Log recibido del usuario indycorreo

Estado
Cerrado para nuevas respuestas

alnitak

Ex-Admin
Miembro
#1
Por favor, no soliciten ayuda a través de mensajes privados, posteen sus logs aquí en el foro de seguridad y se le irá respondiendo a todos</span>

logfile of HijackThis v1.97.7

Scan saved at 19:03:07, on 13/08/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\ARCHIVOS DE PROGRAMA\OSITIS SOFTWARE\WINPROXY 4.0\WINPROXY.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET\WINPPPOVERETHERNET.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOWNLOADS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {1A2C1AB2-EFB7-DEA1-E27A-B5D1CA6AA3F2} - C:\ARCHIVOS DE PROGRAMA\GREAT GLUE PLATFORM\LITE WINDOW.EXE

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [z-WrDialer] C:\ARCHIVOS DE PROGRAMA\WINPOET\WrDialer.exe

O4 - HKLM\..\Run: [a-winpoet-service] C:\Archivos de programa\WinPoET\WinPPPoverEthernet.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [send five] C:\ARCHIV~1\INSIDE~1\Mags this.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [Coolfiveshowdrive] C:\WINDOWS\Application Data\rdr amok cool five\One Junk.exe

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe"

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [WinProxy] C:\ARCHIV~1\OSITIS~1\WINPRO~1.0\WinProxy.exe /WindowsRun

O8 - Extra context menu item: Descargar usando FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_link.htm

O8 - Extra context menu item: Descargar TODO con FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_all.htm

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab28578.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/47828ea8f95e786a85256d74004bf94b?OpenDocument

Reinicia el sistema en modo seguro:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/2eb701113550b16e88256e2b006ca965?OpenDocument

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

O2 - BHO: (no name) - {1A2C1AB2-EFB7-DEA1-E27A-B5D1CA6AA3F2} - C:\ARCHIVOS DE PROGRAMA\GREAT GLUE PLATFORM\LITE WINDOW.EXE

O4 - HKLM\..\Run: [send five] C:\ARCHIV~1\INSIDE~1\Mags this.exe

O4 - HKLM\..\Run: [Coolfiveshowdrive] C:\WINDOWS\Application Data\rdr amok cool five\One Junk.exe

Elimina estas carpetas y todo su contenido

C:\ARCHIVOS DE PROGRAMA\GREAT GLUE PLATFORM\

C:\ARCHIVOS DE PROGRAMA\INSIDE~1\ ve tu el nombre exacto

C:\WINDOWS\Application Data\rdr amok cool five\

Reinicia normalmente, y postea un nuevo log.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
A

Arwing

Guest
#3
Yo diría que esta entrada también es sospechosa:

O4 - HKLM\..\Run: [z-WrDialer] C:\ARCHIVOS DE PROGRAMA\WINPOET\WrDialer.exe

A mi no me da confianza.

Arwing

----------

Editado:

Ya revisé bien y lo confundí con un spyware que se llama igual. Pero de todos modos lo podrías quitar, ya que no es crítico:

http://www.windowsstartup.com/wso/browse.p...art=300&end=325

Arwing
 

alnitak

Ex-Admin
Miembro
#4
Pues no, esa es una entrada legal del WINPOET así que ni tocar o se puede quedar sin conexión B)
 

indycorreo

Nuevo Miembro
Miembro
#5
Muchas gracias ¡¡funciono!!.

Al fin removí la barra searchweb2 :):) :D :D :D

Saludos a todos.

Indiana
 
Estado
Cerrado para nuevas respuestas
Arriba Pie