Problemas con wuauclt.exe (creo)

Estado
Cerrado para nuevas respuestas

Jack_T

Nuevo Miembro
Miembro
#1
Hola!



Mi conexión esta lenta.



Esta tarde baje el programa Azureus (que requiere también tener instalado el Java Web Start). Me funciono todo bien, pero ahora al haber reiniciado la PC me aparecen cosas en el Administrador de tareas que antes no estaban.



Al finalizar algúnas de ellas me pude conectar.

Aparece también el Wuauclt.exe con el que ya tuve problemas una vez.



Espero que sepan como ayudarme!



Saludos!



Fer



Aca esta mi log:



Logfile of HijackThis v1.99.0

Scan saved at 21:12:11, on 20/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\WINDOWS\system32\rundll32.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\WINDOWS\System32\?hkntfs.exe

C:\WINDOWS\system32\ctfmon.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Feliu\Escritorio\DAP\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1CA96805-B516-0897-8757-62550AFB7F36} - C:\WINDOWS\System32\zama.dll (file missing)

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_38.dll

O2 - BHO: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\System32\searchbar2.dll (file missing)

O3 - Toolbar: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\System32\searchbar2.dll (file missing)

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Archivos de programa\EndPoint\EndPoint USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKCU\..\Run: [Ppghrjq] C:\WINDOWS\System32\?hkntfs.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Multi Heck] C:\DOCUME~1\Feliu\DATOSD~1\PLATFO~1\scrreadme.exe

O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O15 - Trusted IP range: 206.161.125.149

O15 - Trusted IP range: (HKLM)

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} - http://advnt01.com/dialer/internazionale_ver3.CAB

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A7F82252-EF7F-4E46-8595-84AE76D5FE03} (InstControl Class) - http://neo-toolbar.com/Inst.cab

O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

Jack_T

Nuevo Miembro
Miembro
#2
Y este es el log del Spybot, que me dice que tengo un agujero de seguridad, DSO Exploit:

Descripción

Hay un agujero de seguridad en IE que permite a los sitios web ejecutar código sin preguntarle al usuario primero. Puede encontrar más información en http://security.greymagic.com/adv/gm001-ie/

DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1844237615-1606980848-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

CoolWWWSearch.Googlems: Configuración del usuario (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1844237615-1606980848-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com\*!=W=4

Download Accelerator Plus ads: Configuración (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\Software\SpeedBit\Download Accelerator\ADS\SecondMedia

Download Accelerator Plus ads: Ad category (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSUpdates

Download Accelerator Plus ads: Ad category (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSProxy

Download Accelerator Plus ads: Ad category (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSNoTrigger

Download Accelerator Plus ads: Ad category (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSLeech

Download Accelerator Plus ads: Ad category (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSFileList

Download Accelerator Plus ads: Ad category (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSCategory

Download Accelerator Plus ads: Ad category (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSADS

Download Accelerator Plus ads: Configuración (Cambio en el registro, nothing done)

HKEY_LOCAL_MACHINE\Software\SpeedBit\Download Accelerator\ADS\DefaultCategory!=Default

Download Accelerator Plus ads: Default ad category (Cambio en el registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSDefaultCategory=Default

--- Spybot - Search && Destroy version: 1.3 ---

2004-05-12 Includes\LSP.sbi

2004-11-29 Includes\Cookies.sbi

2004-12-15 Includes\Dialer.sbi

2004-12-16 Includes\Hijackers.sbi

2004-12-15 Includes\Keyloggers.sbi

2004-12-15 Includes\Malware.sbi

2004-11-29 Includes\Revision.sbi

2004-11-29 Includes\Security.sbi

2004-12-16 Includes\Spybots.sbi

2004-12-15 Includes\Trojans.sbi

2004-11-29 Includes\Tracks.uti
 

AngeduCiel

Ex- Mod
Miembro
#3
Hola :eek:

Conectado a internet desde Agregar o quitar programas desinstala:

New.Net

Si no esta ve a la carpeta.

C:\ARCHIV~1\NEWDOT~1\ --.> revisa tú el nombre completo

Y ejecuta el uninstall.exe si existe :D

->Reinicia en Modo a Prueba de Fallos

Cierra todos los navegadores y desde el Administrador de Tareas termina este proceso:

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

->Asegura que tu sistema muestre los archivos y carpetas ocultos.

->Reinicia el sistema en modo seguro:

->Ejecuta el HijackThis

->Selecciona las siguientes entradas y dale a "Fix Checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search-,SearchAssistant = http://minisearch.startnow.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {1CA96805-B516-0897-8757-62550AFB7F36} - C:\WINDOWS\System32\zama.dll (file missing)

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_38.dll

O2 - BHO: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\System32\searchbar2.dll (file missing)

O3 - Toolbar: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\System32\searchbar2.dll (file missing)

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKCU\..\Run: [Ppghrjq] C:\WINDOWS\System32\?hkntfs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O15 - Trusted IP range: 206.161.125.149

O15 - Trusted IP range: (HKLM)

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} - http://advnt01.com/dialer/internazionale_ver3.CAB

O16 - DPF: {A7F82252-EF7F-4E46-8595-84AE76D5FE03} (InstControl Class) - http://neo-toolbar.com/Inst.cab

Elimina estas carpetas completamente.

C:\ARCHIV~1\NEWDOT~1\

C:\WINDOWS\System32\P2P Networking\

-> Descarga el Disk Cleaner y utilizalo para eliminar tus archivos temporales :D

Reinicia el sistema normalmente.

Vuelve a escanear con HijackThis y pega otro log

Pdta. Wuauclt.exe is a process managing automatic updates for Windows. This process continuously checks for the latest updates by going online. This process should not be removed if you want to get informed about new updates. Entonces es Legal

Saludos :D

<span style='font-size:8pt;line-height:100%'>Arw. y/o Aln., me falto algo?</span>
 

Jack_T

Nuevo Miembro
Miembro
#4
He hecho al pie de la letra todo lo que me dijiste AngeduCiel (salvo que en vez del Disk Cleaner use el Clean Up!,aunque creo que es lo mismo, no?) y aquí esta mi nuevo log.

Una pregunta mas, en el Administrador de Tareas me aparece el JUSCHED.EXE, este es un archivo del JAVA que tuve que bajarme para poder usar el Azureus, no? Si es algo dañino por favor avisame.

Saludos!

Fer

Logfile of HijackThis v1.99.0

Scan saved at 2:53:33, on 21/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\rundll32.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Feliu\Escritorio\DAP\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Archivos de programa\EndPoint\EndPoint USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Multi Heck] C:\DOCUME~1\Feliu\DATOSD~1\PLATFO~1\scrreadme.exe

O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted IP range: 206.161.125.149

O15 - Trusted IP range: (HKLM)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 
A

Arwing

Guest
#5
:D

Muy bien AngeduCiel. Tan sólo se te ha pasado una.

Jack_T, junto con las instrucciones de AngeduCiel también selecciona esta entrada:

O4 - HKCU\..\Run: [Multi Heck] C:\DOCUME~1\Feliu\DATOSD~1\PLATFO~1\scrreadme.exe

Y luego borras el archivo:

C:\DOCUME~1\Feliu\DATOSD~1\PLATFO~1\scrreadme.exe

Y Jack_T, acerca del DSO Exploit revisa este enlace:

https://www.trucoswindows.net/forowindows/temas/dso-exploit.17759/

Saludos

Arwing
 

AngeduCiel

Ex- Mod
Miembro
#6
Pues ya no veo nada raro, lo único que me llamo la atención fueron estas entradas:

A esta dale Fix

O15 - Trusted IP range: (HKLM)

Yo sobre esta..

O15 - Trusted IP range: 206.161.125.149

La IP es de una Org. llamada "Beyond The Network America Inc."

Si tú la conoces dejala asi, pero si no dale a Fix

Process File: jusched or jusched.exe

Process Name: Sun Java Update Scheduler



Description:

jusched.exe is a process installed alongside Sun Microsystem's Java2 suite and, and checks for/installs Java updates.

This program is important for the stable and secure running of your computer and should not be terminated.
Pues como puedes ver en la ultima linea, este proceso es importante para la estabilidad y seguridad de tu computadora y no debe terminarse. :eek:

Saludos
 

AngeduCiel

Ex- Mod
Miembro
#7
Poco a poco pero hay la llevo :eek:

Sobre la entrada que mencionas Arwing...

Esta:

O4 - HKCU\..\Run: [Multi Heck] C:\DOCUME~1\Feliu\DATOSD~1\PLATFO~1\scrreadme.exe

de que es por que no encontré nada sobre ese proceso :confused:

Saludos :D
 

Jack_T

Nuevo Miembro
Miembro
#8
He hecho lo que ambos me pidieron y este es el nuevo log:

Esta todo bien ahora o debo modificar algo mas?

Que haya tenido estos problemas puede estar relacionado con la instalación del Azureus?

Que recomendaciones debo tener en cuenta para poder usar este programa de Bittorrent sin problemas?

Tantas preguntas, espero que tengan respuestas.

Muchas gracias por su ayuda!!!

Fer

Logfile of HijackThis v1.99.0

Scan saved at 3:38:52, on 21/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\rundll32.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Feliu\Escritorio\DAP\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Archivos de programa\EndPoint\EndPoint USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 
A

Arwing

Guest
#9
Sobre la entrada que mencionas Arwing...

Esta:

O4 - HKCU\..\Run: [Multi Heck] C:\DOCUME~1\Feliu\DATOSD~1\PLATFO~1\scrreadme.exe

de que es por que no encontré nada sobre ese proceso
Precisamente, es más sospechoso que no te aparezca nada, ni siquiera en Google que busca en todos lados. Debe ser un nombre creado aleatoriamente por un malware.

Jack_T, jamás he usado el Azareus, así que no sabría decirte acerca de él. Investiga si Azareus instala algún tipo de adware o spyware, no estoy seguro si lo hace o no (me parece que no pero como te digo no lo he usado nunca). Tus problemas pudieron ocasionarse ya sea simplemente al navegar en una página o al usar un software gratuito, ¿has tenido instalado KaZaA Media Desktop anteriormente o uno similar? Ten en cuenta que SpyBot toma como sospechoso a DAP, que trae spywares, aunque no divulgan más que datos estadísticos por lo que no supone mayor riesgo. Pero si no te convence y quieres otro gestor de desargas te recomiendo el StarDownloader que es gratuito y no trae malwares con él.

Arwing
 

Jack_T

Nuevo Miembro
Miembro
#10
¿has tenido instalado KaZaA Media Desktop anteriormente o uno similar?


Si, he usado el Kazaa y actualmente tengo instalado el eMule.

He bajado y corrido el DSOstop2 y a pesar de que me pone que mi pc ya no es vulnerable, el Spybot me sigue encontrando ese DSOexploit solo que ahora tiene solo 4 entradas en vez de 5.

Esto es normal? O todavia soy vulnerable a ataques?

Saludos!

Fer
 
A

Arwing

Guest
#11
Pues no es que sea muy necesario quitarlo, réstale importancia y pasa de él. SpyBot de todos modos no lo arregla en ninguna versión de Windows, y es el único que lo detecta.

Te preguntaba lo del KaZaA porque el New.Net se te instaló con esa versión de KaZaA.

Arwing
 

Jack_T

Nuevo Miembro
Miembro
#12
Muchas gracias por la ayuda que me están dando.

La PC parece estar funcionando correctamente, pero como no quiero que me vuelvan a agarrar desprevenido, quiero intentar mejorar la seguridad de mi conexion.

El Windows Update me dice que debo actualizar el:

Microsoft .NET Framework 1.1 Service Pack 1

Es necesario que lo baje? Porque he leido que algúnos han tenido problemas con el SP2.

Como se si tengo instalado el SP2?

Que firewall u otro programa me recomiendan para que no me lleguen spywares, ni adwares ni ningún tipo de malware?

Gracias nuevamente!

Fer
 

alnitak

Ex-Admin
Miembro
#13
Si, bajate esa actualizacion y si, tienes instalado el SP2:

Logfile of HijackThis v1.99.0

Scan saved at 21:12:11, on 20/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Bajate también el SP2 tcpip.sys fix desde la zona de descargas de esta web para eliminar el limite de conexiones del SP2

https://www.trucoswindows.net/descargas/sp2-tcpip-sys-fix/

Entra a inicio >> ejecutar >> msconfig >> pestaña inicio >> desmarca las casillas de los siguientes procesos que no hacen ninguna falta en el arranque del sistema:

[NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

[NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

[ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe

A no ser que uses el Windows Messenger 4 que viene con Windows en lugar del MSN Messenger (cosa que no creo) en el HijackThis puedes chekar estas 2 entradas y darle a fix:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
 

Jack_T

Nuevo Miembro
Miembro
#14
Hola!

He hecho lo que me dijo alnitak y hasta parece que esta hecha una rayo mi conexion. Puede ser que ahora vaya mas rápido por los cambios hechos? Porque así lo parece.

Posteo de nuevo el log de Hijack para que me digan si esta todo bien o si debo seguir modificando algo mas.

Ah, y quisiera saber si con estas modificaciones ya es suficiente para poder usar el Azureus o si debo ademas bajar un Firewall o programa de seguridad (cual me recomiendan?).

Saludos y Muchas gracias por la ayuda!

Fer

Logfile of HijackThis v1.99.0

Scan saved at 13:04:35, on 21/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\rundll32.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Feliu\Escritorio\DAP\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Archivos de programa\EndPoint\EndPoint USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

alnitak

Ex-Admin
Miembro
#15
Tu log está limpio.

El fix del SP2 es precisamente para que los clientes P2P que necesitan usar muchas conexiones simultaneas (como el eMule) puedan trabajar a su plena capacidad y descargar mas rapido.

El firewall ya queda a tu criterio instalarlo o no, yo hace tiempo acostumbro mas bien desactivar el mio cuando uso el eMule y contemporaneamente estoy trabajando en la computadora porque es un trabajon el que le dan estos programas y chupa muchos recursos.
 

Jack_T

Nuevo Miembro
Miembro
#16
Tu log está limpio.

El fix del SP2 es precisamente para que los clientes P2P que necesitan usar muchas conexiones simultaneas (como el eMule) puedan trabajar a su plena capacidad y descargar mas rapido.
Muchas gracias por tu ayuda, me ha sido de mucha utilidad todos los consejos que me han dado.

Como no podia ser de otra manera sigo teniendo algúnas dudas :confused: .

El usar programas como el eMule o el Azureus puede ser peligroso para mi seguridad?

Puede ser que, por ejemplo, al usar Azureus me llegue de algúna manera algún malware que me perjudique?

Con las modificaciones hechas gracias a uds. puedo sentirme mas seguro de usar Azureus ahora?

Saldudos!

Fer
 

alnitak

Ex-Admin
Miembro
#17
Todo programa que conecte a internet puede ser peligroso y si sufriera de algún bug grave de seguridad este tal vez podría ser explotado para perjudicar tu sistema, se han dado casos donde los mismos firewalls han sido mas bien aprovechados para violar la seguridad de un sistema operativo. Esto no significa que tengamos que dejar de conectarnos a Internet, simplemente hay que andar pendientes del estado del sistema operativo y andar monitoreando procesos y servicios que corren en el sistema para detectar a tiempo cualquier anomalia.
 

Jack_T

Nuevo Miembro
Miembro
#18
Hola!

He bajado el Outpost Firewall y me he leido el tutorial aquí publicado y otros de otras webs pero no se si lo tengo configurado correctamente.

Mis mayores dudas tienen que ver con como configurarlo para poder usar eMule y Azureus sin riesgo de instrusos.

Si alguien pued ayudarme con esto o si conocen algúna web que explique sobre el tema, por favor, hagamelo saber.

Saludos y gracias!

Fer
 
A

Arwing

Guest
#19
Si vas a dejar descargando el eMule o Azureus van a pedir demasiadas conexiones de diferentes IP's, si les vas a crear una regla en Outpost sólo ten como parámetro el puerto de conexiones que usan para la transferencia, o permite todas las conexiones de esos programas. A eso no le veo mucho riesgo, sólo estate al pendiente de vulnerabilidades en el propio sitio de Azureus o eMule. Y revisas todo lo que bajes con el Antivirus que tengas.

Arwing
 

Jack_T

Nuevo Miembro
Miembro
#20
Hola!

Tengo algúnas dudas sobre Outpost, espero que sepan ayudarme.

1 - ¿Porque cuando el Outpost se carga desde el inicio el icono de conexión por adsl me pone que no se ha encontrado el dispositivo para la conexion? ¿Hay manera de configurar una regla para no tener este problema?

2 - En la plantilla Deteccion de Ataques (dentro de Plug-ins) me aparecen muchísimas lineas del tipo siguiente:

Día/Hora Tipo de Ataque Dirección IP Detalles escaneo...

22/12/2004 13:15:37 Petición de conexión 69.56.213.138 TCP(1273)

o como esta:

22/12/2004 13:15:04 Puerto escaneado 81.44.93.28 TCP(445)

¿Esto significa que mi PC esta siendo atacada?

Saludos!

Fer
 
Estado
Cerrado para nuevas respuestas
Arriba Pie