Ayuda para eliminar el Spyware "Exploit"

Estado
Cerrado para nuevas respuestas

jmnavasdurban

Nuevo Miembro
Miembro
#1
Hola amigos, a ver si encuentro un "experto" que me pueda echar un cable, que ya estoy desesperado...

En un portátil con Win2000 he detectado el Spyware "Exploit" ubicado en el Registry Entry. Lo he encontrado con el PCORION, un programa AntiSpy. Una vez detectado, para eliminarlo tengo que comprar el programa, pero cuando me conecto a internet el problema que tengo es que el Exploit éste empieza a trabajar, y lo que hace es, por un lado, enviar montones de datos (no sé qué c... mandará), y por otro lado me ocupa el 100% de la CPU, de manera que todo va cada vez más lento y hasta que no apago el ordenador no recupera la normalidad. Aunque me desconecte de la red me sigue ralentizando el sistema cada vez más.

¿Alguien podría ayudarme a deshacerme del dichoso "Exploit"? ¿Y de paso aconsejarme acerca de mi idea de comprar el PCOrion, o algún otro?

Gracias mil.
 
A

Arwing

Guest
#2
Descarga el programa HijackThis 1.99.0 y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo en este post para un análisis.

Arwing
 
A

Arwing

Guest
#3
Ah, y no te recomiendo que compres el PCOrion.

Arwing
 

jmnavasdurban

Nuevo Miembro
Miembro
#4
Gracias, Arwing. Aquí te envío el log:

Logfile of HijackThis v1.99.0

Scan saved at 22:25:31, on 24/01/2005

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\ati2plab.exe

C:\WINNT\CPQDIAG\CPQDFWAG.EXE

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\ARCHIV~1\Compaq\COMPAQ~3\hibserv.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\snmp.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\Explorer.exe

C:\WINNT\System32\Promon.exe

C:\WINNT\System32\ltmsg.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\Atiptaxx.exe

C:\Archivos de programa\Compaq\HotKey Software\hkss.exe

C:\Archivos de programa\Compaq\EasyAccessButtons\cpqek.exe

C:\ARCHIV~1\Compaq\Security\Secure32.exe

C:\Archivos de programa\Compaq\PowerCon Enhancements\CPQAcDc.Exe

C:\WINNT\System32\PRPCUI.exe

C:\WINNT\system32\defragfatz.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\WINNT\System32\internat.exe

C:\WINNT\System32\ntsf.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Documents and Settings\Administrador\Escritorio\AntiEspías\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telefonica.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telefonica.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.altavista.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jump.altavista.com/avie5/searchpane

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Telefónica Net

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Promon.exe] Promon.exe

O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9

O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe

O4 - HKLM\..\Run: [hkss] C:\Archivos de programa\Compaq\HotKey Software\hkss.exe

O4 - HKLM\..\Run: [cpqek] C:\Archivos de programa\Compaq\EasyAccessButtons\cpqek.exe

O4 - HKLM\..\Run: [Compaq Computer Security] C:\ARCHIV~1\Compaq\Security\Secure32.exe

O4 - HKLM\..\Run: [CPQAcDc] C:\Archivos de programa\Compaq\PowerCon Enhancements\CPQAcDc.Exe

O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimE:)ll.exe AimGestA.dll 10 run

O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\system32\defragfatz.exe

O4 - HKLM\..\Run: [Windows Online Updater] dllman.exe

O4 - HKLM\..\Run: [IO_I[L]YLa\IQHMN] C:\WINNT\System32\osncspxtelsj.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\RunServices: [Windows Online Updater] dllman.exe

O4 - HKLM\..\RunServices: [IO_I[L]YLa\IQHMN] C:\WINNT\System32\osncspxtelsj.exe

O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.telefonica.net

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{597BA0AD-37C6-4D4F-BBE2-5D41E6881794}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\System32\ati2plab.exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Compaq Remote Diagnostics Enabling Agent - Compaq Computer Corporation - C:\WINNT\CPQDIAG\CPQDFWAG.EXE

O23 - Service: Symantec AntiVirus Definition Watcher - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Hibernation - Unknown - C:\ARCHIV~1\Compaq\COMPAQ~3\hibserv.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: SAVRoam - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Servicio SNMP - Unknown - C:\WINNT\System32\snmp.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe
 
K

Krosty

Guest
#5
por que no te bajas el spybot search and destroy. te lo va a sacar

saludos
 

son_Goku

super saiyajjin
Miembro
#6
ese exploit de del explorer es una desgracia, uno lo remueve y vuelve a aparecer.

creo que nunca se logra borrar
 
Estado
Cerrado para nuevas respuestas
Arriba Pie