Mi log por posible troyano System

Bienvenido: ( Identificarse | Registrarse )

Foros de Trucos Windows

Indice Foros Descargas eLinks Analisis Procesos Buscar Nuevos Ayuda

√ Foros de Windows y Seguridad Informática > Área de Reciclaje > Temas antiguos > Seguridad informática

Closed Topic

Start new topic

Start Poll

Outline · [ Estándar ] · Lineal+

Mi log por posible troyano System, Mi log por posible troyano System

Suscribirse | Enviar por correo | Imprimir

tagasaste	Dec 7 2005, 02:07 AM Publicado: #1
Newbie Grupo: Members Mensajes: 13 Registrado: 26-October 05 Miembro nº: 151.376	Analizados los procesos que corren en mi PC, he comprobado que con arreglo a la lista que corre en la WEB, tengo un proceso titulado como System que puede ser un troyano, asu vez hay otro proceso que no se que aplicación lo hace correr. Envío el LOG sacado con el HijackThis segun he podido entender por otros mensajes. Gracias por la ayuda Logfile of HijackThis v1.99.1 Scan saved at 0:53:54, on 07/12/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Instalaciones Andres\Proteciones\avpcc.exe C:\Instalaciones Andres\Proteciones\avpm.exe C:\Instalaciones Andres\Proteciones\persfw.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Instalaciones Andres\Proteciones\avpcc.exe C:\Archivos de programa\ATI Technologies\Panel de Control de ATI\atiptaxx.exe C:\WINDOWS\PowerS.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\winlogon.exe D:\Andres D\eMule en USO 044b\emule.exe C:\Instalaciones Andres\Descargas\pedospe\P2PHazard.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Instalaciones Andres\Proteciones\ogrc.exe" O4 - HKLM\..\Run: [AVPCC] "C:\Instalaciones Andres\Proteciones\avpcc.exe" /wait O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmtrans.html O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8B1A45CD-994D-4421-9524-E1E6AC99CD63}: NameServer = 193.152.63.197,0.0.0.0 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Instalaciones Andres\Proteciones\avpcc.exe" /service (file missing) O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Instalaciones Andres\Proteciones\avpm.exe" /service (file missing) O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Instalaciones Andres\Proteciones\persfw.exe

tagasaste	Dec 7 2005, 02:12 AM Publicado: #2
Newbie Grupo: Members Mensajes: 13 Registrado: 26-October 05 Miembro nº: 151.376	Se me olvido poner el proceso que corre (PowerS.exe) y del cual no se el programa. Saludos

alnitak	Dec 8 2005, 07:42 PM Publicado: #3
Carpe Diem Grupo: Webmaster Mensajes: 6.398 Registrado: 28-August 03 Desde: Valencia, Venezuela Miembro nº: 25	PowerS.exe es un proceso asociado a tu tarjeta grafica. reinicia el sistema en modo seguro: Como reiniciar a prueba de fallos Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará) Ejecuta el HijackThis 1.99.1, dale a Do a System Scan Only , cheka las casillas de las siguientes entradas y dale a fix checked: O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps Escaneate con un antivirus y con alguna herramienta antispywares Reinicia normalmente el sistema.

tagasaste	Dec 9 2005, 12:49 AM Publicado: #4
Newbie Grupo: Members Mensajes: 13 Registrado: 26-October 05 Miembro nº: 151.376	Gracias Alnitak, hice lo que me recomendastes, pero despues de ejecutar el Hijackthis y dar a Do Asystem scan only, no apareció la entrada 04-HKLM\..\RunOnce:............ que tenía que fijar. No osbtante pase el antivirus y un antiSpyware y no me aparecieron nada relevante escepto alguna coquie. Te anexo el log, por si ves algo anormal. Saludos Logfile of HijackThis v1.99.1 Scan saved at 23:31:35, on 08/12/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Instalaciones Andres\Proteciones\avpcc.exe C:\Instalaciones Andres\Proteciones\avpm.exe C:\Instalaciones Andres\Proteciones\persfw.exe C:\Instalaciones Andres\Proteciones\avpcc.exe C:\WINDOWS\PowerS.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Instalaciones Andres\Proteciones\The Cleaner\tca.exe C:\Instalaciones Andres\Proteciones\The Cleaner\tcm.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\WINDOWS\system32\svchost.exe G:\Andres G\TENER\AntiTroyanos\Deteccion\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Instalaciones Andres\Proteciones\ogrc.exe" O4 - HKLM\..\Run: [AVPCC] "C:\Instalaciones Andres\Proteciones\avpcc.exe" /wait O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [tcactive] C:\Instalaciones Andres\Proteciones\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Instalaciones Andres\Proteciones\The Cleaner\tcm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmtrans.html O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8B1A45CD-994D-4421-9524-E1E6AC99CD63}: NameServer = 193.152.63.197,0.0.0.0 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Instalaciones Andres\Proteciones\avpcc.exe" /service (file missing) O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Instalaciones Andres\Proteciones\avpm.exe" /service (file missing) O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Instalaciones Andres\Proteciones\persfw.exe

Krosty	Dec 9 2005, 01:05 AM Publicado: #5
Thanatos Grupo: Miembros Vitalicios Mensajes: 3.507 Registrado: 13-January 05 Desde: Buenos Aires, Argentina Miembro nº: 59.993	El log esta limpio Saludos

Caito	Dec 9 2005, 03:48 AM Publicado: #6
No Spiware Grupo: Supervisor Global Mensajes: 17.550 Registrado: 15-August 04 Desde: Argentina Miembro nº: 13.043	Comenta cómo funciona para saber si cerramos este tema, gracias Salu2 Caito

tagasaste	Dec 9 2005, 10:31 PM Publicado: #7
Newbie Grupo: Members Mensajes: 13 Registrado: 26-October 05 Miembro nº: 151.376	Va Todo correcto, gracias a ambos por la ayuda que prestais desinteresadamente. Saludos

« Posterior · Seguridad informática · Anterior »

Closed Topic

Topic Options

Start new topic

Topicos similares

Titulo	Autor	visitas	Respuestas	Ultimo post
Grabador ide y sata a la vez posible?	Pavilongo	17	1	Oct 14 2008, 07:02 PM By: vitrox2007
Nod32 encuentra troyano	mabel305	114	3	Oct 11 2008, 11:25 PM By: Caito
Troyano Vundo	astovar	119	7	Oct 9 2008, 09:46 PM By: Caito
PC de un amigo con posible infección	JaCoBo	41	1	Oct 9 2008, 05:16 PM By: Caito
Mi log, posible infeccion [me manda Kbite]	Kaileena	96	13	Oct 7 2008, 10:34 PM By: Caito

Versión Lo-Fi

Fecha y Hora actual: 16th October 2008 - 02:01 AM

Invision Power Board v2.0.4 © 2008 IPS, Inc. Licensed to: ©trucoswindows.net