baje 1 programa pensando k era 1 hack para 1 juego, pero creo k es 1 keylogger por k lo detecto el antivirus , a ver si se ve algo extraño aki caito

gracias



Logfile of HijackThis v1.99.1
Scan saved at 07:45:04 p.m., on 03/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\htpatch.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\program files\Common Files\system\proxycfg.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Documents and Settings\usuario\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 207.248.240.119:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LogonStudio] "C:\Archivos de programa\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [Proxy Config Tool for Windows] C:\program files\Common Files\system\proxycfg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [startkeys] C:\WINDOWS\system32\mtnms.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\usuario\CONFIG~1\Temp\bundle_cdt1006.exe run
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [startkeys] C:\WINDOWS\system32\mtnms.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\Dap\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\Dap\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: FlashToolset - res://C:\ARCHIV~1\Easeweb\FLASHT~1.0TR\Swafer.dll/300
O8 - Extra context menu item: Get It With Kontiki - res://C:\Archivos de programa\Kontiki\bin\bh309190.dll/201
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\Dap\DAP.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\ARCHIV~1\AIM\aim.exe
O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: FlashToolset - {4A067D7A-84C4-4de8-A109-2BFBA2B39F72} - C:\ARCHIV~1\Easeweb\FLASHT~1.0TR\Swafer.dll (HKCU)
O9 - Extra 'Tools' menuitem: FlashToolset - {4A067D7A-84C4-4de8-A109-2BFBA2B39F72} - C:\ARCHIV~1\Easeweb\FLASHT~1.0TR\Swafer.dll (HKCU)
O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: System Config IEXPLORE (Security) - Unknown owner - C:\WINDOWS\system32\cfg\FireDaemon.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

¿Has instalado el Winpcap? No veo ningún keylogger, después de realizar estas instrucciones revisa tu máquina con algunos antivirus en línea, y después de terminar de limpiar cambia todas tus contraseñas.

Nota: Si desconoces alguno de los procedimientos que te pido (generalmente los remarcados en negritas), visita uno de los siguientes enlaces donde se explica más detalladamente esos procedimientos:

http://www.arwinianos.net/foro/index.php?topic=39
http://www.trucoswindows.net/foro/showtopic-25181.html

Descarga los siguientes programas en la misma carpeta que HijackThis:

Disk Cleaner

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Reinicia en Modo Seguro.

Abre HijackThis, asegúrate que sea el único programa abierto en la Barra de Tareas y selecciona las siguientes entradas (las que estén presentes):

O4 - HKLM\..\Run: [Proxy Config Tool for Windows] C:\program files\Common Files\system\proxycfg.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [startkeys] C:\WINDOWS\system32\mtnms.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\usuario\CONFIG~1\Temp\bundle_cdt1006.exe run
O4 - HKCU\..\Run: [startkeys] C:\WINDOWS\system32\mtnms.exe

O23 - Service: System Config IEXPLORE (Security) - Unknown owner - C:\WINDOWS\system32\cfg\FireDaemon.exe (file missing)

Y da click en el botón "Fix Checked"

Borra todos los archivos temporales con Disk Cleaner.

Ahora dirígete a Inicio >> Ejecutar >> services.msc >> e identifica los siguientes servicios:

System Config IEXPLORE (Security) - Unknown owner - C:\WINDOWS\system32\cfg\FireDaemon.exe

Da click derecho sobre ellos y selecciona Propiedades, si el servicio está Iniciado, entonces deténlo y cambia su tipo de inicio a Deshabilitado y acepta.

Ahora con HijackThis ve a Config >> Misc Tools >> Delete a NT Service y escribes el nombre del servicio:

Security

Y aceptas.

Ahora busca los siguientes archivos y/o carpetas y bórralos (puede que no existan algunos):

C:\Program Files\Media Gateway\
C:\WINDOWS\system32\mtnms.exe

Reinicia el sistema y pruébalo, dime si ha mejorado. Postea otro Log para ver si tu sistema ha quedado limpio de malware.

Saludos
Arwing