| fer76 |  |
|
2005-05-13 00:39 - Respuestas: 60 - Tema nº: 29548
Ya estoy aqui otra vez, Rahel. Ahora las popups salen en mas sitios, parecen q los Hijos de la gran....... saben donde me meto...
Betterinet guapo ,donde estas??
Qeuria comentarte otra cosa, la impresora se me ha debido cascar, no se pq, pero he ido al registro y he quitado todas las entradas de HPackard....hasta alli bien, luego si la vuelvo a poner, la reconoce el ordenata y me sale lo q borre ne el registro, ok...pero al mirar en la H, en la I del registro, me ha sido una carpeta, en el registro digo, INTERMUTE, la desplegas y sale spysubstract, y luego un chorreo q si BHO, Dialogs,ssengine.browser,ssengine.registry, etc... y resulta q miro y es el 2º correo q tengo de hotmaillllllllllll, q pasa??? Me lo han HACKEADO???
Sobre todo cuando le doy a la carpetita de spysubstract, me sale un monton de cosas a la derecha y mi 2º correo, y cosas muy raras, no te lo puedo escribir pq es larguisimo....
¿Que es eso del intermute? pq he mirado por google y dicen q no es malo...
No se, seguramente me lo han hackeado, y si lo han hecho, como la recupero?
¿Borro la carpeta entera de intermute del registro y pongo otra contraseña???
Ya me diras q hacer...
Gracias.. | |
|
|
| tordanxa |  |
|
Re: Spyware - 2005-05-13 16:16 - Respuesta 47
Inermute es la empresa que se ha quedado el cwshredder y que tiene el programa spysubstract, así que si tienes esos programas es lógico que tengas algo relacionado con ella, posiblemente esas cosas tan raras que te salen, tienen que ver con informes, spywares detectados, etc, etc.
Pasa el log del HIjackThis a ver que tal, pero antes pasa este scan online
saludos | |
|
|
| fer76 | |
|
Re: Spyware - 2005-05-13 17:26 - Respuesta 48
Hola de nuevo, con el on line, me salen todos los puertos cerrados, no ha encontrado active x nocivos......
VBs-c-r-i-p-testa activado.
Prueba segura de active x: La invocación segura de los controles de ActiveX está activada.
Prueba de ActiveX inseguro: La invocación insegura de los controles de ActiveX está desactivada.
Y el hijackthis es este:
Logfile of HijackThis v1.99.1
Scan saved at 17:26:06, on 13/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Usuario\Mis documentos\Archivos de instalacion\Antivirus\Antiespia\HijackThis.exe
C:\Archivos de programa\Symantec\LiveUpdate\AUpdate.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=22028
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
Ya me diras si ves algo raro , NO SE... | |
|
|
| tordanxa | |
|
Re: Spyware - 2005-05-13 17:54 - Respuesta 49
Revisando los posts. he visto que el pest Patrol te detecto el netzip, entonces no le dí importancia porque pensé que era un programa, ya que existe uno con el mismo nombre, pues parece ser ue hay un bicho que también se llama igual. Mira AQUÍ y haz lo que te dice. (está en inglés)
Y el bearshare que tu decias que era del emule tampoco lo es. Mira AQUÍ. (también está en inglés)
El log del hijackthis sale limpio. De lo que te sale en el Panda olvidate ya te lo dije, más vale que pases el Pestpatrol scan que te puse la otra vez.
Saludos
Si tienes problemas con el inglés me lo dices
[ Este mensaje fué editado por: Rahel el 13-05-2005 a las 20:16] | |
|
|
| fer76 | |
|
Re: Spyware - 2005-05-13 20:11 - Respuesta 50
A ver, he visto las webs, pero he mirado en le registro alguna cosa por encima y no sale nada de alguna de esas q pone, ej: pongo GNUTELLA y no encuentra nada en el registro... o Bearshare, o netzip, nada...
Pero he pasado el pest patrol scan y me ha salido el BEARSHARE Y EL NETZIP Y ADEMAS UN ADWARE NUEVO EN DIVX 5.1, aolo una carpeta q se desplega en unas cuantas...
Entonces q hago:¿Borro todas las entradas q me pone el Pest patrol??
Pero al eliminar , se elimina la carpeta principal con todo lo q lleva dentro ,NO??
O miro todo lo q pone en las webs q me has dicho??
Yo creo q si pone esas cadenas o claves q son las malas, 8 en total, si las borro del registro, ya estarian bien ,no?? pq pone en las webs q buscar en commonfiles.... yo eso no lo tengo, y buscar con el TASK no se q.... eso no lo entiendo... yo de ingles lo justito...
Ya me diras, un saludo.. | |
|
|
|
