LOG HIJACKTHIS

Estado
Cerrado para nuevas respuestas

babyx2

Nuevo Miembro
Miembro
#1
He encontrado y eliminado algún worm, pero temo que pueda quedar algo. Aviso de que el Windows esta en aleman, por si se ve algo raro por ahi.

Gracias!!

Logfile of HijackThis v1.98.2

Scan saved at 16:41:59, on 10.12.2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\Mixer.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe

C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe

C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

C:\Programme\HIJACKTHIS\HijackThis.exe

C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINNT\system32\tftp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O17 - HKLM\System\CCS\Services\Tcpip\..\{35E71491-2FFF-48F4-8ACE-D2F8D4BF4BFD}: NameServer = 217.237.150.33 217.237.151.161
 

alnitak

Ex-Admin
Miembro
#2
Wenn tftp.exe in Ihrem Netzwerk existiert und Sie es nicht wirklich benötigen, benennen Sie diese Datei um (z. B. in tftp-exe.old). Sie sollten die Datei nicht löschen, da Sie sie eventuell später im Zusammenhang mit anderer, legaler Software benötigen könnten.

Blockieren Sie den Verkehr an bestimmten Ports an Ihrer Firewall

Administratoren sollten eingehenden Verkehr an den folgenden Ports blockieren:

tcp/69 (genutzt von dem TFTP-Prozess)

Sie sollten dies in erster Linie an Ihrer Internet Firewall tun. Als zusätzliche Maßnahme sollten Sie außerdem den Zugang zu diesen Ports blockieren, damit potentiell infizierte, nicht vertrauenswürdige Netzwerke nicht darauf zugreifen können.

:confused: :confused: :confused: :confused: :Pnavidad
 

alnitak

Ex-Admin
Miembro
#3
Weno me dejé llevar por eso del Windows en Aleman :)

Termina el proceso tftp.exe y renombra el tftp.exe a tftp.exe_old

El Worm que hayas tenido ha activado este servicio y lamentablemente no se decirte en este momento de donde se desactiva así que una solucion momentanea puede ser la de renombralo ya que practicamente nadie lo usa y es bastante peligroso en cuanto le da acceso a tu sistema a cualquiera que tenga un client tftp
 

babyx2

Nuevo Miembro
Miembro
#4
Gracias por tu segunda respuesta ya que a pesar de que el Windows esta en aleman no tengo ni repapa de aleman. He hecho lo que me dices pero el virus-worm-loquesea que tengo vuelve a sacarse de la manga otro tftp.exe y sigue ejecutandolo. Mi antivirus (av personal edition) ha detectado el worm Worm/RBot.XW pero alucino porque si pongo esto en el google solo obtengo un link. Sera que han fabricado el virus especialmente para mi? :)

En fin, si alguien sabe como quitarse de encima este virusillo, que lo diga, please.

Gracias.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie