Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Jaime en 30 de Junio de 2004, 06:27:41 pm
-
Hola de nuevo!
Sigo infestao.
Utilizo avasti, adware y the cleaner. Tambien tenia hasta hace poco un cortafuegos distinto del de MS, pero lo quite.
El ordenador se me llena de virus haga lo que haga. La pagina se me cambia a una guia en cada inicio del explorer.
En las tareas veo procesos con distintos nombres que no se de donde salen. El nombre es siempre distinto, pero los Bytes iguales.
En los programas veo un par de ellos que no recuerdo haber instalado:
HomeSearch, Search extender y Zone Alarm, que no se dejan desinstalar, porque para desinstalar buscan noseque en la red.
En el cliq derecho del raton en el explorer me sale una alternativa llamada "hardcore movies" que yo no he puesto alli.
Intento reinstalar el XP pero todo sigue igual.
He pensado en hacer una nueva particion, meter el Xp alli y luego borrar el XP original, pero el cmd no me reconoce Fdisk.
Hasta los cataplines como digo he pensado en reformatear todo el c, pero no puedo forzarlo, ya que esta el disco esta en uso (solo tengo uno).
Se os ocurre algo?
Ciao
Jaime
-
Hola Jaime, lo q tienes es spyware. Vas a tener q usar el ad-aware.
Bájate Ad-aware (http://www.lavasoft.de/support/download/)
Actualizar Archivo de Referencia (http://updates.ls-servers.com/reflist.zip)
Cómo realizar un "Full Scan" (http://www.daboweb.com/phpBB2/viewtopic.php?t=2443) con Ad-aware 6.181
Cuando hayas echo todo esto, escanea tu pc y publica el log en el foro de Spyware, Soft espía.
-
Por cierto te lo he movido al foro de spyware,soft espia,...
Seguimos por allí vales? :wink:
-
Gracias por tu respuesta,
El ad-aware ya lo tenia y no me los ve. El Cleaner me quita unos cuantos troyanos que el otro no me habia visto, pero el problema base persiste: tengo algo que invita troyanos desde el ordenador, casi siempre uno que se llama Agent.
No me importa mucho tener que reinstalar todo el XP, pero como decia, no se como hacerlo, porque no me reconoce el comando fdisk ni me deja reformatear. Como hago?
saludos
Jaime
-
Haz lo q te digo vuelve a escaner con el ad-aware y publica el Log completo.
De paso Descargate el StartupRun desde aquí http://nirsoft.mirrorz.com/
Cuando lo tengas abrelo y pulsas Edit - Select All - View - Html Report (Vertical) - Copias todo y lo pegas aquí.
-
Gracias de nuevo
Ahi va la lista del start up
el atlw... y los del final seran troyanos, no? Como los quito?
Saludos
Jaime
Startup Programs List
Created by using StartupRun
Item Name AcroIEHlprObj Class
Type Browser Helper Objects
Command C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Disabled No
Product Name AcroIEHelper Library
File Version 6.0.1.2003110300
Description Adobe Acrobat IE Helper Version 6.0 for ActivieX
Company Adobe Systems Incorporated
Location
Item Name Ad-aware
Type Registry -> Machine Run
Command "C:\Program\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
Disabled No
Product Name Lavasoft Ad-aware Plus
File Version 6.0.1.181
Description Ad-aware 6 core application
Company Lavasoft Sweden
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name atlwb32.exe
Type Registry -> Machine Run
Command C:\WINDOWS\system32\atlwb32.exe
Disabled No
Product Name
File Version
Description
Company
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name avast!
Type Registry -> Machine Run
Command C:\Program\ALWILS~1\Avast4\ashDisp.exe
Disabled No
Product Name avast! Antivirus
File Version 4, 1, 389, 0
Description avast! service GUI component
Company
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name IMJPMIG8.1
Type Registry -> Machine Run
Command C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
Disabled No
Product Name Microsoft IME 2002
File Version 8.1.3201.0
Description Microsoft IME
Company Microsoft Corporation
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name Microsoft Works Portfolio
Type Registry -> Machine Run
Command C:\Program\Microsoft Works\WksSb.exe /AllUsers
Disabled No
Product Name Microsoft® Works 6.0
File Version 6.00.1911.0
Description Microsoft® Works PortFolio
Company Microsoft® Corporation
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name Microsoft Works Update Detection
Type Registry -> Machine Run
Command C:\Program\Microsoft Works\WkDetect.exe
Disabled No
Product Name Microsoft® Works 6.0
File Version 6.00.1911.0
Description Identifiera uppdatering för Microsoft® Works
Company Microsoft® Corporation
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name MSConfig
Type Registry -> Machine Run
Command C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
Disabled No
Product Name Operativsystemet Microsoft® Windows®
File Version 5.1.2600.0 (xpclient.010817-1148)
Description Systemkonfiguration
Company Microsoft Corporation
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name MSPY2002
Type Registry -> Machine Run
Command C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
Disabled No
Product Name
File Version
Description
Company
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name PHIME2002A
Type Registry -> Machine Run
Command C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
Disabled No
Product Name Intelligent
File Version 5.2.1815
Description Intelligent IME version 2002a
Company Microsoft Corporation
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name PHIME2002ASync
Type Registry -> Machine Run
Command C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
Disabled No
Product Name Intelligent
File Version 5.2.1815
Description Intelligent IME version 2002a
Company Microsoft Corporation
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name tcactive
Type Registry -> Machine Run
Command C:\Program\The Cleaner\tca.exe
Disabled No
Product Name TCActive
File Version 3.1.0.3073
Description The Cleaner Active Process Monitor
Company MooSoft Development
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name tcmonitor
Type Registry -> Machine Run
Command C:\Program\The Cleaner\tcm.exe
Disabled No
Product Name TC Monitor
File Version 2.1.0.2043
Description The Cleaner Registry and File Monitor
Company MooSoft Development
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Item Name {22B6DEDD-4D24-57B5-33E8-6815E283E89C}
Type Browser Helper Objects
Command C:\WINDOWS\system32\sdkqk32.dll
Disabled No
Product Name
File Version
Description
Company
Location
Item Name {DD64FBB3-0059-FB29-AE0F-FEDA2065FC44}
Type Browser Helper Objects
Command C:\WINDOWS\crgc.dll
Disabled No
Product Name
File Version
Description
Company
Location
Item Name {F18949DB-2CBC-81C3-5DC7-B25366CB61D4}
Type Browser Helper Objects
Command C:\WINDOWS\sysob32.dll
Disabled No
Product Name
File Version
Description
Company
Location
ArchiveData(auto-quarantine- 02-07-2004 18-17-16.bckp)
======================================================
Y la copia del log de Ad-aware:
POSSIBLE BROWSER HIJACK ATTEMPT
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[0]=RegData : Software\Microsoft\Internet Explorer\Main
obj[1]=RegData : Software\Microsoft\Internet Explorer\Main
COOLWEBSEARCH
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[2]=RegKey : CLSID\{E69D7404-52DA-A488-F5DB-A7618C654281}
obj[3]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[4]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[5]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[6]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[7]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[8]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[9]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[10]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[11]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[12]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[13]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E69D7404-52DA-A488-F5DB-A7618C654281}
obj[14]=RegKey : SYSTEM\CurrentControlSet\Services\__NS_Service_3
obj[15]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA
obj[16]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE
obj[17]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW
obj[18]=File : c:\windows\winfk32.dll
obj[19]=File : c:\windows\mfcfe.exe
obj[20]=File : c:\windows\system32\wints32.exe
obj[21]=File : c:\windows\netsd.exe
obj[22]=File : c:\windows\system32\msbj32.exe
obj[23]=File : c:\windows\d3fz.exe
obj[24]=File : c:\windows\system32\d3io32.exe
obj[25]=File : c:\windows\system32\mfcxp32.exe
-
Del ad-aware necesito el log entero. Vuelve a pasarlo en modo a prueba de fallos, cierra todas los programas y ventanas de navegador, corre ad-aware con la última actualizacion y haz un scan completo.
Por último tambien haz un scan desde aquí http://www.windowsecurity.com/trojanscan/
El atlwb32.exe puede q sea un troyano o puede q no, lo q si es cierto es q por google no sale nada. Al igual q con sdkq32.dll, crgc.dll y sysob32.dll
-
Conyé que eficiencia!
Molte grazie
Pero mas problemillas:
el trojanscan me corre, pero termnia parandose y diciendome badrequest, yo no veo cual es el problema. antes me encuentra un par de sitios a los que no accede. Empiezan C:\6...
Yo no veo nada que se llame asi.
Para correr el adaware como me dices cierro los dos (?) explorer que e salen en las tareas, pero entonces se queda solo el salvapantallas y no se puede hacer mas.
Las otras dos preguntas:
*porque no va el fdisk? No existe en XP? es buena idea? y lo del format?
cómo desinsatalo Xp?
*y, como modifico los programas del boot o lo que haga falta? el config y el auto estan aparentemente vacios.
Saludos
Jaime
-
Para correr el adaware como me dices cierro los dos (?) explorer que e salen en las tareas, pero entonces se queda solo el salvapantallas y no se puede hacer mas.
Inicia sesión en modo seguro, sin conexión a internet y evita abrir algun programa mientras haa el escaneo. Una vez concluido reincias en modo normal y escanea desde este sitio a ver:
http://scan.sygate.com/pretrojanscan.html
Si tampoco va, instalate el the cleaner. Aquí tienes un manual (http://www.daboweb.com/phpBB2/viewtopic.php?t=5100)