jos3105 | |
| 2008-02-26 18:24 - Respuestas: 1 - Tema nº: 2503613
Características: Windows XP Profesional, procesador AMD300+_1GbRAM_160gB Disco Duro.
al utilizar el adslnettools me indica que hay un troyano Incommand en el puerto 1029, al pasarle el Trend Micro Hijack this 2.0.2 me sale lo siguiente:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:25, on 26/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\SYSTEM32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
G:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
G:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
G:\WINDOWS\Explorer.EXE
G:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
G:\WINDOWS\system32\ctfmon.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Archivos de programa\a-squared Free\a2service.exe
G:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\PGPserv.exe
G:\WINDOWS\System32\svchost.exe
G:\Archivos de programa\Spyware Terminator\sp_rsser.exe
G:\WINDOWS\system32\svchost.exe
G:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
G:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Archivos de programa\ADSLNet\Navigation Tools\ADSLNetTools.exe
G:\Archivos de programa\Mozilla Firefox\firefox.exe
G:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my-musik.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - G:\ARCHIV~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Barra &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - G:\ARCHIV~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [avast!] G:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "G:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - G:\ARCHIV~1\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: PGPmapih.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - G:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - G:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - G:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - G:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - G:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - G:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - G:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Unknown owner - G:\Archivos de programa\Symantec\LiveUpdate\LuComServer_3_4.EXE (file missing)
O23 - Service: NMIndexingService - Nero AG - G:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: PGPserv - PGP Corporation - G:\WINDOWS\system32\PGPserv.exe
O23 - Service: Programador de LiveUpdate automático - Unknown owner - G:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - G:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - G:\Archivos de programa\Spyware Terminator\sp_rsser.exe
O23 - Service: Symantec Core LC - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
End of file - 7324 bytes
en realidad no se que es lo me indica este reporte del Trend Micro Hijack This, alguien que me pueda decir que es lo que me dice el reporte y como puedo eliminar este troyano, se lo agradecere mucho
| |
|
|
swissman | |
|
Re: Puerto 1029 Incommand troyano - 2008-02-26 18:47 - Respuesta 2
antes de pegar el log, has de hacer lo siguiente
Inicia tu pc en modo seguro con conexiones de red y pasa algún antivirus actualizado on-line
descarga y actualiza los siguientes programas y los vas pasando uno a uno, un par de veces cada uno:
Regcleaner
Spybot
cwshredder.exe
ad-aware
SUPERAntiSpyware
Ccleaner (limpiar temporales y registro)
Reinicias y si siguen los problemas, cierras todo y descargas hijackthis , debes ejecutarlo pulsando “do a system scan and save a log”, se te abrirá un fichero txt, el contenido del cual debes copiar al portapapeles y pegas a continuación.
| |
|
|
|