| tordanxa |  |
|
2008-01-11 17:46 - Respuestas: 10 - Tema nº: 2493140
Ve a la sección de programas y escribe en el buscador rootkit, pasa dos o tres de los programas que te aparecerán
saludos | |
|
|
| Walner |  |
|
Re: Opciones Internet pagina inicio no deja cambiarla (Solucionado) - 2008-01-27 19:49 - Respuesta 7
Gracias por su respuesta y toda la ayuda. Estaba un poco ocupado en otras cosas. Les pido un favor de enseñarme cómo utilizar el Roorkid Hook Analyzer y el McAfee RootKit Detective. Aparece un listado despues del proceso de análisis y no se si marco y elimino todo. No estoy seguro. Gracias | |
|
|
| Walner | |
|
Re: Opciones Internet pagina inicio no deja cambiarla (Solucionado) - 2008-01-29 17:29 - Respuesta 8
Buenos días Rahel y todos los demás. No he podido solucionar mi caso mientras tanto hice un HJT, de mi equipo a veces deja cancelar la orden R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.risaralda.gov.co/ y luego vuelve a aparecer, primero estaba enlazando la página http://runonce.msn.com/?v=msgrv75 nuevamente le pasé desactivando el restaurar sistema y a prueba de fallos: ewido, Spybot, Ad-aware, Easy Cleaner, Disk Cleaner, RegSeeker, RegCleaner, Ccleaner y superantispyware en modo normal y los Rootkit que pude comprender, excluyendo los de la pregunta anterior porque no sé cómo es el proceso (Roorkit Hook Analyzer y el McAfee RootKit Detective: aparece un listado después del proceso de análisis y no se si marco y elimino todo. No estoy seguro por favor expliquemen algo de esto). Bueno El problema es que la página de inicio de opciones de internet no me la ha dejado cambiar. Al activar Internet Explorer sale siempre una página por defecto la que está en el R0 del informe HJT. Bueno si yo entro al regedit en esa posición HKey_Current_User\Software\Microsoft\Internet Explorer\Main,Start Page = y le cambio por la que yo quiero me serviría, pregunto por que no soy tan experto y puedo desconfigurar algo. Igual no sé qué otras cosas estan saliendo malas en el Hit, por esta razón lo mando. Por favor ayúdenme. Y Por qué apareceran 3 veces los procesos svchost.exe Perdonen lo extenso. Gracias por su colaboración
Logfile of HijackThis v1.99.1
Scan saved at 10:36:37 a.m., on 27/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\Npm\bin\ZLH.EXE
C:\Norman\Nvc\BIN\NIP.EXE
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium\EDICT.EXE
C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
C:\Archivos de programa\AnalogX\Proxy\proxy.exe
C:\Archivos de programa\KWorld Multimedia\TV Tuner Card Utilities\HMCP3XCtl.exe
C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe
C:\Documents and Settings\All Users\Documentos\Utilidades3\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.risaralda.gov.co
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.1.2:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [E06EDXRC_35786171] "C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium\EDICT.EXE" -m
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: proxy.exe.lnk = C:\Archivos de programa\AnalogX\Proxy\proxy.exe
O4 - Global Startup: Remote Control.lnk = C:\Archivos de programa\KWorld Multimedia\TV Tuner Card Utilities\HMCP3XCtl.exe
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?13265963005240e3bdebdd880713561f
O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?13265963005240e3bdebdd880713561f
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185317811937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186000097109
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE91EC48-EDF4-411F-A120-FF3A924C3F2D}: NameServer = 172.16.1.2,172.16.1.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
| |
|
|
| tordanxa | |
|
Re: Opciones Internet pagina inicio no deja cambiarla (Solucionado) - 2008-01-29 17:37 - Respuesta 9
Lee esto: http://www.configurarequipos.com/truco317.html
si tienes el valor que indica ahí cambiaselo por un 0
saludos
El log aparece limpio | |
|
|
| Walner | |
|
Re: Opciones Internet pagina inicio no deja cambiarla (Solucionado) - 2008-01-30 00:34 - Respuesta 10
Hola: Rahel y los demás. En relación con el programa RootKit Hook Analyzer yo le doy analizar y me aparecen en las pestañas de services y modules nuchas líneas que hay que hacer con ellas? y el Mcaffe Rootkit_Detective le doy scan, hace su proceso y se activa view hidden registry keys/values con una cantidd de líneas de procesos cuando se marca una linea aparece delete, es confiable borrar todos, algunos o nada. Gracias | |
|
|
|
