Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Leandros en 05 de Noviembre de 2004, 10:36:19 am
-
Hoy me he levantado y en el log del sygate me he encontrado esto:
Application Hijacking has been detected
The application: C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE try to launch another application: C:\Archivos de programa\Alcohol Soft\Alcohol 120\Alcohol.exe to go to remote host hxxp://www.alcohol-soft.com
En la pestaña de severity pone information, pero la verdad es que no me ha hecho ni puñetera gracia ver esto.
Que pensais vosotros?
*** Editado por FG para evitar problemas con la URL... ***
-
No puede uno ausentarse un tiempo, caramba! :lol:
A ver, vayamos por partes. Ese Alcohol.exe, ¿es un programa conocido tuyo? Porque si no lo es, y dado que quiere ir a (qué curioso...) alcohol-soft.com...
-
No puede uno ausentarse un tiempo, caramba!
:lol: :lol: :lol: pues asi es... me alegro de verte por aqui campeon... El programa de grabacion alcohol120 quizá si lo tenga instalado , lo que yo tampoco entiendo es la relacion entre winword y él.
Un saludo
-
Oh, no lo conocía... Bueno, entonces vamos a lo clásico...
Leandros, a ver ese log del Ad-Aware SE actualizado...
-
Eh... dest... no creas que estoy a tiempo completo por aquí... simplemente me he escapado un momento a los controles, que los hay y deben estar loggeando esto...
Cuando pueda regreso...
Un abrazo!
-
Tus visitas siempre son bien recibidas... ve despacio amigo.
Un saludo
-
Pues efectivamente el alcohol lo tengo instalado y yo tampoco entiendo que relación puede haber entre los dos programas. Cuando termine con The cleaner pasaré el Ad-aware y ya postearé el log.
Tengo otro problema un poco más urgente que este la verdad, pero ya os lo comentaré luego.
A ver si paso el Ad...
-
No puedo ayudarte Lea, ni aportar nada interesante.
El post es solo para saludar a Fats.
Holaaaaaaaaaaaaaaaaaa. Tanto tiempo. :wink:
Un saludo y siempre se te espera por aquí.
Otro saludo. :wink:
-
Bien pues ya he pasado el Ad actualizado y estoy completamente limpio.
Aún así si quieres puedo poner el log, aunque no le veo mucha utilidad.
Saludos
-
Perdón por la demora :(
Tratá de encontrar y bajar la última versión del HijackThis, por favor asegurate que sea la última. Luego correlo y publicá el log aquí.
Si tenés dudas sobre cómo usar el HT, preguntame.
-
Ok trataré de bajarmelo y ya postearé el log.
-
me extraña que el alcohol te pueda dar guerra, no se, igual es que a la hora de actualizarse da una alarma que no es lo que parece y asi lo interpreta el adaware??
es que es un poco raro, to tambien lo uso y sin pegas :wink:
-
No, Dabo, entiendo que la alarma provino del Sygate y no del Ad-Aware. El firewall le informó que el Word se quiso conectar a Internet vía el Alcohol... ¿Puede ser que el Word esté infectado con algún gusano o algo así?
-
perdon, ,me explique mal, me refieria al fire pero es que no veo la correlacion aunque con lo que duermo no me extraña :lol: :lol:
-
Bien ya tengo el log con la versión actualizada. Fats si pudiese enviartelo al correo mejor, tiene bastante info de los programas que corren en mi equipo y esas cosas no me gusta dejarlas por ahi :P, además de unas cuantas IPs. Ah mi equipo es un portatil, por aclarar posibles entradas que veas.
Solo hay una cosa que no me hace gracia te la marcaré.
Si todo está OK enviame un MP. Me parece bien seguir comentando aqui lo que se vaya viendo o la solución.
-
El usuario es quien manda, así que si los demás no tienen inconveniente, yo tampoco. Ya te mandé un MP con mi dirección de mail, así que espero tu respuesta.
Nuevamente perdón por las demoras, pero es lo más que puedo hacer... :cry:
-
Bueno, paso a contarte qué es lo que veo:
O1 - Hosts: 64.91.255.87 xxx.dcsresearch.com
(cambié las www por xxx).
Si no lo pusiste vos, sacalo (marcalo en el HijackThis y apretá Fix checked). Lo que hace esto es redireccionar la dirección de la derecha a la IP de la izquierda.
En O17, el que dice 172.22.100.2, si no lo conocés (es decir, si no es algo de tu proveedor de Internet o de una intranet), podés eliminarlo.
El otro O17 es de Terra Banda Ancha (195.235.etc...), así que no lo toques.
No estaría de más que bajes y ejecutes el VX2Finder:
http://download.broadbandmedic.com/VX2Finder(126).exe
y publiques aquí los resultados.
No me gusta la entrada:
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
no la puedo encontrar en ningun sitio. Si no estás seguro de lo que pueda ser... vemos cómo nos manejamos. Por lo pronto, el eliminar la entrada en el HijackThis sólo asegura que no corra, y no que se haya eliminado el archivo, por lo cual si no sabés qué es se puede eliminar.
Tampoco reconozco:
C:\WINDOWS\System32\wbem\wmiapsrv.exe
aunque podría ser perfectamente sano.
El resto, salvo que se me haya escapado algo, parece normal.
Tené en cuenta que cada cosa que hacés en el HijackThis tiene backup (al menos eso debería ser por defecto, por las dudas chequealo entrando a Config, creo...). Si eliminás algo siempre se puede restaurar si tenés el backup, por lo que es importante que el HijackThis tenga su propia carpeta.
Bueno, espero tus respuestas y/o resultados.
Un abrazo!