Infectado

Estado
Cerrado para nuevas respuestas

Caito

Ex- Mod
Miembro
#1
Te dejo el log de un amigo a ver si das en el clavo, creo que está infectado por una nueva versión del coolwebsearch:

Logfile of HijackThis v1.99.0

Scan saved at 10:53:35, on 20/12/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\ARCHIVOS DE PROGRAMA\SERV-U\Serv-U32.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\slserv.exe

C:\WINNT\System32\TSIRCSRV.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\CAPM1RSK.EXE

C:\Archivos de programa\ORL\VNC\WinVNC.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\sllights.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\TSI32\tsircusr.exe

c:\fp-win\F-StopW.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE

D:\Avirmail\AvirMail.exe

C:\Archivos de programa\SED\SED.exe

C:\WINNT\system32\?hkntfs.exe

C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHENG.EXE

C:\Documents and Settings\gerenciacordoba2\Escritorio\Desinfeccion Spyware\Desinfeccion Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\ORL\VNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [LapLink Scheduler] "C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE"

O4 - HKLM\..\Run: [AvirMail] D:\Avirmail\AvirMail.exe

O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARCHIV~1\Aveo\Attune\bin\attune_ce.exe

O4 - HKLM\..\Run: [SESync] "C:\Archivos de programa\SED\SED.exe"

O4 - HKCU\..\Run: [Suie] C:\Documents and Settings\gerenciacordoba2\Datos de programa\lrnr.exe

O4 - HKCU\..\Run: [Omrnw] C:\WINNT\system32\?hkntfs.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Ventana de estado de Canon PC1200 iC D600 iR1200G.LNK = C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 69.50.161.82

O15 - Trusted IP range: 69.50.161.82 (HKLM)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BED1260-87D6-484F-BAC4-AE4C923F9521}: NameServer = 81.24.162.9,81.24.162.5,195.235.96.90

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: NameServer = 172.16.22.5,81.24.162.9

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: AutoExNT - Unknown - C:\WINNT\system32\AutoExNT.Exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: TSI Remote Control Service - Unknown - C:\WINNT\System32\TSIRCSRV.EXE

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: VNC Server - AT&T Research Labs Cambridge - C:\Archivos de programa\ORL\VNC\WinVNC.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe

Gracias

Caito
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Por favor, bájate e instala el programa Disk Cleaner

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Ejecuta el HijackThis 1.99.0.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

R3 - Default URLSearchHook is missing

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM\..\Run: [SESync] "C:\Archivos de programa\SED\SED.exe"

O4 - HKCU\..\Run: [Suie] C:\Documents and Settings\gerenciacordoba2\Datos de programa\lrnr.exe

O4 - HKCU\..\Run: [Omrnw] C:\WINNT\system32\?hkntfs.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 69.50.161.82 <<-- solo si no lo conoces

O15 - Trusted IP range: 69.50.161.82 (HKLM) <<-- solo si no lo conoces

O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Elimina estos archivos si todavía existen:

C:\Documents and Settings\gerenciacordoba2\Datos de programa\lrnr.exe

C:\WINNT\system32\?hkntfs.exe

Elimina estas carpetas y todo su contenido si todavía existen:

C:\Archivos de programa\SED\

Limpia la papelera.

Reinicia el sistema normalmente.

Instala la ultima versión de Ad Aware SE, actualízalo y escanéate para que termine de limpiar.

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie