Xufa | |
| 2005-04-06 01:08 - Respuestas: 9 - Tema nº: 31408
Saludos al Foro.
Anoche me dediqué a intentar localizar en mi PC la causa de algunas anomalías no excesivamente preocupantes y para ello utilicé los escaneos on-line facilitados en la página de Alerta-Antivirus y de cuyos resultados quiero haceros partícipes para ver si me podéis orientar al respecto de proceder a la limpieza correspondiente. Ahí van:
1.- Herramienta: PC Pitstop
- Archivos analizados: 39.202
- Infectados: 0
2.- Herramienta: McAfee FreeScan
- Archivos analizados: 39.298
- Infectados: 1
- Ubicación: C:\System Volume Information\_restore{03977EC9-5D45-444E-9B47-5DEEDC74B518}(2)\RP156\A0144829.exe
- Malware: W32/Sdbot.worm.gen
3.- Herramienta: Symantec Security Check
- Archivos analizados: 39.406
- Infectados: 2
- Ubicaciones:
C:\WINDOWS\System32\TFTP1152
C:\WINDOWS\System32\TFTP2672
- Malware: W32.Spybot.Worm
4.- Herramienta: RAV Antivirus
- Análisis de: 33.388 objetos, 3.695 directorios y 1.295 archivos
- Infectados: 3
- Ubicaciones:
C:\WINDOWS\System32\TFTP4036
C:\WINDOWS\System32\TFTP1152
C:\WINDOWS\System32\TFTP2672
- Malware: Backdoor: W32/Rbot.dam#2
5.- Herramienta: Kaspersky Virus Scan
- Resultado:
TFTP4036 Corrupted
TFTP4036 Corrupted
TFTP4036 Corrupted
TFTP1152 Corrupted
TFTP1152 Corrupted
TFTP1152 Corrupted
TFTP2672 Corrupted
TFTP2672 Corrupted
A0144829.exe Corrupted
A0144829.exe Corrupted
A0144829.exe Corrupted
(Repito intencionadamente tal cual se presentaba el resultado del escaneo)
6.- Herramienta: Bit Defender
- Análisis de Todo Mi PC con todas las opciones posibles marcadas.
- Resultado: 206.384 objetos analizados
- Infectados: 0
Bueno, parece ser que "algo" sí hay. ¿Alguna recomendación...?
Desde Modo Seguro y recién actualizados he utilizado:
1.- SpyBot S&D 1.4 B2......... Resultado: 0
2.- Ad-Aware SE 1.05........... Resultado: 0
3.- Panda Platinum 7.07.02... Resultado: 0
4.- Reg Cleaner 4.3
5.- Microsoft AntiSpyware..... Resultado: 0
6.- CHShredder 2.14............ Resultado: 0
Agradecería vuestra ayuda :-S
[ Este mensaje fué editado por: Xufa_63 el 06-04-2005 a las 01:11] | |
|
|
Hurricane | |
|
Re: W32 diversos - 2005-04-06 01:15 - Respuesta 2
Veamos:Deshabilita Restaurar SistemaInicia en Modo SeguroRealiza el escaneo completo con todo lo que tengas a manoReinicia tu PC en Modo NormalActiva nuevamente Restaurar Sistema
Cuéntanos cualquier novedad. Saludos
HURRICANE
[ Este mensaje fué editado por: Hurricane el 06-04-2005 a las 01:34] | |
|
|
Xufa | |
|
Re: W32 diversos - 2005-04-06 01:26 - Respuesta 3
Gracias por tu respuesta Hurricane.
Como verás al final de mi mensaje he pasado en Modo Seguro las herramientas de que dispongo a falta del Hijack This que acabo de utilizar también desde Modo Seguro y de cuyo escanéo pego a continuación el Log:
_____________
Logfile of HijackThis v1.99.1
Scan saved at 01:16:31, on 06/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DESCARGAS\hijackthis[1]\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alerta-antivirus.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [EPSON Stylus C20 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_S59.tmp"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Add To &Restricted Sites - C:\Program Files\Trust Setter\web\add-restricted.htm
O8 - Extra context menu item: Add To &Trusted Sites - C:\Program Files\Trust Setter\web\add-trusted.htm
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Trust &Setter - C:\Program Files\Trust Setter\web\ts.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Add To Restricted Sites - {214992E5-C7E7-45c5-9F15-EA9D2D9C550B} - C:\Program Files\Trust Setter\web\add-restricted.htm
O9 - Extra button: Add To Trusted Sites - {2301E3B1-B97F-4fdf-8622-D8828E699445} - C:\Program Files\Trust Setter\web\add-trusted.htm
O9 - Extra button: Trust Setter - {EDF28358-CDC6-4967-89A1-D3F56B452F38} - C:\Program Files\Trust Setter\web\ts.htm
O15 - Trusted Zone: http://www.configurarequipos.com
O15 - Trusted Zone: *.configurarequipos.com
O15 - Trusted Zone: http://search.freefind.com
O15 - Trusted Zone: *.gva.es
O15 - Trusted Zone: *.juegosdelogica.net
O15 - Trusted Zone: http://download.macromedia.com
O15 - Trusted Zone: *.red.es
O15 - Trusted Zone: *.safer-networking.org
O15 - Trusted Zone: http://www.seg-social.es
O15 - Trusted Zone: http://sdc.shockwave.com
O15 - Trusted Zone: http://www.videosoft.net
O15 - Trusted Zone: http://www.vsantivirus.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zuma/popcaploader_v6.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4458/mcfscan.cab
O16 - DPF: {EFAEF0E4-F044-4D57-9900-1C3FF18524C9} (AV Class) - http://pcpitstop.com/antivirus/PitPav.cab
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
_______________
Espero vuestra colaboración. | |
|
|
Hurricane | |
|
Re: W32 diversos - 2005-04-06 01:53 - Respuesta 4
Elimina las siguientes entradas:Code: O4 - HKCU..Run: [EPSON Stylus C20 Series] C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE /A nulo;C:WINDOWSSystem32E_S59.tmpnulo;
nulo;BRnulo;O8 - Extra context menu item: Add To nulo;Restricted Sites - C:Program FilesTrust Setterwebadd-restricted.htm
nulo;BRnulo;O8 - Extra context menu item: Add To nulo;Trusted Sites - C:Program FilesTrust Setterwebadd-trusted.htm
nulo;BRnulo;O8 - Extra context menu item: Trust nulo;Setter - C:Program FilesTrust Setterwebts.htm
nulo;BRnulo;O9 - Extra button: Add To Restricted Sites - {214992E5-C7E7-45c5-9F15-EA9D2D9C550B} - C:Program FilesTrust Setterwebadd-restricted.htm
nulo;BRnulo;O9 - Extra button: Add To Trusted Sites - {2301E3B1-B97F-4fdf-8622-D8828E699445} C:Program FilesTrust Setterwebadd-trusted.htm
nulo;BRnulo;O9 - Extra button: Trust Setter - {EDF28358-CDC6-4967-89A1-D3F56B452F38} - C:Program FilesTrust Setterwebts.htm
nulo;BRnulo;O15 - Trusted Zone: *.configurarequipos.com
nulo;BRnulo;O15 - Trusted Zone: http://search.freefind.com
nulo;BRnulo;O15 - Trusted Zone: *.gva.es
nulo;BRnulo;O15 - Trusted Zone: *.juegosdelogica.net
nulo;BRnulo;O15 - Trusted Zone: http://download.macromedia.com
nulo;BRnulo;O15 - Trusted Zone: *.red.es
nulo;BRnulo;O15 - Trusted Zone: *.safer-networking.org
nulo;BRnulo;O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
Saludos
HURRICANE
[ Este mensaje fué editado por: Hurricane el 06-04-2005 a las 02:02] | |
|
|
Xufa | |
|
Re: W32 diversos - 2005-04-07 00:08 - Respuesta 5
Gracias de nuevo Hurricane.
Y ahora una duda, puesto que el uso del Hijack es bastante nuevo para mí y apenas lo he usado un par de veces o tres;
¿Cuál es el procedimietno correcto y seguro para borrar las entradas que me citas?
Espero la respuesta antes de tocar nada, no vaya a ser que cometa un "error fatal".
Aquí sigo. | |
|
|
|