOD32 no lo puede eliminar...  este es el log que sresulto al pasar el HijackThis:


Logfile of HijackThis v1.99.1
Scan saved at 12:56:09, on 05/06/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\init32m.exe
C:\AppServ\Apache\Apache.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\AppServ\mysql\bin\mysqld-nt.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\AppServ\Apache\Apache.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Documents and Settings\Sarahí\Escritorio\QuienCierrayAbre(www.PortalMes.com).exe
C:\Documents and Settings\Sarahí\Escritorio\QuienCierrayAbre(www.PortalMes.com).exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Sarahí\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=3082
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Simp] C:\Archivos de programa\Secway\SimpLite-MSN 2.1\SimpLite-MSN.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c15.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O21 - SSODL: SysTray.Exsh - {E1B7D0BE-5f02-4255-96DB-388DFA241900} - C:\WINDOWS\System32\ibkljkgi.dll
O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

Ojala y me puedan ayudar

Saludos ;)

Título: trojan-spy.html.smitfraud.c ?
Publicado por: Liamngls en 05 de Junio de 2005, 10:00:29 pm

Seguro que sí , en cuanto el experto vea el log te dirá los pasos a seguir , solo es cuestión de esperar pacientemente :wink:

Título: trojan-spy.html.smitfraud.c ?
Publicado por: Danae en 05 de Junio de 2005, 10:21:53 pm

Lo primero de todo mira este post y sigue sus instrucciones para sacar el log.
http://www.daboweb.com/phpBB2/viewtopic.php?t=13633

después como te dicen espera a que entre el experto y te lo examine, pero de momento comprueba si en el panel de control en agregar/quitar programas, te aparecen estos:

Security Iguard
Virtual Maid
Search Maid

De aparecer, desactiva primero restaurar sistema, y luego los desinstalas.

Y siguiendo las instrucciones publicas un nuevo log

Saludos

Título: trojan-spy.html.smitfraud.c ?
Publicado por: FatsGordon en 06 de Junio de 2005, 08:34:20 pm

Vamos a probar un método de limpieza.

Una vez seguidos los consejos de Danae, que son correctísimos por donde se los mire, sigamos con éstos (te recomiendo que imprimas esto dado que hay que reiniciar):

1- Copiá y pegá el siguiente código en un Bloc de notas y guardalo como archivo de nombre smitfraud.reg. Por favor, tené en cuenta que el nombre puede ser cualquiera, pero la extensión NO, tiene que ser .reg sí o sí para poder modificar el registro de Windows (que es lo que vamos a hacer). Para ello tenés que Guardar como... y luego elegir Todos los archivos, porque si no el Bloc de notas te lo guarda como .txt y está mal.

Código: [Seleccionar]

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"notepad.exe"=-
"notepad2.exe"=-
"winlogon.exe"=-
"paint.exe"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
""="http://home.microsoft.com/access/autosearch.asp?p=%s"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://search.msn.com/spbasic.htm"
"Use Custom Search URL"= dword:00000000
"Use Search Asst"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]

[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]

[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]

[-HKEY_CLASSES_ROOT\CLSID\VMHomepage]

[-HKEY_CLASSES_ROOT\CLSID\VMHomepage.1]

[-HKEY_CLASSES_ROOT\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}]

[-HKEY_CLASSES_ROOT\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}]

[-HKEY_CLASSES_ROOT\VMHomepage]

[-HKEY_CLASSES_ROOT\VMHomepage.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r]

Una vez que lo hayas grabado buscalo y dale doble click. Cuando te pregunte apretá Aceptar y esperá a que te diga que tuvo éxito.

2- Asegurate que puedas ver todos los archivos, incluso los ocultos o de sistema.

3- Bajate el KillBox de http://www.bleepingcomputer.com/files/spyware/KillBox.zip

4- Cuando se abra el programa seleccioná la opción marcada Delete on reboot

5- Sin cerrar el KillBox abrí un Bloc de notas (con botón Inicio->Ejecutar, y escribiendo notepad.exe apretando luego Aceptar)

6- Cuando esté abierto copiá lo siguiente en negrita y pegalo en el Bloc de notas:

C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System32\hhk.dll
C:\Windows\System32\wldr.dll
C:\Windows\System32\helper.exe
C:\Windows\System32\intmon.exe
C:\Windows\System32\shnlog.exe
C:\Windows\system32\perfcii.ini
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\system32\msole32.exe
C:\Windows\System32\ole32vbs.exe

7- Volvé al KillBox, abrí el menú File y seleccioná Paste from Clipboard

8- Aun en el KillBox apretá el botón Delete File rojo y blanco. Hacé click en Aceptar en el mensaje de reinicio de la computadora. Si aparece un mensaje de operaciones pendientes hacé click en NO.

Si tu computadora no reinicia automáticamente hacelo manualmente.

9- Cuando se esté reiniciando apretá varias veces la tecla F8 para poder entrar en modo seguro (del menú que tiene que aparecer tenés que elegir modo seguro).

10- Usando el Explorador de Windows borrá los siguientes archivos o carpetas, si existen, en negrita (por favor no uses la búsqueda de Windows porque no van a aparecer):

C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard

11- Aun en modo seguro asegurate que todos los programas estén cerrados, abrí el HijackThis, apretá el SEGUNDO BOTÓN y ponele una marca SÓLO a las siguientes entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=3082
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c15.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O21 - SSODL: SysTray.Exsh - {E1B7D0BE-5f02-4255-96DB-388DFA241900} - C:\WINDOWS\System32\ibkljkgi.dll


Una vez seleccionados apretá Fix checked y cerrá el HijackThis.

Sin salir del modo seguro buscá y eliminá los siguientes archivos o carpetas (en negrita):

C:\WINDOWS\ceres.dll
C:\winstall.exe
C:\WINDOWS\isrvs
C:\WINDOWS\System32\ibkljkgi.dll

Luego de esto reiniciá la máquina en modo normal.

12- Bajate el The Hoster de http://www.funkytoad.com/download/hoster.zip y corré el hoster.exe. Presioná el botón Restore Original Hosts y presioná Ok. Cuando termine cerrá el programa.

13- Hacé un click derecho acá http://www.mvps.org/winhelp2002/DelDomains.inf y apretá Guardar como... para guardarlo en el Escritorio.

14- Buscá el archivo DelDomains.inf en el escritorio, seleccionalo y hacele click derecho y apretá la opción Instalar

Nota: Esto va a eliminar todas las entradas de "Sitios de Confianza" y "Rangos".

15- Bajate, instalá y corré el CleanUp! ( http://www.spywareaid.com/index.php?file=showsoftware&id=1 )

16- Corré algun buen antivirus online, como el TrendMicro, Panda, Symantec. Tiene que ser online, no sirve de otro modo.

Luego de todo esto volvé y contanos cómo fue, junto con un nuevo log del HijackThis.

Título: hola de nuevo
Publicado por: cherry09 en 07 de Junio de 2005, 04:23:25 am

Gracias por su pronta respuesta... :D
 Eh seguido todos los pasos, NOD32 continua diciendome que tengo virus, aún no puedo manipular mi fondo de escritorio, ahopra tengo un nuevo fondo :S avisandome que tengo spywares, pero bueno .. este es el nuevo log que resulto:

Logfile of HijackThis v1.99.1
Scan saved at 19:23:27, on 06/06/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\AppServ\Apache\Apache.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\AppServ\mysql\bin\mysqld-nt.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\AppServ\Apache\Apache.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\lexpps.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Sarahí\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Simp] C:\Archivos de programa\Secway\SimpLite-MSN 2.1\SimpLite-MSN.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

use el Trend Micro para Escanear Online  dijo que tenia 4 virus, pero no estoy segura si los elimino porque decia algo asi de "Uncleanable files" despues le di en delate files... y creo q es todo, no creo que este totalmente libre de los virus :S

saludos ;)

Título: trojan-spy.html.smitfraud.c ?
Publicado por: FatsGordon en 08 de Junio de 2005, 02:43:40 pm

Y otra cosa, que se me escapó: ¿podrías publicar un log del antivirus NOD32 mostrando el problema? Y también si tenés logs del TrendMicro o de algun otro online, que nos van a servir para saber qué hacer.

Título: trojan-spy.html.smitfraud.c ?
Publicado por: FatsGordon en 08 de Junio de 2005, 07:48:02 pm

Una pregunta... ¿probaste de pasar el Ad-Aware SE 1.06 actualizado? Debería haber limpiado la infección...

Título: trojan-spy.html.smitfraud.c ?
Publicado por: cherry09 en 09 de Junio de 2005, 05:23:50 am

Hola!

No avia tratado con el Ad-aware, ya lo instale, lo  actualizé... me mató 144 objetos :S ! Tambien Instale el Kaspersky y tambien me elimino muchos

No tengo Logs del NOD32 ya que lo eliminé al poner el kaspersky y tampoco tengo log del antivirus en linea...

Pero al parecer,  los problemas se han solucionado, nose que opinion tengas:

Logfile of HijackThis v1.99.1
Scan saved at 20:24:16, on 08/06/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\AppServ\Apache\Apache.exe
C:\AppServ\mysql\bin\mysqld-nt.exe
C:\AppServ\Apache\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\lexpps.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Ares\Ares.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Simp] C:\Archivos de programa\Secway\SimpLite-MSN 2.1\SimpLite-MSN.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe


ahhh.. y el Apache segun yo, estan bien instalados o al menos asi me enseñaron a ponerlo en la escuela... no me ha ocacionado problemas...




;D

Título: trojan-spy.html.smitfraud.c ?
Publicado por: Liamngls en 09 de Junio de 2005, 05:44:40 am

El Apache está instalado en un directorio distinto del habitual porque ha sido instalado desde el AppServ , que instala Apache , MySQL y PHP a la vez , yo lo tengo así también :wink:

http://sourceforge.net/projects/appserv/

Título: trojan-spy.html.smitfraud.c ?
Publicado por: destroyer en 09 de Junio de 2005, 09:26:27 am

Hola cherry09:
 Me indica Fats que ahora no puede acceder para contestarte él,  que ahora ya revises esto:

En Agregar/quitar programas y desinstalas  todo lo que diga ISearch o desktop search  si te aparecen. Despues vuelves a escanear con Ad-aware en modo a prueba de fallos... y cuelgas un nuevo log del hijackthis..

Un saludo

Título: trojan-spy.html.smitfraud.c ?
Publicado por: FatsGordon en 09 de Junio de 2005, 04:41:07 pm

Sip, fijate lo que dice destroyer, por las dudas, pero el log aparece limpio. :D

Mi cabeza no es lo que era... Debería haber empezado por el Ad-Aware desde un principio y nos ahorrábamos mucho tiempo...

Mis sinceras disculpas! :oops:

Título: trojan-spy.html.smitfraud.c ?
Publicado por: FatsGordon en 09 de Junio de 2005, 04:47:32 pm

Por curiosidad quisiera ver el log del Ad-Aware. Abrí el Ad-Aware, hacé click en el icono del engranaje y ahí en General Settings dice Write logfiles to:. Ahí está el lugar en tu disco donde se guardan los logs. Buscalo, abrilo, copialo y pegalo aquí. Tal vez necesites de más de una vez para pegarlo completo, pero te lo voy a agradecer.

Es más, de ese análisis puede que surja la necesidad de un nuevo log.

Título: hi
Publicado por: cherry09 en 11 de Junio de 2005, 07:46:52 am

Hola, aqui está el log del ultimo escaneo con el ad aware:
ahh y a lo que dijo destroyer, no tengo ningun ISearch o Desktop search en Agregar/quitar programas :S...

Ad-Aware SE Build 1.06r1
Logfile Created on:viernes, 10 de junio de 2005 22:28:33
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R49 31.05.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):8 total references
Tracking Cookie(TAC index:3):5 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


10-06-2005 22:28:39 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
    FilePath           : \SystemRoot\System32\
    ProcessID          : 444
    ThreadCreationTime : 10-06-2005 18:32:28
    BasePriority       : Normal


#:2 [csrss.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 500
    ThreadCreationTime : 10-06-2005 18:32:29
    BasePriority       : Normal


#:3 [winlogon.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 524
    ThreadCreationTime : 10-06-2005 18:32:30
    BasePriority       : High


#:4 [services.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 568
    ThreadCreationTime : 10-06-2005 18:32:31
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Sistema operativo Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Aplicación de servicios y controlador
    InternalName       : services.exe
    LegalCopyright     : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
    OriginalFilename   : services.exe

#:5 [lsass.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 580
    ThreadCreationTime : 10-06-2005 18:32:31
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : LSA Shell (Export Version)
    InternalName       : lsass.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : lsass.exe

#:6 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 748
    ThreadCreationTime : 10-06-2005 18:32:32
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:7 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 820
    ThreadCreationTime : 10-06-2005 18:32:32
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:8 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 948
    ThreadCreationTime : 10-06-2005 18:32:33
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:9 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 964
    ThreadCreationTime : 10-06-2005 18:32:33
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:10 [lexbces.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1080
    ThreadCreationTime : 10-06-2005 18:32:33
    BasePriority       : Normal
    FileVersion        : 9.37
    ProductVersion     : 9.37
    ProductName        : MarkVision for Windows (32 bit)
    CompanyName        : Lexmark International, Inc.
    FileDescription    : LexBce Service
    InternalName       : LexBce Service
    LegalCopyright     : (C) 1993 - 2003 Lexmark International, Inc.
    OriginalFilename   : LexBceS.exe

#:11 [spoolsv.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1104
    ThreadCreationTime : 10-06-2005 18:32:34
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (XPClient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Spooler SubSystem App
    InternalName       : spoolsv.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : spoolsv.exe

#:12 [lexpps.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1140
    ThreadCreationTime : 10-06-2005 18:32:34
    BasePriority       : Normal
    FileVersion        : 9.37
    ProductVersion     : 9.37
    ProductName        : MarkVision for Windows (32 bit)
    CompanyName        : Lexmark International, Inc.
    FileDescription    : LEXPPS.EXE
    InternalName       : LEXPPS
    LegalCopyright     : (C) 1993 - 2003 Lexmark International, Inc.
    OriginalFilename   : LEXPPS.EXE
    Comments           : MarkVision for Windows '95 New P2P Server  (32-bit)

#:13 [apache.exe]
    FilePath           : C:\AppServ\Apache\
    ProcessID          : 1276
    ThreadCreationTime : 10-06-2005 18:32:37
    BasePriority       : Normal


#:14 [apache.exe]
    FilePath           : C:\AppServ\Apache\
    ProcessID          : 1336
    ThreadCreationTime : 10-06-2005 18:32:37
    BasePriority       : Normal


#:15 [mysqld-nt.exe]
    FilePath           : C:\AppServ\mysql\bin\
    ProcessID          : 1364
    ThreadCreationTime : 10-06-2005 18:32:43
    BasePriority       : Normal


#:16 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1680
    ThreadCreationTime : 10-06-2005 18:32:43
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:17 [wdfmgr.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1712
    ThreadCreationTime : 10-06-2005 18:32:44
    BasePriority       : Normal
    FileVersion        : 5.2.3790.1230 built by: dnsrv(bld4act)
    ProductVersion     : 5.2.3790.1230
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows User Mode Driver Manager
    InternalName       : WdfMgr
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : WdfMgr.exe

#:18 [explorer.exe]
    FilePath           : C:\WINDOWS\
    ProcessID          : 792
    ThreadCreationTime : 10-06-2005 18:34:15
    BasePriority       : Normal
    FileVersion        : 6.00.2600.0000 (xpclient.010817-1148)
    ProductVersion     : 6.00.2600.0000
    ProductName        : Sistema operativo Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Explorador de Windows
    InternalName       : explorer
    LegalCopyright     : © Microsoft Corporation. Reservados todos los derechos.
    OriginalFilename   : EXPLORER.EXE

#:19 [jusched.exe]
    FilePath           : C:\Archivos de programa\Java\jre1.5.0_01\bin\
    ProcessID          : 1248
    ThreadCreationTime : 10-06-2005 18:34:37
    BasePriority       : Normal


#:20 [msmsgs.exe]
    FilePath           : C:\Archivos de programa\Messenger\
    ProcessID          : 1612
    ThreadCreationTime : 10-06-2005 18:34:44
    BasePriority       : Normal
    FileVersion        : 4.7.2010
    ProductVersion     : Version 4.7
    ProductName        : Messenger
    CompanyName        : Microsoft Corporation
    FileDescription    : Messenger
    InternalName       : msmsgs
    LegalCopyright     : Copyright (c) Microsoft Corporation 1997-2003
    LegalTrademarks    : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
    OriginalFilename   : msmsgs.exe

#:21 [wuauclt.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1644
    ThreadCreationTime : 10-06-2005 18:34:47
    BasePriority       : Normal
    FileVersion        : 5.4.2600.0 (XPClient.010817-1148)
    ProductVersion     : 5.4.2600.0
    ProductName        : Sistema operativo Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Cliente de actualización automática de Windows Update
    InternalName       : wuauclt.exe
    LegalCopyright     : © Microsoft Corporation. Reservados todos los derechos.
    OriginalFilename   : wuauclt.exe

#:22 [quiencierrayabre.exe]
    FilePath           : C:\Documents and Settings\Sarahí\Escritorio\
    ProcessID          : 3532
    ThreadCreationTime : 10-06-2005 19:41:02
    BasePriority       : Normal
    FileVersion        : 1.01
    ProductVersion     : 1.01
    ProductName        : UserHasLeftOrJoined
    CompanyName        : PortalMes.CO
    InternalName       : userhasjoinedorleft
    OriginalFilename   : userhasjoinedorleft.exe
    Comments           : ecko_complex

#:23 [iexplore.exe]
    FilePath           : C:\Archivos de programa\Internet Explorer\
    ProcessID          : 3136
    ThreadCreationTime : 10-06-2005 21:29:33
    BasePriority       : Normal
    FileVersion        : 6.00.2600.0000 (xpclient.010817-1148)
    ProductVersion     : 6.00.2600.0000
    ProductName        : Sistema operativo Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Internet Explorer
    InternalName       : iexplore
    LegalCopyright     : © Microsoft Corporation. Reservados todos los derechos.
    OriginalFilename   : IEXPLORE.EXE

#:24 [msnmsgr.exe]
    FilePath           : C:\Archivos de programa\MSN Messenger\
    ProcessID          : 1600
    ThreadCreationTime : 11-06-2005 0:31:21
    BasePriority       : Normal
    FileVersion        : 7.0.0813
    ProductVersion     : 7.0.0813
    ProductName        : MSN Messenger
    CompanyName        : Microsoft Corporation
    FileDescription    : MSN Messenger
    InternalName       : msnmsgr
    LegalCopyright     : Copyright (c) Microsoft Corporation 1997-2005
    LegalTrademarks    : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
    OriginalFilename   : msnmsgr.exe

#:25 [ad-aware.exe]
    FilePath           : C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\
    ProcessID          : 3572
    ThreadCreationTime : 11-06-2005 2:41:27
    BasePriority       : Normal
    FileVersion        : 6.2.0.236
    ProductVersion     : SE 106
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft AB Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

#:26 [winamp.exe]
    FilePath           : C:\Archivos de programa\Winamp\
    ProcessID          : 2296
    ThreadCreationTime : 11-06-2005 5:27:12
    BasePriority       : Normal
    FileVersion        : 5.092
    ProductVersion     : 5.092
    ProductName        : Winamp
    CompanyName        : Nullsoft
    FileDescription    : Winamp
    InternalName       : WINAMP
    LegalCopyright     : Copyright © 1997-2005,  Nullsoft, Inc.
    LegalTrademarks    : Nullsoft and Winamp are trademarks of Nullsoft, Inc.
    OriginalFilename   : Winamp.exe
    Comments           : Visit http://www.winamp.com/ for updates.

#:27 [firefox.exe]
    FilePath           : C:\Archivos de programa\Mozilla Firefox\
    ProcessID          : 2720
    ThreadCreationTime : 11-06-2005 5:27:36
    BasePriority       : Normal


Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@doubleclick[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:6
    Value              : Cookie:sarahí@doubleclick.net/
    Expires            : 07-06-2008 21:55:34
    LastSync           : Hits:6
    UseCount           : 0
    Hits               : 6

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@ehg-quepasacorp.hitbox[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:15
    Value              : Cookie:sarahí@ehg-quepasacorp.hitbox.com/
    Expires            : 10-06-2006 16:22:22
    LastSync           : Hits:15
    UseCount           : 0
    Hits               : 15

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@hitbox[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:30
    Value              : Cookie:sarahí@hitbox.com/
    Expires            : 10-06-2006 16:22:22
    LastSync           : Hits:30
    UseCount           : 0
    Hits               : 30

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@atdmt[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:23
    Value              : Cookie:sarahí@atdmt.com/
    Expires            : 07-06-2010 17:00:00
    LastSync           : Hits:23
    UseCount           : 0
    Hits               : 23

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@overture[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:3
    Value              : Cookie:sarahí@overture.com/
    Expires            : 07-06-2015 18:39:56
    LastSync           : Hits:3
    UseCount           : 0
    Hits               : 3

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 5
Objects found so far: 5



Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 5

Disk Scan Result for C:\WINDOWS\System32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 5

Disk Scan Result for C:\DOCUME~1\SARAH~1\CONFIG~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 5


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 5



 MRU List Object Recognized!
    Location:          : software\microsoft\directdraw\mostrecentapplication
    Description        : most recent application to use microsoft directdraw


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\internet explorer\typedurls
    Description        : list of recently entered addresses in microsoft internet explorer


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\windows\currentversion\applets\paint\recent file list
    Description        : list of files recently opened using microsoft paint


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
    Description        : list of recent programs opened


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
    Description        : list of recently saved files, stored according to file extension


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\windows\currentversion\explorer\recentdocs
    Description        : list of recent documents opened


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\winrar\dialogedithistory\extrpath
    Description        : winrar "extract-to" history



Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 13

22:38:37 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:09:57.970
Objects scanned:61238
Objects identified:5
Objects ignored:0
New critical objects:5


1 saludo ciao ;D


»‡«§Ã®ÃH뇫

Título: trojan-spy.html.smitfraud.c ?
Publicado por: FatsGordon en 14 de Junio de 2005, 06:40:53 pm

Hola, y gracias por el log, que se ve limpio.

Te voy a pedir un favor extra: actualizá el Ad-Aware y correlo en modo Full system scan (el segundo de los dos), así salimos de dudas.

Obviamente si encuentra algo limpialo. Y luego publicá el log resultante.

Muchas gracias!

Título: trojan-spy.html.smitfraud.c ?
Publicado por: cherry09 en 20 de Junio de 2005, 06:53:25 am

Hola! perdon por la demora, aqui esta el log de full scan:



Ad-Aware SE Build 1.06r1
Logfile Created on:domingo, 19 de junio de 2005 21:25:41
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R50 13.06.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
AdvertBar(TAC index:5):1 total references
MRU List(TAC index:0):11 total references
Tracking Cookie(TAC index:3):9 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


19-06-2005 21:25:41 - Scan started. (Full System Scan)

 MRU List Object Recognized!
    Location:          : software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct3d


 MRU List Object Recognized!
    Location:          : software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct X


 MRU List Object Recognized!
    Location:          : software\microsoft\directdraw\mostrecentapplication
    Description        : most recent application to use microsoft directdraw


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\internet explorer\typedurls
    Description        : list of recently entered addresses in microsoft internet explorer


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\office\9.0\powerpoint\recent file list
    Description        : list of recent files used by microsoft powerpoint


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\visual basic\6.0\recentfiles
    Description        : list of recently used files in microsoft visual basic


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\windows\currentversion\applets\paint\recent file list
    Description        : list of files recently opened using microsoft paint


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
    Description        : list of recent programs opened


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
    Description        : list of recently saved files, stored according to file extension


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\microsoft\windows\currentversion\explorer\recentdocs
    Description        : list of recent documents opened


 MRU List Object Recognized!
    Location:          : S-1-5-21-823518204-1957994488-1591305731-1003\software\winrar\dialogedithistory\extrpath
    Description        : winrar "extract-to" history


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
    FilePath           : \SystemRoot\System32\
    ProcessID          : 388
    ThreadCreationTime : 19-06-2005 20:06:04
    BasePriority       : Normal


#:2 [csrss.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 436
    ThreadCreationTime : 19-06-2005 20:06:06
    BasePriority       : Normal


#:3 [winlogon.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 460
    ThreadCreationTime : 19-06-2005 20:06:07
    BasePriority       : High


#:4 [services.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 504
    ThreadCreationTime : 19-06-2005 20:06:07
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Sistema operativo Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Aplicación de servicios y controlador
    InternalName       : services.exe
    LegalCopyright     : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
    OriginalFilename   : services.exe

#:5 [lsass.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 516
    ThreadCreationTime : 19-06-2005 20:06:07
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : LSA Shell (Export Version)
    InternalName       : lsass.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : lsass.exe

#:6 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 684
    ThreadCreationTime : 19-06-2005 20:06:08
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:7 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 736
    ThreadCreationTime : 19-06-2005 20:06:08
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:8 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 900
    ThreadCreationTime : 19-06-2005 20:06:09
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:9 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 928
    ThreadCreationTime : 19-06-2005 20:06:10
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:10 [lexbces.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1020
    ThreadCreationTime : 19-06-2005 20:06:10
    BasePriority       : Normal
    FileVersion        : 9.37
    ProductVersion     : 9.37
    ProductName        : MarkVision for Windows (32 bit)
    CompanyName        : Lexmark International, Inc.
    FileDescription    : LexBce Service
    InternalName       : LexBce Service
    LegalCopyright     : (C) 1993 - 2003 Lexmark International, Inc.
    OriginalFilename   : LexBceS.exe

#:11 [spoolsv.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1044
    ThreadCreationTime : 19-06-2005 20:06:10
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (XPClient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Spooler SubSystem App
    InternalName       : spoolsv.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : spoolsv.exe

#:12 [lexpps.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1052
    ThreadCreationTime : 19-06-2005 20:06:10
    BasePriority       : Normal
    FileVersion        : 9.37
    ProductVersion     : 9.37
    ProductName        : MarkVision for Windows (32 bit)
    CompanyName        : Lexmark International, Inc.
    FileDescription    : LEXPPS.EXE
    InternalName       : LEXPPS
    LegalCopyright     : (C) 1993 - 2003 Lexmark International, Inc.
    OriginalFilename   : LEXPPS.EXE
    Comments           : MarkVision for Windows '95 New P2P Server  (32-bit)

#:13 [apache.exe]
    FilePath           : C:\AppServ\Apache\
    ProcessID          : 1192
    ThreadCreationTime : 19-06-2005 20:06:12
    BasePriority       : Normal


#:14 [apache.exe]
    FilePath           : C:\AppServ\Apache\
    ProcessID          : 1260
    ThreadCreationTime : 19-06-2005 20:06:13
    BasePriority       : Normal


#:15 [mysqld-nt.exe]
    FilePath           : C:\AppServ\mysql\bin\
    ProcessID          : 1284
    ThreadCreationTime : 19-06-2005 20:06:18
    BasePriority       : Normal


#:16 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1580
    ThreadCreationTime : 19-06-2005 20:06:18
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:17 [wdfmgr.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1624
    ThreadCreationTime : 19-06-2005 20:06:19
    BasePriority       : Normal
    FileVersion        : 5.2.3790.1230 built by: dnsrv(bld4act)
    ProductVersion     : 5.2.3790.1230
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows User Mode Driver Manager
    InternalName       : WdfMgr
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : WdfMgr.exe

#:18 [explorer.exe]
    FilePath           : C:\WINDOWS\
    ProcessID          : 1292
    ThreadCreationTime : 19-06-2005 21:05:13
    BasePriority       : Normal
    FileVersion        : 6.00.2600.0000 (xpclient.010817-1148)
    ProductVersion     : 6.00.2600.0000
    ProductName        : Sistema operativo Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Explorador de Windows
    InternalName       : explorer
    LegalCopyright     : © Microsoft Corporation. Reservados todos los derechos.
    OriginalFilename   : EXPLORER.EXE

#:19 [jusched.exe]
    FilePath           : C:\Archivos de programa\Java\jre1.5.0_01\bin\
    ProcessID          : 1780
    ThreadCreationTime : 19-06-2005 21:05:15
    BasePriority       : Normal


#:20 [msmsgs.exe]
    FilePath           : C:\Archivos de programa\Messenger\
    ProcessID          : 1912
    ThreadCreationTime : 19-06-2005 21:05:16
    BasePriority       : Normal
    FileVersion        : 4.7.2010
    ProductVersion     : Version 4.7
    ProductName        : Messenger
    CompanyName        : Microsoft Corporation
    FileDescription    : Messenger
    InternalName       : msmsgs
    LegalCopyright     : Copyright (c) Microsoft Corporation 1997-2003
    LegalTrademarks    : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
    OriginalFilename   : msmsgs.exe

#:21 [msnmsgr.exe]
    FilePath           : C:\Archivos de programa\MSN Messenger\
    ProcessID          : 148
    ThreadCreationTime : 19-06-2005 21:05:17
    BasePriority       : Normal
    FileVersion        : 7.0.0813
    ProductVersion     : 7.0.0813
    ProductName        : MSN Messenger
    CompanyName        : Microsoft Corporation
    FileDescription    : MSN Messenger
    InternalName       : msnmsgr
    LegalCopyright     : Copyright (c) Microsoft Corporation 1997-2005
    LegalTrademarks    : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
    OriginalFilename   : msnmsgr.exe

#:22 [wuauclt.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 2176
    ThreadCreationTime : 19-06-2005 21:06:02
    BasePriority       : Normal
    FileVersion        : 5.4.2600.0 (XPClient.010817-1148)
    ProductVersion     : 5.4.2600.0
    ProductName        : Sistema operativo Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Cliente de actualización automática de Windows Update
    InternalName       : wuauclt.exe
    LegalCopyright     : © Microsoft Corporation. Reservados todos los derechos.
    OriginalFilename   : wuauclt.exe

#:23 [winamp.exe]
    FilePath           : C:\Archivos de programa\Winamp\
    ProcessID          : 348
    ThreadCreationTime : 20-06-2005 0:40:10
    BasePriority       : Normal
    FileVersion        : 5.092
    ProductVersion     : 5.092
    ProductName        : Winamp
    CompanyName        : Nullsoft
    FileDescription    : Winamp
    InternalName       : WINAMP
    LegalCopyright     : Copyright © 1997-2005,  Nullsoft, Inc.
    LegalTrademarks    : Nullsoft and Winamp are trademarks of Nullsoft, Inc.
    OriginalFilename   : Winamp.exe
    Comments           : Visit http://www.winamp.com/ for updates.

#:24 [firefox.exe]
    FilePath           : C:\Archivos de programa\Mozilla Firefox\
    ProcessID          : 408
    ThreadCreationTime : 20-06-2005 4:22:04
    BasePriority       : Normal


#:25 [ad-aware.exe]
    FilePath           : C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\
    ProcessID          : 2092
    ThreadCreationTime : 20-06-2005 4:23:56
    BasePriority       : Normal
    FileVersion        : 6.2.0.236
    ProductVersion     : SE 106
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft AB Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 11


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 AdvertBar Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 5
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_USERS
    Object             : S-1-5-21-823518204-1957994488-1591305731-1003\software\adtools, inc.

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 12


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 12


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@doubleclick[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:9
    Value              : Cookie:sarahí@doubleclick.net/
    Expires            : 12-06-2008 21:11:42
    LastSync           : Hits:9
    UseCount           : 0
    Hits               : 9

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@ads.pointroll[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:5
    Value              : Cookie:sarahí@ads.pointroll.com/
    Expires            : 31-12-2009 17:00:00
    LastSync           : Hits:5
    UseCount           : 0
    Hits               : 5

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@tribalfusion[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:2
    Value              : Cookie:sarahí@tribalfusion.com/
    Expires            : 31-12-2037 17:00:00
    LastSync           : Hits:2
    UseCount           : 0
    Hits               : 2

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@cgi-bin[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:1
    Value              : Cookie:sarahí@www3.addfreestats.com/cgi-bin
    Expires            : 27-02-2015 17:00:00
    LastSync           : Hits:1
    UseCount           : 0
    Hits               : 1

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@bravenet[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:4
    Value              : Cookie:sarahí@bravenet.com/
    Expires            : 13-06-2015 21:43:12
    LastSync           : Hits:4
    UseCount           : 0
    Hits               : 4

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@ehg-quepasacorp.hitbox[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:26
    Value              : Cookie:sarahí@ehg-quepasacorp.hitbox.com/
    Expires            : 17-06-2006 14:13:32
    LastSync           : Hits:26
    UseCount           : 0
    Hits               : 26

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@hitbox[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:51
    Value              : Cookie:sarahí@hitbox.com/
    Expires            : 17-06-2006 14:13:32
    LastSync           : Hits:51
    UseCount           : 0
    Hits               : 51

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@statcounter[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:6
    Value              : Cookie:sarahí@statcounter.com/
    Expires            : 14-06-2010 21:43:10
    LastSync           : Hits:6
    UseCount           : 0
    Hits               : 6

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : sarahí@atdmt[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:45
    Value              : Cookie:sarahí@atdmt.com/
    Expires            : 09-06-2010 17:00:00
    LastSync           : Hits:45
    UseCount           : 0
    Hits               : 45

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 9
Objects found so far: 21



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 21


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 21




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 21

21:49:36 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:23:54.523
Objects scanned:92036
Objects identified:10
Objects ignored:0
New critical objects:10

Título: trojan-spy.html.smitfraud.c ?
Publicado por: FatsGordon en 21 de Junio de 2005, 06:19:37 pm

Lo único realmente preocupante (y ni siquiera) es:

Citar

AdvertBar Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_USERS
Object : S-1-5-21-823518204-1957994488-1591305731-1003\software\adtools, inc.

Si lo eliminaste, ya estaría.

¿Cómo está tu máquina ahora?

Título: trojan-spy.html.smitfraud.c ?
Publicado por: FatsGordon en 22 de Junio de 2005, 10:25:43 pm

Y otra preguntita: ¿el fondo sigue siendo el mismo de antes o pudiste cambiarlo?