hijackthis

Tema en 'Seguridad informática' comenzado por Ma_Lu, 15/12/05.

Estado del tema:
No está abierto para más respuestas.
  1. Ma_Lu

    Ma_Lu Nuevo Miembro Miembro

    Alguien puede ayudarme??nose si tengo virusss



    Logfile of HijackThis v1.99.1

    Scan saved at 23:11:15, on 15/12/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\SYSTEM32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

    C:\Archivos de programa\Persystems\Perav\PERVAC.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

    C:\WINDOWS\SOUNDMAN.EXE

    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

    C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

    C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Archivos de programa\RegCleaner\RegCleanr.exe

    C:\DOCUME~1\Marina\CONFIG~1\Temp\Directorio temporal 1 para hijackthis[1].zip\HijackThis.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trucoswindows.net/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {8998EC28-6C55-1245-43C8-4E25B3939896} - C:\DOCUME~1\Carlos\DATOSD~1\STYLED~1\JUGSWINDOW.exe

    O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

    O4 - HKLM\..\Run: [ScanRegistry] C:\W

    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

    O4 - HKLM\..\Run: [boob anti vc chic] C:\Documents and Settings\All Users\Datos de programa\loud user boob anti\SoftwarePlay.exe

    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

    O4 - HKLM\..\Run: [EPSON Stylus C44 Series (Copiar 2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P34 "EPSON Stylus C44 Series (Copiar 2)" /O6 "USB001" /M "Stylus C44"

    O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O5 "LPT1:" /M "Stylus C44"

    O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

    O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

    O4 - HKLM\..\Run: [NI.UWFX5YLP_0001_0816] "C:\Documents and Settings\Marina\Configuración local\Archivos temporales de Internet\Content.IE5\YAFIS6EW\WFI_SPN[1].exe"

    O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [InterBody] C:\DOCUME~1\Marina\DATOSD~1\TRAYBI~1\JunkCreativeFlap.exe

    O4 - HKCU\..\Run: [iESpa] C:\Archivos de programa\DreamenStudio\IESpa.exe

    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

    O4 - Global Startup: Actualización de PER Antivirus.lnk = C:\Archivos de programa\Persystems\Perav\PERUPD.EXE

    O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

    O8 - Extra context menu item: &Search - http://kv.bar.need2find.com/KV/menusearch.html?p=KV

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

    O18 - Filter: text/html - (no CLSID) - (no file)

    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

    O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

    O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVAC.EXE
     
  2. Caito

    Caito Nuevo Miembro Miembro

    Bajar ewido security suite:



    Descargar Ewido Anti-Malware | Seguridad - Anti-Spyware



    Actualizarlo acá:



    Descargar Ewido Anti-Malware | Seguridad - Anti-Spyware



    Configurarlo así:



    • Durante la instalacion Abajo donde dice "Additional Options" Desmarca las casillas de "Install background guard" y "Install scan via context menu".

    • Lanza o abre Ewido, Dandole doble click a una gran E que aparecera en tu escritorio

    • El programa te preguntara algo sobre las actualizaciones. Click en OK

    • El programa te mandara a la pantalla principal.

    Tu vas a tener que actualizar las definiciones a la ultima version

    • En el lado derecho de la pantalla principal da click en update

    • Da click en Start

    El proceso se va iniciar y seas informado mediante una barra de progreso.



    Una vez las actualizaciones hayan sido instaladas haz lo siguiente:

    • Reinicia en el modo seguro. Puedes hacer esto reiniciando tu PC, Y pulsando muchas veces la tela F8 hasta que un menu aparezca. Dirijete con la flecha hacia arriba para seleccionar el modo seguro. Dale enter. Cuando ya se inicie abre el ewido.

    • Clickea en el scaner

    • Antes de escanear verifica que las siguientes casillas de verificacion esten marcadas:

    o Binder

    o Crypter

    o Archives

    • Clickea en start scan

    • Deja que el programa analize tu PC

    Durante el progreso se te preguntara sobre desinfectar archivos clickea en OK



    Una vez que el escaneo haya terminado, hay un boton localizado en la parte baja de la pantallla que dice save report

    • Clickea en save report

    • Guarda tu reporte en el escritorio

    Limpias con ese programa, nos pones el reporte de ese y un nuevo log del hijack

    Salu2

    Caito
     
  3. Ma_Lu

    Ma_Lu Nuevo Miembro Miembro

    Hola de nuevo! ya he hecho todo lo q me dijiste y te pongo los resultados,ok?





    AQUI VA EL LOG DEL HIJACKTHIS



    Logfile of HijackThis v1.99.1

    Scan saved at 14:45:16, on 16/12/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\SYSTEM32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

    C:\WINDOWS\SOUNDMAN.EXE

    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

    C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

    C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

    C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

    C:\Archivos de programa\Persystems\Perav\PERVAC.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

    C:\Archivos de programa\ewido\security suite\SecuritySuite.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\DOCUME~1\Marina\CONFIG~1\Temp\Directorio temporal 2 para hijackthis[1].zip\HijackThis.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trucoswindows.net/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {8998EC28-6C55-1245-43C8-4E25B3939896} - C:\DOCUME~1\Carlos\DATOSD~1\STYLED~1\JUGSWINDOW.exe (file missing)

    O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

    O4 - HKLM\..\Run: [ScanRegistry] C:\W

    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

    O4 - HKLM\..\Run: [boob anti vc chic] C:\Documents and Settings\All Users\Datos de programa\loud user boob anti\SoftwarePlay.exe

    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

    O4 - HKLM\..\Run: [EPSON Stylus C44 Series (Copiar 2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P34 "EPSON Stylus C44 Series (Copiar 2)" /O6 "USB001" /M "Stylus C44"

    O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O5 "LPT1:" /M "Stylus C44"

    O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

    O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

    O4 - HKLM\..\Run: [NI.UWFX5YLP_0001_0816] "C:\Documents and Settings\Marina\Configuración local\Archivos temporales de Internet\Content.IE5\YAFIS6EW\WFI_SPN[1].exe"

    O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [InterBody] C:\DOCUME~1\Marina\DATOSD~1\TRAYBI~1\JunkCreativeFlap.exe

    O4 - HKCU\..\Run: [iESpa] C:\Archivos de programa\DreamenStudio\IESpa.exe

    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

    O4 - Global Startup: Actualización de PER Antivirus.lnk = C:\Archivos de programa\Persystems\Perav\PERUPD.EXE

    O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

    O8 - Extra context menu item: &Search - http://kv.bar.need2find.com/KV/menusearch.html?p=KV

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

    O18 - Filter: text/html - (no CLSID) - (no file)

    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

    O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

    O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

    O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVAC.EXE





    Y AQUI ESTA EL LOG DEL EWIDO!!



    ewido security suite - Report de exploración

    ---------------------------------------------------------



    + Creado en: 14:41:37, 16/12/2005

    + Report-Checksum: 85F0815E



    + Scan result:



    HKLM\SOFTWARE\Altnet -> Spyware.Altnet : Error durante limpieza

    HKLM\SOFTWARE\Altnet\Dashboard -> Spyware.Altnet : Error durante limpieza

    HKLM\SOFTWARE\Altnet\Dashboard\Settings -> Spyware.Altnet : Error durante limpieza

    HKU\S-1-5-21-343818398-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25D8BACF-3DE2-4B48-AE22-D659B8D835B0} -> Spyware.RXToolbar : Limpio con backup

    HKU\S-1-5-21-343818398-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D1C4E81-A32A-416B-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Limpio con backup

    HKU\S-1-5-21-343818398-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-90F0-F66AB581A933} -> Spyware.MyWebSearch : Limpio con backup

    [1624] C:\DOCUME~1\Carlos\DATOSD~1\STYLED~1\JUGSWINDOW.exe -> Downloader.Swizzor.bo : Limpio con backup

    [1444] C:\DOCUME~1\Carlos\DATOSD~1\STYLED~1\JUGSWINDOW.exe -> Downloader.Swizzor.bo : Error durante limpieza

    C:\Archivos de programa\K-Lite\TopSearch.dll -> Spyware.Altnet : Limpio con backup

    C:\Documents and Settings\Carlos\Cookies\carlos@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup

    C:\Documents and Settings\Marina\Cookies\marina@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup

    C:\Documents and Settings\Marina\Cookies\marina@atdmt[2].txt -> Spyware.Cookie.Atdmt : Limpio con backup

    C:\RECYCLER\S-1-5-21-343818398-1580436667-1708537768-500\Dc2\TopSearch.dll -> Spyware.Altnet : Limpio con backup

    C:\WINDOWS\intercept.dll -> Adware.Spyaxe : Limpio con backup

    C:\WINDOWS\system32\drivers\df_kmd.sys -> Trojan.Rootkit.Agent.af : Limpio con backup

    C:\WINDOWS\system32\intercept.dll -> Adware.Spyaxe : Limpio con backup





    ::Fin Report
     
  4. Caito

    Caito Nuevo Miembro Miembro

    Imprime o copia estas indicaciones!!!



    Si no sabes cómo hacer algunos de los procedimientos mira esto:

    http://www.trucoswindows.net/forowindows/manuales-seguridad/19526-manual-pasos-seguir-hijackthis.html



    Si dispones de un punto de restauración anterior a los problemas deberías intentar usarlo y después tomar otro log, es la única manera segura y la más rápida de solucionar el problema. Si no dispones de un punto de restauración sigue las siguientes instrucciones:



    Esto es muy importante : ( SI TE SALTEAS ESTE PASO TE RECOMIENDO QUE NO HAGAS NADA )



    Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack



    Luego :



    Baja este programa:

    disk cleaner



    Disk Cleaner - Descargas Trucos Windows



    Y el AdAware Se 1.06 :



    http://www.trucoswindows.net/descargas/ad-aware/

    Actualízalo al 14/12/05



    Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )



    Desactiva Restaurar Sistema (si tienes ME o XP )

    Reinicia en Modo seguro o A prueba de Fallos

    Haz que se vean todos los archivos.

    Cierra todas las aplicaciones

    Lanza el Hijack

    Busca “Open the Misc Tools Section"

    Selecciona "Open process manager"

    Busca los siguientes procesos:



    SoftwarePlay.exe

    YAFIS6EW\WFI_SPN[1].exe

    JunkCreativeFlap.exe



    Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

    Cuando terminas con todos clickea "Back"

    Scan y luego Fix a estas:



    O2 - BHO: (no name) - {8998EC28-6C55-1245-43C8-4E25B3939896} - C:\DOCUME~1\Carlos\DATOSD~1\STYLED~1\JUGSWINDOW.exe (file missing)

    O4 - HKLM\..\Run: [boob anti vc chic] C:\Documents and Settings\All Users\Datos de programa\loud user boob anti\SoftwarePlay.exe>solo si NO sabes a qué se refiere

    O4 - HKLM\..\Run: [NI.UWFX5YLP_0001_0816] "C:\Documents and Settings\Marina\Configuración local\Archivos temporales de Internet\Content.IE5\YAFIS6EW\WFI_SPN[1].exe">solo si NO sabes a qué se refiere

    O4 - HKCU\..\Run: [InterBody] C:\DOCUME~1\Marina\DATOSD~1\TRAYBI~1\JunkCreativeFlap.exe>solo si NO sabes a qué se refiere

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

    O8 - Extra context menu item: &Search - http://kv.bar.need2find.com/KV/menusearch.html?p=KV

    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    O18 - Filter: text/html - (no CLSID) - (no file)



    Cierra el Hijack.

    Busca estos archivos y los eliminas: (pueden no estar )



    C:\Documents and Settings\All Users\Datos de programa\loud user boob anti\SoftwarePlay.exe>solo si NO sabes a qué se refiere

    C:\Documents and Settings\Marina\Configuración local\Archivos temporales de Internet\Content.IE5\YAFIS6EW\WFI_SPN[1].exe">solo si NO sabes a qué se refiere

    C:\DOCUME~1\Marina\DATOSD~1\TRAYBI~1\JunkCreativeFlap.exe>solo si NO sabes a qué se refiere



    Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.



    Vacía la Papelera

    Lanza el AdAware Se 1.06 actualizado al 14/12/05

    Reinicia normal, conecta Internet y pega un nuevo log del Hijack.

    Salu2

    Caito
     
Estado del tema:
No está abierto para más respuestas.

Comparte esta página