JS.Exception.Exploit written by shd

(11 Páginas)
« Primero
←
2
3
4
5
6
→
Último »

No puedes iniciar un tema nuevo
Este tema está cerrado

JS.Exception.Exploit COMO LO QUITO???????????

#46 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 30 June 2006 - 12:42 AM

Logfile of HijackThis v1.99.1
Scan saved at 05:47:02 p.m., on 29/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Navnt\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\Navnt\rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
D:\oracle\ora92\bin\omtsreco.exe
D:\oracle\ora92\bin\agntsrvc.exe
D:\oracle\ora92\Apache\Apache\apache.exe
C:\WINNT\system32\cmd.exe
D:\oracle\ora92\bin\dbsnmp.exe
D:\oracle\ora92\BIN\TNSLSNR.exe
d:\oracle\ora92\bin\ORACLE.EXE
C:\WINNT\system32\IoctlSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
D:\oracle\ora92\Apache\Apache\apache.exe
d:\oracle\ora92\bin\isqlplus
C:\ARCHIV~1\Navnt\vpexrt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Archivos de programa\Navnt\vptray.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINNT\kdx\KHost.exe
C:\Archivos de programa\Prolific\USB Flash Disk Utility\PLBkMon.exe
C:\WINNT\system32\HotfixQ0306270.exe
C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\system32\9e3f865.exe
D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\ARCHIV~1\RACLE~1\msconfig.exe
D:\Stephanie\Mis documentos\nadaka\?ecurity\w?crtupd.exe
D:\oracle\ora92\jdk\bin\java.exe
D:\oracle\ora92\jdk\bin\java.exe
C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE
c:\archiv~1\intern~1\iexplore.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\unzipped\HJT\HJT\HijackThis[www.trucoswindows.net].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bnfgbdeat...vWCpwTopmSV.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.cr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {062492AF-392E-479D-BF52-A7A4BCA00307} - C:\WINNT\compstuic.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - {CDEAF036-0A3C-8DF7-F889-835C47EC8622} - C:\DOCUME~1\STEPHA~1\DATOSD~1\GPLREA~1\IDOL COMP.exe (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\Navnt\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [kdx] C:\WINNT\kdx\KHost.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Prolific_PLUtil] C:\Archivos de programa\Prolific\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [epwt] C:\WINNT\epwt.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [kG3vLfBTV] C:\WINNT\onbjjfj.exe
O4 - HKLM\..\Run: [obcn] C:\WINNT\obcn.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [kG3vùõš/‚²95ßPÏvbšC:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINNT\onbjjfj.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Stephanie\Mis documentos\Docs\MsgPlus.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SHIMHOLEDEFYDATA] C:\Documents and Settings\All Users\Datos de programa\MoveTestShimHole\burnbyte.exe
O4 - HKLM\..\Run: [9e3f865.exe] C:\WINNT\system32\9e3f865.exe
O4 - HKLM\..\Run: [TrojanScanner] D:\Stephanie\Mis documentos\Docs\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [!ewido] "D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] D:\Stephanie\Mis documentos\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Showadmin] C:\DOCUME~1\STEPHA~1\DATOSD~1\MOVEFU~1\Help new.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Stephanie\Mis documentos\Docs\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Nsod] "C:\ARCHIV~1\RACLE~1\msconfig.exe" -vt yazr
O4 - HKCU\..\Run: [9e3f865.exe] C:\Documents and Settings\Stephanie\Configuración local\Datos de programa\9e3f865.exe
O4 - HKCU\..\Run: [Drssc] D:\Stephanie\Mis documentos\nadaka\?ecurity\w?crtupd.exe
O4 - HKCU\..\Run: [Ultimate Defender] "C:\Archivos de programa\Ultimate Defender\App.exe" hide
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://edits.mywebse...?p=ZNxdm119YYCR
O8 - Extra context menu item: Download all by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Musica - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp37\entrar.html
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O12 - Plugin for .mw2: C:\Archivos de programa\Internet Explorer\PLUGINS\NPLCSI32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.creative.com
O16 - DPF: {00000000-0000-0000-0000-100000000003} - http://code.trasferi...1c3224a6_35.exe
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/d.../int_ver32b.CAB
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windup.../bridge-c18.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.shar...ver/Install.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.co...UC/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitd...can8/oscan8.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.1...Recomendada.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensave.../sinstaller.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.spam...ckerutility.cab
O16 - DPF: {97B79133-88F0-45F0-8D57-0F2EF27D9C66} - http://85.255.114.166/1/rdgCR2404.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot....ownload/kdx.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/...s/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6803FAB1-7DCB-4F86-8167-955C62433568}: NameServer = 200.91.75.5,200.91.75.6
O20 - Winlogon Notify: cfgmngr32 - C:\WINNT\g7785715.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O20 - Winlogon Notify: winliw32 - C:\WINNT\SYSTEM32\winliw32.dll
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINNT\system32\CTSVCCDA.EXE (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\Navnt\defwatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\ARCHIV~1\Navnt\rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92Agent - Oracle Corporation - D:\oracle\ora92\bin\agntsrvc.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - D:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92HTTPServer - Unknown owner - D:\oracle\ora92\Apache\Apache\apache.exe" --ntservice (file missing)
O23 - Service: OracleOraHome92PagingServer - Unknown owner - D:\oracle\ora92/bin/pagntsrv.exe
O23 - Service: OracleOraHome92SNMPPeerEncapsulator - Unknown owner - D:\oracle\ora92\BIN\ENCSVC.EXE
O23 - Service: OracleOraHome92SNMPPeerMasterAgent - Unknown owner - D:\oracle\ora92\BIN\AGNTSVC.EXE
O23 - Service: OracleOraHome92TNSListener - Unknown owner - D:\oracle\ora92\BIN\TNSLSNR.exe
O23 - Service: OracleServiceBASES - Oracle Corporation - d:\oracle\ora92\bin\ORACLE.EXE
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINNT\system32\IoctlSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

#47 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 30 June 2006 - 01:05 AM

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 06:08:23 p.m. 29/06/2006

+ Scan result:

[2424] C:\ARCHIV~1\RACLE~1\msconfig.exe -> Adware.ClickSpring : Cleaned with backup (quarantined).
C:\WINNT\system32\services.dl$ -> Adware.PurityScan : Cleaned with backup (quarantined).
C:\WINNT\system32\smss.dl$ -> Adware.PurityScan : Cleaned with backup (quarantined).
C:\WINNT\compstuic.dll -> Downloader.Delf.aeo : Cleaned with backup (quarantined).
[3580] C:\WINNT\compstuic.dll -> Downloader.Delf.aeo : Error during cleaning.
C:\WINNT\g1036890.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g10656112.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g11829349.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g1263877.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g1928773.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g2103574.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g2823610.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g2846583.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g4057854.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g4059897.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g4808093.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g5106743.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g532615.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g5540627.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g6810072.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g7507094.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g7785715.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g8217145.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g901005.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
[172] C:\WINNT\g7785715.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
[2312] C:\WINNT\g7785715.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\system32\ѕуmbols\nopdb.exe -> Downloader.PurityScan.cq : Cleaned with backup (quarantined).
C:\WINNT\system32\regperf.ex$ -> Downloader.Zlob.qd : Cleaned with backup (quarantined).

::Report end

#48 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 30 June 2006 - 01:06 AM

ya y ahora???

#49 Caito

No Spiware

Grupo: Globales
Mensajes: 21063
Registrado: 15-August 04

Posted 30 June 2006 - 11:35 AM

Pon un nuevo log del hijack
Salu2
Caito

#50 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 06 July 2006 - 04:18 AM

ya volvi pq me sign ayudando please...

#51 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 06 July 2006 - 04:19 AM

Logfile of HijackThis v1.99.1
Scan saved at 09:23:22 p.m., on 05/07/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Navnt\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\Navnt\rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
D:\oracle\ora92\bin\omtsreco.exe
D:\oracle\ora92\bin\agntsrvc.exe
C:\WINNT\system32\cmd.exe
D:\oracle\ora92\BIN\TNSLSNR.exe
D:\oracle\ora92\bin\dbsnmp.exe
C:\WINNT\Explorer.EXE
d:\oracle\ora92\bin\ORACLE.EXE
C:\WINNT\system32\IoctlSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Mixer.exe
C:\Archivos de programa\Navnt\vptray.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINNT\kdx\KHost.exe
C:\Archivos de programa\Prolific\USB Flash Disk Utility\PLBkMon.exe
C:\WINNT\system32\HotfixQ0306270.exe
C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\system32\9e3f865.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
D:\Stephanie\Mis documentos\nadaka\?ecurity\w?crtupd.exe
c:\archiv~1\intern~1\iexplore.exe
C:\ARCHIV~1\Navnt\vpexrt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\unzipped\HJT\HJT\HijackThis[www.trucoswindows.net].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bnfgbdeat...vWCpwTopmSV.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.cr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {062492AF-392E-479D-BF52-A7A4BCA00307} - C:\WINNT\compstuic.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - {CDEAF036-0A3C-8DF7-F889-835C47EC8622} - C:\DOCUME~1\STEPHA~1\DATOSD~1\GPLREA~1\IDOL COMP.exe (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\Navnt\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [kdx] C:\WINNT\kdx\KHost.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Prolific_PLUtil] C:\Archivos de programa\Prolific\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [epwt] C:\WINNT\epwt.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [kG3vLfBTV] C:\WINNT\onbjjfj.exe
O4 - HKLM\..\Run: [obcn] C:\WINNT\obcn.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [kG3vùõš/‚²95ßPÏvbšC:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINNT\onbjjfj.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Stephanie\Mis documentos\Docs\MsgPlus.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SHIMHOLEDEFYDATA] C:\Documents and Settings\All Users\Datos de programa\MoveTestShimHole\burnbyte.exe
O4 - HKLM\..\Run: [9e3f865.exe] C:\WINNT\system32\9e3f865.exe
O4 - HKLM\..\Run: [TrojanScanner] D:\Stephanie\Mis documentos\Docs\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [!ewido] "D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] D:\Stephanie\Mis documentos\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Showadmin] C:\DOCUME~1\STEPHA~1\DATOSD~1\MOVEFU~1\Help new.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Stephanie\Mis documentos\Docs\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Nsod] "C:\ARCHIV~1\RACLE~1\msconfig.exe" -vt yazr
O4 - HKCU\..\Run: [9e3f865.exe] C:\Documents and Settings\Stephanie\Configuración local\Datos de programa\9e3f865.exe
O4 - HKCU\..\Run: [Drssc] D:\Stephanie\Mis documentos\nadaka\?ecurity\w?crtupd.exe
O4 - HKCU\..\Run: [Ultimate Defender] "C:\Archivos de programa\Ultimate Defender\App.exe" hide
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://edits.mywebse...?p=ZNxdm119YYCR
O8 - Extra context menu item: Download all by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Musica - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp37\entrar.html
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O12 - Plugin for .mw2: C:\Archivos de programa\Internet Explorer\PLUGINS\NPLCSI32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.creative.com
O16 - DPF: {00000000-0000-0000-0000-100000000003} - http://code.trasferi...1c3224a6_35.exe
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/d.../int_ver32b.CAB
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windup.../bridge-c18.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.shar...ver/Install.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.co...UC/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitd...can8/oscan8.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.1...Recomendada.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensave.../sinstaller.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.spam...ckerutility.cab
O16 - DPF: {97B79133-88F0-45F0-8D57-0F2EF27D9C66} - http://85.255.114.166/1/rdgCR2404.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot....ownload/kdx.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/...s/msnchat45.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spys...rcabinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE7340C2-5FDD-4CEC-B310-BF921F21182C}: NameServer = 196.40.31.206 196.40.31.250
O20 - Winlogon Notify: cfgmngr32 - C:\WINNT\g7785715.dll (file missing)
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O20 - Winlogon Notify: winliw32 - C:\WINNT\SYSTEM32\winliw32.dll
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINNT\system32\CTSVCCDA.EXE (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\Navnt\defwatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\ARCHIV~1\Navnt\rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92Agent - Oracle Corporation - D:\oracle\ora92\bin\agntsrvc.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - D:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92HTTPServer - Unknown owner - D:\oracle\ora92\Apache\Apache\apache.exe" --ntservice (file missing)
O23 - Service: OracleOraHome92PagingServer - Unknown owner - D:\oracle\ora92/bin/pagntsrv.exe
O23 - Service: OracleOraHome92SNMPPeerEncapsulator - Unknown owner - D:\oracle\ora92\BIN\ENCSVC.EXE
O23 - Service: OracleOraHome92SNMPPeerMasterAgent - Unknown owner - D:\oracle\ora92\BIN\AGNTSVC.EXE
O23 - Service: OracleOraHome92TNSListener - Unknown owner - D:\oracle\ora92\BIN\TNSLSNR.exe
O23 - Service: OracleServiceBASES - Oracle Corporation - d:\oracle\ora92\bin\ORACLE.EXE
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINNT\system32\IoctlSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

#52 Caito

No Spiware

Grupo: Globales
Mensajes: 21063
Registrado: 15-August 04

Posted 06 July 2006 - 11:45 AM

Imprime o copia estas indicaciones!!!

Si no sabes cómo hacer algunos de los procedimientos mira esto:
http://www.trucoswin...opic-25181.html

Esto es muy importante ( SI TE SALTEAS ESTE PASO TE RECOMIENDO QUE NO HAGAS NADA ) :

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema (si tienes ME o XP )
Reinicia en Modo seguro o A prueba de Fallos
Haz que se vean todos los archivos.
Cierra todas las aplicaciones
Ejecuta el Hijack :
Busca “Open the Misc Tools Section"
Selecciona "Open process manager"
Busca los siguientes procesos:

epwt.exe
onbjjfj.exe
obcn.exe
burnbyte.exe
9e3f865.exe
Help new.exe
w?crtupd.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”
Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

C:\WINNT\system32\9e3f865.exe
D:\Stephanie\Mis documentos\nadaka\?ecurity\w?crtupd.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bnfgbdeat...vWCpwTopmSV.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
O2 - BHO: (no name) - {062492AF-392E-479D-BF52-A7A4BCA00307} - C:\WINNT\compstuic.dll (file missing)
O2 - BHO: (no name) - {CDEAF036-0A3C-8DF7-F889-835C47EC8622} - C:\DOCUME~1\STEPHA~1\DATOSD~1\GPLREA~1\IDOL COMP.exe (file missing)
O4 - HKLM\..\Run: [epwt] C:\WINNT\epwt.exe
O4 - HKLM\..\Run: [kG3vLfBTV] C:\WINNT\onbjjfj.exe
O4 - HKLM\..\Run: [obcn] C:\WINNT\obcn.exe
O4 - HKLM\..\Run: [kG3v ùõš/‚²95 ßPÏvbšC:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINNT\onbjjfj.exe
O4 - HKLM\..\Run: [SHIMHOLEDEFYDATA] C:\Documents and Settings\All Users\Datos de programa\MoveTestShimHole\burnbyte.exe
O4 - HKLM\..\Run: [9e3f865.exe] C:\WINNT\system32\9e3f865.exe
O4 - HKCU\..\Run: [Showadmin] C:\DOCUME~1\STEPHA~1\DATOSD~1\MOVEFU~1\Help new.exe
O4 - HKCU\..\Run: [9e3f865.exe] C:\Documents and Settings\Stephanie\Configuración local\Datos de programa\9e3f865.exe
O4 - HKCU\..\Run: [Drssc] D:\Stephanie\Mis documentos\nadaka\?ecurity\w?crtupd.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O8 - Extra context menu item: &Search - http://edits.mywebse...?p=ZNxdm119YYCR
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {00000000-0000-0000-0000-100000000003} - http://code.trasferi...1c3224a6_35.exe
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/d.../int_ver32b.CAB
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windup.../bridge-c18.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.shar...ver/Install.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.1...Recomendada.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensave.../sinstaller.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.spam...ckerutility.cab
O16 - DPF: {97B79133-88F0-45F0-8D57-0F2EF27D9C66} - http://85.255.114.166/1/rdgCR2404.exe
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spys...rcabinstall.cab
O20 - Winlogon Notify: cfgmngr32 - C:\WINNT\g7785715.dll (file missing)

Cierra el Hijack.

Busca estos archivos y los eliminas: (pueden no estar )

C:\WINNT\system32\9e3f865.exe

D:\Stephanie\Mis documentos\nadaka\?ecurity\w?crtupd.exe

C:\WINNT\epwt.exe

C:\WINNT\onbjjfj.exe

C:\WINNT\obcn.exe

C:\Documents and Settings\All Users\Datos de programa\MoveTestShimHole\burnbyte.exe

O4 - HKCU\..\Run: [Showadmin] C:\DOCUME~1\STEPHA~1\DATOSD~1\MOVEFU~1\Help new.exe

O4 - HKCU\..\Run: [9e3f865.exe] C:\Documents and Settings\Stephanie\Configuración local\Datos de programa\9e3f865.exe

O4 - HKCU\..\Run: [Drssc] D:\Stephanie\Mis documentos\nadaka\?ecurity\w?crtupd.exe

Busca estas carpetas y elimínalas:

c:\archivos de programa\istsvc.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Ejecuta el Ewido

Reinicia normal, conecta Internet, pon el reporte del Ewido y pega un nuevo log del Hijack.
Salu2
Caito
PD:
Haz una copia de estos archivos :

C:\ARCHIV~1\RACLE~1\msconfig.exe
C:\WINNT\SYSTEM32\winliw32.dll

y los mandas a analizar acá:

http://www.virustota...h/index_es.html

pon el reporte que te manden

#53 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 06 July 2006 - 08:40 PM

ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "winliw32.dll" que VirusTotal ha recibido el día 06.07.2006 a las 21:29:12 (CET).

Antivirus Version Actualización Resultado
AntiVir 6.35.0.20 06.07.2006 TR/PCK.Klone.G.6
Authentium 4.93.8 06.07.2006 no ha encontrado virus
Avast 4.7.844.0 06.07.2006 no ha encontrado virus
AVG 386 04.07.2006 Generic.WYM
BitDefender 7.2 06.07.2006 no ha encontrado virus
CAT-QuickHeal 8.00 06.07.2006 no ha encontrado virus
ClamAV devel-20060426 05.07.2006 no ha encontrado virus
DrWeb 4.33 06.07.2006 Trojan.Mezzia
eTrust-InoculateIT 23.72.60 06.07.2006 Win32/SillyDL.YUI!DLL!Trojan
eTrust-Vet 12.6.2289 06.07.2006 Win32/Nebuler.F
Ewido 3.5 06.07.2006 no ha encontrado virus
Fortinet 2.77.0.0 05.07.2006 PECompact
F-Prot 3.16f 06.07.2006 no ha encontrado virus
F-Prot4 4.2.1.29 06.07.2006 no ha encontrado virus
Ikarus 0.2.65.0 06.07.2006 no ha encontrado virus
Kaspersky 4.0.2.24 06.07.2006 Packed.Win32.Klone.g
McAfee 4801 06.07.2006 no ha encontrado virus
Microsoft 1.1481 01.07.2006 no ha encontrado virus
NOD32v2 1.1646 06.07.2006 no ha encontrado virus
Norman 5.90.23 06.07.2006 no ha encontrado virus
Panda 9.0.0.4 06.07.2006 Spyware/Virtumonde
Sophos 4.07.0 06.07.2006 no ha encontrado virus
Symantec 8.0 06.07.2006 no ha encontrado virus
TheHacker 5.9.8.169 06.07.2006 no ha encontrado virus
UNA 1.83 06.07.2006 no ha encontrado virus
VBA32 3.11.0 06.07.2006 Trojan.Mezzia
VirusBuster 4.3.7:9 06.07.2006 no ha encontrado virus

Información adicional
Tamaño archivo: 15872 bytes
MD5: f226ef83f043a7c3941eeb605868792c
SHA1: 878fbef59cbc11fa3135fcd91f7ff80505a0d12b

#54 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 06 July 2006 - 08:42 PM

hay 1 monton de archivos y carpetaas que no encontré y o unos ni los hic xq no le entendi como:
Desactiva Restaurar Sistema (si tienes ME o XP )
Reinicia en Modo seguro o A prueba de Fallos: como no estaba entre en modo seguro
Haz que se vean todos los archivos.
Cierra todas las aplicaciones

#55 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 06 July 2006 - 10:15 PM

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 03:19:31 p.m. 06/07/2006

+ Scan result:

C:\WINNT\system32\admparsek.dll -> Adware.EasyEr : Cleaned with backup (quarantined).
C:\Documents and Settings\Rodolfo\Configuración local\Archivos temporales de Internet\Content.IE5\A5CD89A5\spamblockerutility[1].cab/hbinstie.dll -> Adware.HotBar : Cleaned with backup (quarantined).
C:\RECYCLER\S-1-5-21-1935655697-789336058-854245398-1003\Dc5484.exe/Save.exe -> Adware.SaveNow : Cleaned with backup (quarantined).
C:\RECYCLER\S-1-5-21-1935655697-789336058-854245398-1003\Dc5484.exe/SaveUninst.exe -> Adware.SaveNow : Cleaned with backup (quarantined).
C:\Documents and Settings\Mayra\Configuración local\Temp\temp.fr043D -> Adware.WinAD : Cleaned with backup (quarantined).
C:\Program Files\Media Access\MediaAccK.ex$ -> Adware.WinAD : Cleaned with backup (quarantined).
C:\WINNT\system32\compstuic.dll -> Downloader.Delf.aeo : Cleaned with backup (quarantined).
C:\WINNT\g1913361.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g3120947.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WINNT\g705214.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\WinLogon\G7785715.DLL -> Downloader.Delf.amb : Cleaned with backup (quarantined).
[2540] C:\WINNT\g705214.dll -> Downloader.Delf.amb : Cleaned with backup (quarantined).
C:\RECYCLER\S-1-5-21-1935655697-789336058-854245398-1003\Dc4088.exe -> Downloader.Keenval.f : Cleaned with backup (quarantined).
C:\Archivos de programa\Archivos comunes\Y1123OA.exe -> Downloader.PurityScan.cq : Cleaned with backup (quarantined).
C:\Documents and Settings\Mayra\Configuración local\Temp\OA.exe -> Downloader.PurityScan.cq : Cleaned with backup (quarantined).
C:\RECYCLER\S-1-5-21-1935655697-789336058-854245398-1003\Dc4255.exe -> Downloader.Small.fv : Cleaned with backup (quarantined).
C:\RECYCLER\S-1-5-21-1935655697-789336058-854245398-1003\Dc5484.exe/DnldStub.exe -> Downloader.Small.kl : Cleaned with backup (quarantined).
C:\WINNT\system32\dcomcfg.ex$ -> Downloader.Zlob.wa : Cleaned with backup (quarantined).
C:\WINNT\system32\atmclk.ex$ -> Downloader.Zlob.wb : Cleaned with backup (quarantined).
C:\Documents and Settings\Rodolfo\Cookies\rodolfo@microsofteup.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\Rodolfo\Cookies\rodolfo@fastclick[2].txt -> TrackingCookie.Fastclick : Cleaned.
C:\Documents and Settings\Rodolfo\Cookies\rodolfo@media.fastclick[1].txt -> TrackingCookie.Fastclick : Cleaned.
C:\Documents and Settings\Rodolfo\Cookies\rodolfo@revenue[2].txt -> TrackingCookie.Revenue : Cleaned.
C:\RECYCLER\S-1-5-21-1935655697-789336058-854245398-1003\Dc4267\mayra@www.sidefind[2].txt -> TrackingCookie.Sidefind : Cleaned.
C:\RECYCLER\S-1-5-21-1935655697-789336058-854245398-1003\Dc4267\mayra@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Cleaned.
C:\Documents and Settings\Mayra\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\YHAH4FO5\bgates[1].exe -> Trojan.Dialer.pz : Cleaned with backup (quarantined).
C:\Documents and Settings\Rodolfo\Configuración local\Archivos temporales de Internet\Content.IE5\UDKXA5IJ\bgates[1].exe -> Trojan.Dialer.pz : Cleaned with backup (quarantined).
C:\Documents and Settings\Stephanie\Configuración local\Archivos temporales de Internet\Content.IE5\MVS5ARUT\bgates[1].exe -> Trojan.Dialer.pz : Cleaned with backup (quarantined).
C:\WINNT\Temp\win203.tmp.exe -> Trojan.Pakes : Cleaned with backup (quarantined).
C:\WINNT\Temp\win20B.tmp.exe -> Trojan.Pakes : Cleaned with backup (quarantined).
C:\WINNT\Temp\win3E.tmp.exe -> Trojan.Pakes : Cleaned with backup (quarantined).
C:\Program Files\Sptwij\Vkhqnne.ex$ -> Trojan.Small.cy : Cleaned with backup (quarantined).

::Report end

#56 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 06 July 2006 - 10:17 PM

Logfile of HijackThis v1.99.1
Scan saved at 03:22:34 p.m., on 06/07/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Navnt\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\Navnt\rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
D:\oracle\ora92\bin\omtsreco.exe
D:\oracle\ora92\bin\agntsrvc.exe
D:\oracle\ora92\Apache\Apache\apache.exe
C:\WINNT\system32\cmd.exe
D:\oracle\ora92\bin\dbsnmp.exe
D:\oracle\ora92\BIN\TNSLSNR.exe
d:\oracle\ora92\bin\ORACLE.EXE
C:\WINNT\system32\IoctlSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
D:\oracle\ora92\Apache\Apache\apache.exe
D:\oracle\ora92\jdk\bin\java.exe
D:\oracle\ora92\jdk\bin\java.exe
d:\oracle\ora92\bin\isqlplus
C:\WINNT\Mixer.exe
C:\Archivos de programa\Navnt\vptray.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINNT\kdx\KHost.exe
C:\Archivos de programa\Prolific\USB Flash Disk Utility\PLBkMon.exe
C:\WINNT\system32\HotfixQ0306270.exe
C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINNT\system32\regsvr32.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\regsvr32.exe
C:\WINNT\system32\regsvr32.exe
C:\ARCHIV~1\Navnt\vpexrt.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\regsvr32.exe
C:\unzipped\HJT\HJT\HijackThis[www.trucoswindows.net].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.cr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {062492AF-392E-479D-BF52-A7A4BCA00307} - C:\WINNT\system32\compstuic.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B5F7FDF-0717-45BF-B49D-695F3168C7FE} - C:\WINNT\system32\admparsek.dll (file missing)
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\Navnt\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [kdx] C:\WINNT\kdx\KHost.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Prolific_PLUtil] C:\Archivos de programa\Prolific\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Stephanie\Mis documentos\Docs\MsgPlus.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TrojanScanner] D:\Stephanie\Mis documentos\Docs\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [!ewido] "D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] D:\Stephanie\Mis documentos\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Stephanie\Mis documentos\Docs\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Nsod] "C:\ARCHIV~1\RACLE~1\msconfig.exe" -vt yazr
O4 - HKCU\..\Run: [Ultimate Defender] "C:\Archivos de programa\Ultimate Defender\App.exe" hide
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Musica - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp37\entrar.html
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O12 - Plugin for .mw2: C:\Archivos de programa\Internet Explorer\PLUGINS\NPLCSI32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.creative.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.co...UC/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitd...can8/oscan8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot....ownload/kdx.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/...s/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE7340C2-5FDD-4CEC-B310-BF921F21182C}: NameServer = 196.40.31.206 196.40.31.250
O20 - Winlogon Notify: cfgmngr32 - C:\WINNT\g7492293.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O20 - Winlogon Notify: winliw32 - C:\WINNT\SYSTEM32\winliw32.dll
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINNT\system32\CTSVCCDA.EXE (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\Navnt\defwatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\ARCHIV~1\Navnt\rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92Agent - Oracle Corporation - D:\oracle\ora92\bin\agntsrvc.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - D:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92HTTPServer - Unknown owner - D:\oracle\ora92\Apache\Apache\apache.exe" --ntservice (file missing)
O23 - Service: OracleOraHome92PagingServer - Unknown owner - D:\oracle\ora92/bin/pagntsrv.exe
O23 - Service: OracleOraHome92SNMPPeerEncapsulator - Unknown owner - D:\oracle\ora92\BIN\ENCSVC.EXE
O23 - Service: OracleOraHome92SNMPPeerMasterAgent - Unknown owner - D:\oracle\ora92\BIN\AGNTSVC.EXE
O23 - Service: OracleOraHome92TNSListener - Unknown owner - D:\oracle\ora92\BIN\TNSLSNR.exe
O23 - Service: OracleServiceBASES - Oracle Corporation - d:\oracle\ora92\bin\ORACLE.EXE
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINNT\system32\IoctlSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

#57 Lestat

Experto Logs HijackThis

Grupo: Miembros Vitalicios
Mensajes: 10001
Registrado: 15-April 06

Posted 07 July 2006 - 12:16 AM

Hola shd

Por favor haz esto:(Marca las letras en negrita, para ver los procedimientos)

○» Sitúa el HijackThis.exe en una carpeta exclusiva para él (ej. C://Hijackthis/Hijackthis.exe)

○» Descarga el Disk Cleaner e instálalo.

○» Desactiva la opcion de Restaurar Sistema, una vez que tu sistema quede limpio la puedes volver a activar.

○» Asegura que tu sistema Muestre los archivos y carpetas ocultos

○» Reinicia en Modo Seguro

○» Ejecuta el HijackThis y da click en el boton "Do a system scan only"

○» Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":

O2 - BHO: (no name) - {062492AF-392E-479D-BF52-A7A4BCA00307} - C:\WINNT\system32\compstuic.dll (file missing)

O2 - BHO: (no name) - {0B5F7FDF-0717-45BF-B49D-695F3168C7FE} - C:\WINNT\system32\admparsek.dll (file missing)

O4 - Startup: .protected

O4 - Global Startup: .protected

O20 - Winlogon Notify: cfgmngr32 - C:\WINNT\g7492293.dll

○» Ahora busca y elimina los siguientes archivos y/o carpetas, si existen:

C:\WINNT\g7492293.dll

○» Limpia la papelera

○» Reinicia tu sistema operativo normalmente

○» Utiliza el Disk Cleaner para eliminar todos los archivos temporales del sistema

○» Haz un par de Scan on line, pasa el Ewido, pega otro log, mas los report del Ewido y los Scan.

http://www.bitdefend...m/scan8/ie.html
http://housecall.trendmicro.com/

Saludos

Cita

Nota. Si requieres ayuda con el log del HijackThis crea una "Nueva Discusión" (que sera solo para ti) y plantea tu problema evitando títulos de "Ayuda", "Por favor Ayuda", "Help", "Me revisan el log", etc. y colocando en su lugar una pequeña descripción de tu problema o el proceso que "sospechas" te esta causando los inconvenientes.

#58 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 07 July 2006 - 05:07 PM

pero ahi no explican coo restauro sistema p windows 2000 :dudas:

#59 shd

Miembro Elite

Grupo: Members
Mensajes: 166
Registrado: 28-June 06

Posted 07 July 2006 - 05:13 PM

o si uso La última configuración buena conocida es tb con f8 y la tendria que prender asi luego la apago y la inicio en modo seguro???

#60 Lestat

Experto Logs HijackThis

Grupo: Miembros Vitalicios
Mensajes: 10001
Registrado: 15-April 06

Posted 07 July 2006 - 05:40 PM

Si, en Windows 2000 ultima configuracion buena conocida.
Y si luego en modo seguro.

Un Saludo

(11 Páginas)
« Primero
←
2
3
4
5
6
→
Último »

No puedes iniciar un tema nuevo
Este tema está cerrado

Foros de Windows y Seguridad Informática: JS.Exception.Exploit written by shd