¿un spy?

Estado
Cerrado para nuevas respuestas

Ros

Nuevo Miembro
Miembro
#1
Hola. Hace un tiempo me ayudastéis a quitarme de encima el searchweb2 y algúna cosa más que tenía.

Hoy me ha vuelto a aparecer algo que si yo no estoy conectada a internet se intenta conectar.

He pasado el HijackThis y he mirado el log pero no veo nada de lo que me dijistéis la otra vez que borrase ¿me podéis echar un vistazo vosotros?

¿Cómo puedo encontrar qué programa se intenta conectar a internet?

Muchas gracias.

Logfile of HijackThis v1.98.2

Scan saved at 20:39:01, on 2004-09-09

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\RSCMPT.EXE

C:\ARCHIVOS DE PROGRAMA\CAERE\OMNIPAGEPRO90\OPWARE32.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE

C:\ARCHIVOS DE PROGRAMA\CAERE\OMNIPAGEPRO90\opware16.exe

C:\WINDOWS\P215XI98.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\MIS DOCUMENTOS\KK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\WINDOWS\IDIALER\WANADOO TURBO\PBHELPER.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.ExE

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Rscmpt] C:\WINDOWS\SYSTEM\Rscmpt.exe

O4 - HKLM\..\Run: [OmniPage] C:\Archivos de programa\Caere\OmniPagePro90\opware32.exe

O4 - HKLM\..\Run: [AvconsoleEXE] C:\Archivos de programa\Network Associates\McAfee VirusScan\avconsol.exe /minimize

O4 - HKLM\..\Run: [Vshwin32EXE] C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE

O4 - HKLM\..\Run: [VsStatEXE] C:\Archivos de programa\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING

O4 - HKLM\..\Run: [P215XI98.exe] C:\WINDOWS\P215XI98.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [McAfeeWebScanX] C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Mis documentos\Angel\MsgPlus.exe"

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Mis documentos\Angel\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Backward &Links - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O12 - Plugin for .png: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll
 

alnitak

Ex-Admin
Miembro
#2
No se que es esto:

O4 - HKLM\..\Run: [P215XI98.exe] C:\WINDOWS\P215XI98.exe

pero estaba también en el log anterior y no parece ser nada malo.

Por lo demas no veo ningún malware, tal vez hayas configurado algún programa legal para iniciar la conexión si necesitas actualizarse o algo así.

Si quieres colocame el log del startuolist que tomas con el mismo hijackthis desde el boton config>>misc tools>>generate startuplist pero dudo que tu sistema esté infectado.
 

Ros

Nuevo Miembro
Miembro
#3
Hola Alnitak.

El programa P215XI98.exe es de la cámara de fotos.

Te pongo el otro log que comentas, a ver si tú ves algo.

Lo de haber algo que se quería conectar a internet me desapareció a la vez que el searchweb2. Por eso al aparecer otra vez ahora pensé que tenía que ser otra infección.

Un saludo y muchas gracias.

StartupList report, 2004-09-10, 21:18:00

StartupList version: 1.52.2

Started from : C:\MIS DOCUMENTOS\KK\HIJACKTHIS.EXE

Detected: Windows 98 SE (Win9x 4.10.2222A)

Detected: Internet Explorer v6.00 (6.00.2600.0000)

* Using default options

==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\RSCMPT.EXE

C:\ARCHIVOS DE PROGRAMA\CAERE\OMNIPAGEPRO90\OPWARE32.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE

C:\ARCHIVOS DE PROGRAMA\CAERE\OMNIPAGEPRO90\opware16.exe

C:\WINDOWS\P215XI98.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\NOTEPAD.EXE

C:\MIS DOCUMENTOS\KK\HIJACKTHIS.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\WINDOWS\Menú Inicio\Programas\Inicio]

Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun

TaskMonitor = C:\WINDOWS\taskmon.exe

SystemTray = SysTray.ExE

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

Rscmpt = C:\WINDOWS\SYSTEM\Rscmpt.exe

Corel Reminder =

OmniPage = C:\Archivos de programa\Caere\OmniPagePro90\opware32.exe

AvconsoleEXE = C:\Archivos de programa\Network Associates\McAfee VirusScan\avconsol.exe /minimize

Vshwin32EXE = C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE

VsStatEXE = C:\Archivos de programa\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING

P215XI98.exe = C:\WINDOWS\P215XI98.exe

NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

nwiz = nwiz.exe /install

LoadQM = loadqm.exe

autoclk = autoclk.exe

Zone Labs Client = C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

McAfeeWebScanX = C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

SchedulingAgent = mstask.exe

Vshwin32EXE = C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE

MessengerPlus3 = "C:\Mis documentos\Angel\MsgPlus.exe"

TrueVector = C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

McAfeeWebScanX = C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MessengerPlus3 = "C:\Mis documentos\Angel\MsgPlus.exe" /WinStart

msnmsgr = "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background

--------------------------------------------------

File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = C:\WINDOWS\NOTEPAD.EXE %1

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:

(Created 3/9/2004, 21:29:26)

[rename]

NUL=C:\ARCHIV~1\NETWOR~1\MCAFEE~1\SCAN.DAT

C:\ARCHIV~1\NETWOR~1\MCAFEE~1\SCAN.DAT=C:\ARCHIV~1\NETWOR~1\MCAFEE~1\SCAN.1

NUL=C:\ARCHIV~1\NETWOR~1\MCAFEE~1\NAMES.DAT

C:\ARCHIV~1\NETWOR~1\MCAFEE~1\NAMES.DAT=C:\ARCHIV~1\NETWOR~1\MCAFEE~1\NAMES.1

NUL=C:\ARCHIV~1\NETWOR~1\MCAFEE~1\CLEAN.DAT

C:\ARCHIV~1\NETWOR~1\MCAFEE~1\CLEAN.DAT=C:\ARCHIV~1\NETWOR~1\MCAFEE~1\CLEAN.1

NUL=C:\ARCHIV~1\NETWOR~1\MCAFEE~1\INTERNET.DAT

C:\ARCHIV~1\NETWOR~1\MCAFEE~1\INTERNET.DAT=C:\ARCHIV~1\NETWOR~1\MCAFEE~1\INTERNET.1

NUL=C:\ARCHIV~1\NETWOR~1\MCAFEE~1\SDATPACK.LST

C:\ARCHIV~1\NETWOR~1\MCAFEE~1\SDATPACK.LST=C:\ARCHIV~1\NETWOR~1\MCAFEE~1\SDATPACK.1

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)

mode con codepage select=850

keyb sp,,C:\WINDOWS\COMMAND\keyboard.sys

set PATH=C:\Inprise\AppServer\bin;%PATH%

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\WINDOWS\IDIALER\WANADOO TURBO\PBHELPER.DLL - {4115122B-85FF-4DD3-9515-F075BEDE5EB5}

(no name) - c:\archivos de programa\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Optimización del inicio de aplicaciones.job

D5A0E6E06E78EFEF.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX

CODEBASE = http://active.macromedia.com/flash4/cabs/swflash.cab

[Update Class]

InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/...8209.5872453704

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------

End of report, 6.715 bytes

Report generated in 0,128 seconds

Command line options:

  /verbose  - to add additional info on each section

  /complete - to include empty sections and unsuspicious data

  /full    - to include several rarely-important sections

  /force9x  - to include Win9x-only startups even if running on WinNT

  /forcent  - to include WinNT-only startups even if running on Win9x

  /forceall - to include all Win9x and WinNT startups, regardless of platform

  /history  - to list versión history only
 

alnitak

Ex-Admin
Miembro
#4
No hay indicios de ninguna infeccion.

Metete por inicio>>escribes msconfig y aceptas.

En la pestaña inicio desactiva todas las casillas y reinicia para comprobar que ya no se inicia la conexion.

Despuésve reactivando las casillas una a la vez y reinicia hasta dar con el programa que te activa la conexion.

Una vez que lo encuentres busca la opción correspondiente para que no inicie la conexion.

Los principales sospechosos suelen ser:

Gestores de descarga.

Recordatorios de registro.

Herramientas de seguridad configuradas para actualizarse automaticamente.
 

Ros

Nuevo Miembro
Miembro
#5
Hola. Bueno, caso cerrado: Creo que he dado con ello y que era el ZoneAlarm que buscaba actualizaciones.

Si hay próxima vez, me aseguraré bien antes de daros la paliza con una tontería.

Muchas gracias.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie