Lowzones7-gen; Soy novato con HijackThis

Estado
Cerrado para nuevas respuestas.

jcarloss

Nuevo Miembro
Miembro
Es la primera vez que uso el HijackThis. He llegado a él porque mi antivirus me detectó el trojano Lowzones-7.gen (Lowzones.U) en un archivo que ya había activado (instalador de Nero). Después he eliminado el archivo en el que me detectaba el virus, pero nó sé si el trojano habrá preparado algúna pirula en el registro. De momento, y siguiendo las instrucciones de una página francesa, he eliminado del registro (con regedit) los siguientes valores:

2001

2004

de la rama:

HKEY_CURRENT_USER

\Software

\Microsoft

\Windows

\Current Version

\Internet Settings

\Zones

\2

Por lo visto el j....... troyano reduce la seguridad de Internet Explorer, cambiando entradas del registro y agregando dominios en la zona de sitios de confianza.

Este es el log generado por HijackThis:

Logfile of HijackThis v1.99.0

Scan saved at 20:13:30, on 27/01/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\htpatch.exe

C:\WINDOWS\system32\RunDll32.exe

D:\PROGIN~1\UTILID~1\ALWILS~1\Avast4\ashDisp.exe

D:\ARCHIV~1\DAP\DAP.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

D:\Archivos de programa\winamp\winampa.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

D:\Prog instalados\Utilidades\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\OpenOffice.org1.0.1\program\soffice.exe

D:\Prog instalados\Utilidades\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\nvsvc32.exe

D:\Prog instalados\Utilidades\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\ntvdm.exe

C:\ARCHIV~1\TEXTware\HotKey\TWALINK.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Hijack This(Programa, que nos ayuda a eliminar spyware, adware, hijackers, BHO, etc., los cuales no son detectados por muchos antivirus)\HijackThis\HijackThiswww.trucoswindows.net]trucoswindows.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avast!] D:\PROGIN~1\UTILID~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [DownloadAccelerator] D:\ARCHIV~1\DAP\DAP.EXE /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WinampAgent] D:\Archivos de programa\winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Camera Detector] C:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: OpenOffice.org 1.0.1.lnk = C:\Archivos de programa\OpenOffice.org1.0.1\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HotKey.lnk = C:\Archivos de programa\TEXTware\HotKey\Twalink.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Download with &DAP - D:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Download &all with DAP - D:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.pandasoftware.es

O15 - Trusted Zone: http://*.windowsupdate.com

O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...76/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by3fd.bay3.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20b6a39a06e9ee...RdxIE601_es.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O23 - Service: avast! iAVS4 Control Service - Unknown - D:\Prog instalados\Utilidades\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - D:\Prog instalados\Utilidades\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Prog instalados\Utilidades\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: McAfee SecurityCenter Update Manager - Networks Associates Technology, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

jcarloss

Nuevo Miembro
Miembro
Cuando desde el editor de registro he abierto la carpeta:

HKEY_CURRENT_USER

\Software

\Microsoft

\Windows

\CurrentVersion

\Internet Settings

\Zones

\2

y he borrado los valores 2001 y 2004.

No sé lo que he hecho. ¿Alguien sabe decirme qué he hecho borrando estos valores? ¿He metido la pata haciéndolo? y si la he metido, cómo puedo arreglarlo?
 

alnitak

Ex-Admin
Miembro
No te preocupes que lo has hecho bien, esas entradas no existen en un XP normal, son creadas entres muchas otras por algúnos malwares para cambiar la configuración del IExplorer y hacer con el lo que le venga en ganas ;)

Escaneate con algún anti spyware para que termien de remover otras entradas que el troyano pueda haberte dejado, te aconsejo Ad Aware SE.
 
Estado
Cerrado para nuevas respuestas.
Arriba Pie