Hijackthis

Estado
Cerrado para nuevas respuestas

Mr-Cool

Nuevo Miembro
Miembro
#1
Hola gente

Yo otra vez solicitando ayuda, a la comunidad.

Creo que mi máquina se ha infectado con algún bicho, ya que desde algún tiempo se ha puesto muy lenta en arrancar y ejecutar tareas que antes eran de lo mas normales, programas como el Outlook, Access, incluso planillas Excel, creo que hay programas corriendo en segundo plano.

He ejecutado el Ad-Aware, y eliminado los objetos extraños, sin embargo la velocidad de ejecución no ha mejorado.

Aqui les posteo el log a ver si me pueden ayudar,

De antemano les agradezco la ayuda.

Logfile of HijackThis v1.98.2

Scan saved at 3:38:55, on 14/09/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\PCCWIN97.EXE

C:\WINDOWS\TEMP\SCB390.EXE

C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\POP3TRAP.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\TEMP\MPK.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE

C:\WINDOWS\SYSTEM\MAPISP32.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\WINWORD.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\A RCABEZAS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.todocl.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [KAZAA] C:\ARCHIVOS DE PROGRAMA\KAZAA\KAZAA.EXE /SYSTRAY

O4 - HKLM\..\Run: [OfficeScan95] "C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\pccwin97.exe" -HideWindow

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [OfficeScan95] "C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\pccwin97.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MyPopupKiller] C:\WINDOWS\TEMP\mpk.exe

O4 - Startup: routecti.pif = C:\ROUTECTI.BAT

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://172.16.10.55/officescan/clientinstall/RemoveCtrl.cab

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://172.16.10.55/officescan/clientinstall/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://172.16.10.55/officescan/clientinstall/setup.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - file://c:\x.cab
 

alnitak

Ex-Admin
Miembro
#2
Aclarame algo:

El My Popup Killer lo has instalado tu ?

Y de haberlo instalado tu por que lo estás ejecutando desde los archivos temporales ?

C:\WINDOWS\TEMP\MPK.EXE

Este otro proceso en los archivos temporales:

C:\WINDOWS\TEMP\SCB390.EXE

te suena conocido de algo ?

Por favor, abre este archivo con el bloc de notas:

C:\ROUTECTI.BAT

y posteame aquí el contenido.

En el HijackThis ve chekando esta:

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - file://c:\x.cab

y dale a fix.

De existir, elimina el archivo c:\x.cab
 

Mr-Cool

Nuevo Miembro
Miembro
#3
My popupkiller lo instale yo, pero no se porque esra instalado en el temporal ¿cual es lugar correcto? que me sugieres?

el otro programa ejecutable que me preguntas no lo reconoozco no se lo que es?

El ROUTECTI si lo tengo claro y no hay problema por direcciona el pc en la red.

X.cab que es?
 

alnitak

Ex-Admin
Miembro
#4
Desinstala el My popupkiller, elimina los archivos temporales y después vuelvelo a instalar a ver si crea su propia carpeta como debería ser.

No tengo idea del por que se esté ejecutando desde esa ubicacion pero no me parece algo normal.

Esta entrada:

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - file://c:\x.cab

es un ActiveX malicioso que te ha colcado algúna pagina, el archivo x.cab, si existe, es un archivo comprimido y probablemente contenga una dll maliciosa y un archivo inf o algo parecido, de existir puedes ver el contenido por ejemplo con el winrar.

Por el codigo {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} parece ser algo de BlazeFind, tal vez una redireccion a esta pagina: http://www.blazefind.com o a esta: http://static.vpptechnologies.com/blaze/landing.html pero definitivamente nada que quieras dejar en tu sistema.
 

Mr-Cool

Nuevo Miembro
Miembro
#5
gracias.

He borrado el x.cab y el SCB390.EXE no lo he podido encontrar en el TEMP, se habrá eliminado?
 
Estado
Cerrado para nuevas respuestas
Arriba Pie