pinfi.......W32

Estado
Cerrado para nuevas respuestas

quiveiro5

Nuevo Miembro
Miembro
#1
Lamento las molestias......

Si ven algo raro, diganme, hice todo, paso a paso....pero ustedes me dirán si necesito Hacer algo más....

StartupList report, 09-08-2004, 3:06:22

StartupList version: 1.52

Started from : C:\Documents and Settings\Leo\Escritorio\Seguridad\Startuplist\StartupList.EXE

Detected: Windows XP (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2600.0000)

* Using default options

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\GHOSTS~2.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\WINDOWS\System32\ctfmon.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Program Files\Exif Launcher\QuickDCF.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe

C:\ARCHIV~1\DAP\DAP.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Leo\Escritorio\Seguridad\Startuplist\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

Exif Launcher.lnk = C:\Program Files\Exif Launcher\QuickDCF.exe

Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ccApp = "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

ccRegVfy = "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

GhostStartTrayApp = C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

zSPGuard = c:\archivos de programa\pjw\spguard\spguard.exe /s

DownloadAccelerator = C:\ARCHIV~1\DAP\DAP.EXE /STARTUP

MessengerPlus2 = "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

Dale2 = C:\ARCHIV~1\MPEGMA~1\One Deaf.exe

inside else third wma = C:\Documents and Settings\All Users\Datos de programa\skip bat inside else\Store01.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

Yahoo! Pager = C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet

Bandwidth Monitor Pro = "C:\Archivos de programa\Bandwidth Monitor Pro\Bandwidth Monitor Pro.exe" /minimized

MSMSGS = "C:\Archivos de programa\Messenger\msmsgs.exe" /background

MessengerPlus2 = "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe" /WinStart

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Archivos de programa\DAP\DAPBHO.dll - {0000CC75-ACF3-4cac-A0A9-DD3868E06852}

(no name) - C:\ARCHIV~1\ACEFRE~1\fastspam.exe (file missing) - {26BD4A1B-5764-E08D-E0DB-C92AD4C9BABE}

NAV Helper - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Analizar el equipo.job

Norton SystemWorks One Button Checkup.job

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[YInstStarter Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\yinsthelper.dll

CODEBASE = http://download.yahoo.com/dl/installs/yinst0309.cab

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

Windows NT checkdisk command:

BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':

PendingFileRenameOperations: C:\DOCUME~1\Leo\CONFIG~1\Temp\GLB1A2B.EXE||c:\89c75cd4cac743c0f7aa

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

End of report, 6.224 bytes

Report generated in 0,141 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only
 

alnitak

Ex-Admin
Miembro
#2
Hola. No pareces estar infectado por el virus en este momento pero este virus agrega codigo a los demas archivos ejecutables para reinstalarse cuando se ejecutan por lo tanto no puedo asegurarte que esté totalmente fuera de peligro simplemente viengo el log.

Imagino que habrás corrido un antivirus y que este te habrá limpiado todo el sistema, en este caso deberás confiar en tu antivirus.

Por otro lado tienes en tu Run un par deentradas del Websearch2

Dale2 = C:\ARCHIV~1\MPEGMA~1\One Deaf.exe

inside else third wma = C:\Documents and Settings\All Users\Datos de programa\skip bat inside else\Store01.exe

Aunque no debería salirte la barra porque has borrado el otro archivo

(no name) - C:\ARCHIV~1\ACEFRE~1\fastspam.exe (file missing) - {26BD4A1B-5764-E08D-E0DB-C92AD4C9BABE}

Aun así te aconsejo correr el HijackThis chequear esas3 entradas y darle a Fix
 

quiveiro5

Nuevo Miembro
Miembro
#3
Hola a todos, jaja, parece que cuando expuse mi problema lo hice en el lugar erroneo y ustedes lo pusieron acá, casi me vuelvo loco buscando, claro me sentí más tranquilo, hice lo que me dijiste y le di fix a las entradas que señalaste(Alnitak), posteo el log y me dices,Por favor.....

Muchas gracias.
 

quiveiro5

Nuevo Miembro
Miembro
#4
Ahhhhhhhhhhh, se me olvidó el log......sorry...

Logfile of HijackThis v1.98.1

Scan saved at 18:17:37, on 10-08-2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\GHOSTS~2.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\WINDOWS\System32\ctfmon.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Program Files\Exif Launcher\QuickDCF.exe

c:\archiv~1\intern~1\iexplore.exe

C:\ARCHIV~1\DAP\DAP.EXE

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Leo\Escritorio\HijackThis.exe

C:\Archivos de programa\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mipagina.cl/v2.0/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zSPGuard] c:\archivos de programa\pjw\spguard\spguard.exe /s

O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\Leo\CONFIG~1\Temp\MsgPlusUninst.bat"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [Bandwidth Monitor Pro] "C:\Archivos de programa\Bandwidth Monitor Pro\Bandwidth Monitor Pro.exe" /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Startup: InstallSpy.lnk = C:\Archivos de programa\MJLSoftware\InstallSpy\InstallSpy.exe

O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\Exif Launcher\QuickDCF.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{6A85C015-104E-40EF-840A-6DF9BE844059}: NameServer = 200.28.4.129 200.28.4.130

O17 - HKLM\System\CS1\Services\Tcpip\..\{6A85C015-104E-40EF-840A-6DF9BE844059}: NameServer = 200.28.4.129 200.28.4.130
 
Estado
Cerrado para nuevas respuestas
Arriba Pie