sastre | |
| 2005-02-25 00:13 - Respuestas: 7 - Tema nº: 29289
bueno pues os comente que tenia el cydoor en el ordenador. me disteis soluciones y mas o menos le eliminé. lo que hice fue eliminar las entradas cydoor del registro, pero hay veces que aunque esas entradas no aparezcan, si lo hace la carpeta adcache que crea el bicho en system32. aqui os pego el log del hijak this
Logfile of HijackThis v1.99.1
Scan saved at 0:07:57, on 25/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\ARCHIV~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Archivos de programa\KerioFirewall\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
C:\Archivos de programa\KerioFirewall\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
F:\Archivos de programa\CloneCD\CloneCDTray.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\ARCHIV~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\KerioFirewall\Personal Firewall 4\kpf4gui.exe
C:\ARCHIV~1\POP-UP~1\PSFree.exe
F:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
F:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\FlashGet\flashget.exe
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe
F:\Carlos\Dwn\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "F:\Archivos de programa\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "F:\Archivos de programa\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\ftpzrbtwain.dll,_mainRD
O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InstantAccess] C:\ARCHIV~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\ARCHIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\ARCHIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\ARCHIV~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: Acrobat Assistant.lnk = F:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4D1B49-B7ED-469C-9D6A-BC4710098D88}: NameServer = 195.235.113.3 195.235.96.90
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C4D1B49-B7ED-469C-9D6A-BC4710098D88}: NameServer = 195.235.113.3 195.235.96.90
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\KerioFirewall\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
A ver que me podéis decir, muchas gracias | |
|
|
Hurricane | |
|
Re: Otra vez el cydoor - 2005-02-25 00:20 - Respuesta 2
Echa un vistazo en Symantec.com.
Saludos
[ Este mensaje fué editado por: Hurricane el 25-02-2005 a las 00:24] | |
|
|
sastre | |
|
Re: Otra vez el cydoor - 2005-03-31 00:01 - Respuesta 3
Hurricane, sigo en lo mismo, lo que dice el link que me dejaste no me funciona(mas que nada porque no tengo ni las entradas del registro ni los archivos que crea). que más puedo hacer???
muchas gracias!!! | |
|
|
JoSeMi | |
|
Re: Otra vez el cydoor - 2005-03-31 13:39 - Respuesta 4
Bien, acabo de analizar ese log y lo único que veo eliminable es:
O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\ftpzrbtwain.dll,_mainRD
A menos que conozcas el programa que llama a dicha librería en el arranque, deberías hacer FIX en esa entrada.
También deberías actualizar el sistema y el navegador mediante WindowsUpdate, e instalar un antivirus, que me parece que no tienes.
Luego sería interesante que hicieras un par de análisis on-line con un par de antivirus.
Saludos. | |
|
|
sastre | |
|
Re: Otra vez el cydoor - 2005-04-01 23:36 - Respuesta 5
Josemi, como elimino esa entrada. Entro en regedit, la busco y elimino la entrada ftpzrbtwain.dll??? o como me lo monto.
Un saludo!! | |
|
|
|