Que pinta esto en el xp?

Estado
Cerrado para nuevas respuestas

Cyborg

Nuevo Miembro
Miembro
#1
Que pinta esto en el Xp?

C:\WINdows\web\related.htm

que funcion tiene?

pq hace tiempo le pase el search and destroy..... y quite lo tipico el alexa, el dso sploit.... pero eso?

el search and destroy no encuentra nada......

Que es?

Saludos
 

Cyborg

Nuevo Miembro
Miembro
#2
acabo de ver que figura como eliminado del spybot.....

pero..... deja el archivo entonces?
 

jbex

El que peca y reza empata
Administrador
#3
Quizás no consiguió borrarlo, y a tu pregunta, no creo que pinte nada ;)

Un saludo, jbex
 

Cyborg

Nuevo Miembro
Miembro
#4
no lo borro....... pero ya no canta......

me refiero que cada vez que busco algo.... no dice que ya esté.......

aparte del fichero.... quitaria algo......

bueno si eso borro el fichero a manopla no?
 

jbex

El que peca y reza empata
Administrador
#5
No deberías de tener problemas por borrarlo a mano, podrías hacer una búsqueda manual por el registro, para ver si lo tienes aun activo en Windows, aunque si no lo encuentran los programas, seguramente habrán sido borradas.

Un saludo, jbex
 

Cyborg

Nuevo Miembro
Miembro
#6
bueno pues para mi sorpresa.......

he pillado el spybot, he desecho la proteccion contra alexa y lo he vuelto a repetir...

vuelve a inmunizar.......

pero en el registro....... está esto:

hkey_local_machine\software\microsoft\internet explorer\extensions\{c95........}

y dentro

script de tipo reg_expand_sz en %systemroot%\web\related.htm

joder.... no se que narices hara el spybot... porque ni la quita del registro ni la quita del disco duro..... pero no lo vuelve a localizar 2 veces........

supongo que esa entrada del registro me la podre cepillar sin mas no?

Añadir que en el mismo directorio hay otro llamado tip.html también esta de intruso?

de paso añado el log del HijackThis para ver si ven algo mas raro (me he cargado lo del alexa)

Logfile of HijackThis v1.99.0

Scan saved at 2:02:56, on 15/01/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\RegSrvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\tlntsvr.exe

C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe

C:\Archivos de programa\TOSHIBA\TME3\Tmesrv31.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\system32\ZCfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\1XConfig.exe

C:\WINDOWS\System32\00THotkey.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\System32\TFNF5.exe

C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Archivos de programa\TOSHIBA\TME3\TMERzCtl.EXE

C:\Archivos de programa\TOSHIBA\TME3\TMEEJME.EXE

C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE

C:\Archivos de programa\TOSHIBA\DualPointUtility\TEDTray.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe

C:\Archivos de programa\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe

C:\Archivos de programa\Hmonitor\hmonitor.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\SpeedswitchXP\SpeedswitchXP.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Administrador\Escritorio\HJT\HijackThis\HijackThiswww.trucoswindows.net]trucoswindows.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMESRV31.EXE /Logon

O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMERzCtl.EXE /Service

O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMEEJME.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [DpUtil] C:\Archivos de programa\TOSHIBA\DualPointUtility\TEDTray.exe

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Archivos de programa\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [hmonitor] C:\Archivos de programa\Hmonitor\hmonitor.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [SpeedswitchXP] C:\Archivos de programa\SpeedswitchXP\SpeedswitchXP.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O17 - HKLM\System\CCS\Services\Tcpip\..\{5D8658FF-9172-4E49-9B76-96A6C7CA871B}: NameServer = 212.49.128.65

O23 - Service: AVP Control Centre Service - Kaspersky Labs. - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Tmesbs32 - TOSHIBA Corporation - C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe

O23 - Service: Tmesrv3 - TOSHIBA - C:\Archivos de programa\TOSHIBA\TME3\Tmesrv31.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

Cyborg

Nuevo Miembro
Miembro
#7
gracias por moverlo al foro adecuado y perdon.

Bueno a ver si ese log está bien.

Saludos
 

alnitak

Ex-Admin
Miembro
#8
Tu log está limpio y el spyware que te pilla Spybot es uno spyware de alexa que envia datos anonimos sobre las Webs que visitas. De esta manera Alexa redacta sus estadisticas y no comporta ningún riesgo real de seguridad ni de privacidad ya que los datos son tratados de forma anomina, aun así sigue siendo uno spyware y cualquier herramienta de seguiridad te lo removerá.

Te aconsejo la lectura de este articulo muy interesante:

http://www.imilly.com/alexa.htm
 

Cyborg

Nuevo Miembro
Miembro
#9
muchas gracias.

El spybot efectivamente lo detectaba, pero parece como si no lo quitara del todo, quedaba en el registro y el fichero, como constancia

asi que recurrí al hijackthis

que efectivamente lo quitó del registro.

Gracias.

Saludos
 
Estado
Cerrado para nuevas respuestas
Arriba Pie