| Lagana |  |
|
2007-03-27 00:50 - Respuestas: 3 - Tema nº: 2441482
Características: Windows XP Profesional, Pentium IV 3.2 ram 512 dd80.
Mi problema es el siguiente, kapersky me detecta un troyano rootkit.Win32.Agent.en en TEMP/ASFWhide, lo detecta y elimina continuamente, lo detecta y elimina una y otra vez produciendo una molestia, reinicie en modo a prueba de fallos pase el antivirus borre los troyanos pero vuelve a aparecer este inconveniente, aca esta el log de hijackthis.
Logfile of HijackThis v1.99.1
Scan saved at 7:36:04 PM, on 3/26/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\FlashGet\FlashGet.exe
C:\WINDOWS\mHotkey.exe
C:\Program Files\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Downloads\ewido_micro.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\DOCUME~1\PABLO~1.MIP\LOCALS~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [FlashGet] C:\Program Files\FlashGet\FlashGet.exe /min
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [VIPv3_Auto_Update] C:\WINDOWS\VIPv3\CheckForUpdates.exe
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\VIPv3\VIPhd\vsdrv.exe
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Program Files\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{82C3417B-11EF-4500-BC94-3045146C4256}: NameServer = 200.45.191.35 200.45.191.40
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\COMMON~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~2\WINDOW~1\wbsrv.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Comentarios adicionales: El problema surgió justo despues de instalar un programa. | |
|
|
| gilosh |  |
|
Re: Troyano que molesta - 2007-03-27 04:19 - Respuesta 2
hola lagana.
para que el hijackthis sea interpretado adecuadamente es necesario pasarle los siguientes programas actualizados y a prueba de fallos,desactivando previamente restaurar el sistema si no tienes estos programas bajalos y desconectate de internet.
1.-ad-aware paquete de lenguajes con la opción escaneo completo del sistema.
2.-avg antispyware con opción escaneo completo del sistema.
3.-spybot search &destroyer con la opción de analizar solucionar problemas.
4.-el regcleaner con la opción limpieza de registros(autoclean)
5.-El panda activescan on line.
6.-pasa el hijackthis y pega el log aqui para que un moderador lo analice y te sugiera que registros debas darle fix check.
al terminar activa restaurar el sistema un cordial saludo y suerte. | |
|
|
| ruedas | |
|
Re: Troyano que molesta - 2007-03-27 13:53 - Respuesta 3
Hola Lagana
El log se ve limpio, pero descomprimelo crea una carpeta con nombre HTJ y mete dentro HijackThis.exe
y pega un nuevo log.
saludos
-
[Mensaje editado por ruedas con fecha: 27-03-2007 13:54:28]. | |
|
|
| idbart | |
|
Re: Troyano que molesta - 2007-05-06 12:46 - Respuesta 4
esta falsa alarma de virus esta provocada por el Ashampoo FireWall, seguramente pusiste en configuracion una opcion q era "ocultar los procesos de firewall para evitar su deteccion", esta opcion te advierte q la tomes con precaución por que otros usuarios y varios programas de seguridad pueden reportar esta acción como sospechosa, debido a que los procesos ocultos usualmente son señal de viris o rootkits si te das cuenta el archivo sospechoso lleva la palabra hide osea ocultar lo que hace esta opcion, La solucion seria desactivar esta opcion, si asi no se solucionase desinstalando el Ashampoo FireWall y volviendolo a instalar, a mi ninguna de estas dos cosas me funciono, asi que instale el "zone alarm" en su version gratuita para uso no comercial, es uno de los mejores firewall si no el mejor: Por si quieres seguir usando el Ashampoo FireWall, y el desactivar esa opcion y el desinstalar y volver a instalarlo no te funciono..podrias entrar a la pagina de Ashampoo y escribir con el problema a ver q solucion te dan..o buscar por internet...pero sinceramente creo que hay firewall que tienen su version gratuita y que son mejores que este como es el "zone alarm" o el Sunbelt kerio Personal Firewall. | |
|
|
|
