tordanxa | |
| 2005-05-03 18:14 - Respuestas: 79 - Tema nº: 32026
Para Kamien:
Necesito que pegues el log del HIjackThis completo, con procesos y todo.
Comprueba que en Config del HijackThis tienes esta opción activada Include list of running processes in logfiles
Te adelanto que es una pena de log
saludos | |
|
|
kamien | |
|
Re: Trojan-spy.html.smitfraud - 2005-05-04 01:12 - Respuesta 42
hola aki kamien otra vez bastante agobiado, porque al final veo que le voy a dejar el portatil a mi amigo aun peor si cabe q cuando llegu'e....
en fin, comentarte primero que lo mas importante es q a raiz de estas operaciones q me he traido, y aunq lo he hecho con muxo cuidado, me sale el siguiente mensaje al intentar ejecutar cualqier archivo, mediante doble click o mediante bot dcho abrir....
this file does not have a programassociated with it for performing this action. Cretate an assosiation in the Folder options control panel
eso me trae de cabeza, me encantaria saber un metodo para q vueklva a funcionar...por lo demas lo de los viruses esta muy xungo, eso se lo dije ya yo, y ademas, no me hace la lista de los running process, a pessar de haber activado dicho boton.... ahi va otra vez casi igual, recien hecha
Logfile of HijackThis v1.99.1
Scan saved at 23:57:45, on 03/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\Program Files\hijacksthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b11001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a11001
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a11001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b11001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a11001
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a11001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b11001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Program Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copy 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P40 "EPSON Stylus Photo RX420 Series (Copy 1)" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copy 2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P40 "EPSON Stylus Photo RX420 Series (Copy 2)" /O5 "LPT1:" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O13 - WWW Prefix: http://69.50.191.50/1/?
O15 - Trusted Zone: *.bestsearch.cc
O15 - Trusted Zone: *.dapsol.com
O15 - Trusted Zone: *.bestsearch.cc (HKLM)
O15 - Trusted Zone: *.dapsol.com (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{27324F0A-2A8C-4206-8D17-6D01AB29074B}: NameServer = 212.67.96.129 212.67.120.148
O18 - Filter: text/html - {6C289C84-CE14-4A09-A2C7-A104B71871D2} - C:\WINDOWS\System32\okbj.dll
O18 - Filter: text/plain - {6C289C84-CE14-4A09-A2C7-A104B71871D2} - C:\WINDOWS\System32\okbj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
muchisimas gracias de antemano, gracias x estar alli, y en cualqier caso te debo una tan solo si me ayudas a arreglar lo de la asociacion de programas al doble clikar eso es lo q me qita el suenho
por cierto, por si ayuda, la startup list
StartupList report, 03/05/2005, 23:53:40
StartupList version: 1.52.2
Started from : C:\Program Files\hijacksthis\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
=======================
Running processes:
C:\Program Files\hijacksthis\HijackThis.exe
-
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
-
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LaunchApp = Alaunch
ATIModeChange = Ati2mdxx.exe
ATIPTA = C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
SoundMan = SOUNDMAN.EXE
AGRSMMSG = AGRSMMSG.exe
SynTPLpr = C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
SynTPEnh = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
SunJavaUpdateSched = C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
LManager = C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
PCMService = "C:\Program Files\Aspire Arcade\PCMService.exe"
ShowIcon_Chander_CRW Series Driver v1.17r019 = "C:\Program Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"
EPSON Stylus Photo RX420 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
EPSON Stylus Photo RX420 Series (Copy 1) = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P40 "EPSON Stylus Photo RX420 Series (Copy 1)" /O6 "USB001" /M "Stylus Photo RX420"
scvhost = C:\WINDOWS\scvhost.exe
EPSON Stylus Photo RX420 Series (Copy 2) = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P40 "EPSON Stylus Photo RX420 Series (Copy 2)" /O5 "LPT1:" /M "Stylus Photo RX420"
sp = rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll,DllInstall
-
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MsnMsgr = "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
scvhost = C:\WINDOWS\scvhost.exe
-
File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Default) =
-
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\ASPIRE~1.SCR
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*
-
Enumerating Browser Helper Objects:
(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - (no file) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}
(no name) - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}
-
Enumerating Download Program Files:
[MsnMessengerSetupDownloadControl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
CODEBASE = http://messenger.msn.com/download/msnmessengersetupdownloader.cab
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
-
End of report, 4,796 bytes
Report generated in 0.020 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
| |
|
|
tordanxa | |
|
Re: Trojan-spy.html.smitfraud - 2005-05-04 16:31 - Respuesta 43
Cierra todos los programas y en el HijackThis marca las siguientes entradas y después las eliminas utilizando la opción Fix checked
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b11001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a11001
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a11001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b11001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a11001
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a11001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b11001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O13 - WWW Prefix: http://69.50.191.50/1/?
O15 - Trusted Zone: *.bestsearch.cc
O15 - Trusted Zone: *.dapsol.com
O15 - Trusted Zone: *.bestsearch.cc (HKLM)
O15 - Trusted Zone: *.dapsol.com (HKLM)
En agregar/quitar programas desinstala estos:
scvhost
sp
Pasa este programa: CwShredder
Pasa el easycleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
Reinicia, vuelve a pasar todos los programas de nuevo y nos cuentas.
Necesitaría los procesos, así que descárgate este programa Everest Home Edition, en el apartado sistemas operativos tienes una opción que pone Procesos abiertos y después en el menú de arriba la posibilidad de hacer el informe. Lo pegas aquí.
En cuanto a lo otro, tendrá que ver con todo el desastre que tienes delante ¿Has probado con la opción Abrir con y buscar ahí el programa con el que se debe de abrir?
Saludos | |
|
|
varitu | |
|
Re: Trojan-spy.html.smitfraud - 2005-05-04 19:45 - Respuesta 44
He leido todo el historial de este tema y he ido siguiendo todos los pasos que has ido indicando, pasar el microsoftscan, el regcleaner y el easycleaner. He borrado-modificado el fichero regedit y he puesto los valores que comentabas a "0". Comentarte también que tanto el regcleaner y el easycleaner no tengo ni idea de cómo funcionan, qué opciones tengo que ejecutar exactamente? De todos modos, los he ejecutado con windows en modo a prueba de fallos.
Pero me sigo encontrando con el problema que no me deja cambiar el fondo de escritorio a pesar que sí salen las pestañas correspondientes, por no decir que me siguen saliendo ventanas de publicidad.
A ver si me puedes echar un cable, gracias.
Aquí te dejo lo que sale con el hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 19:23:27, on 04/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rundll32.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Alsu\Escritorio\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Alsu\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1.CAS\CONFIG~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Archivos de programa\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O18 - Filter: text/html - {F00EC5FE-54E7-4643-AFC5-8F7E53334B6A} - C:\WINDOWS\System32\bicd.dll
O18 - Filter: text/plain - {F00EC5FE-54E7-4643-AFC5-8F7E53334B6A} - C:\WINDOWS\System32\bicd.dll
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
Un saludo.
Varitu | |
|
|
tordanxa | |
|
Re: Trojan-spy.html.smitfraud - 2005-05-04 20:03 - Respuesta 45
Lo primero que debes de hacer es instalarte un antivirus, mira AQUÍ
Cierra todos los programas y en el HijackThis marca las siguientes entradas y después las eliminas utilizando la opción Fix checked
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Alsu\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1.CAS\CONFIG~1\Temp\se.dll,DllInstall
En agregar/quitar programas desinstala este, si los tienes:
sp
Elimina los siguiente archivos si los tienes(Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):
se.dll
Pasa el easycleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
En el regcleaner te tienes que ir a herramientas-Limpieza del registro-Limpiar todo y borras las entradas que salen
En el easycleaner, utiliza también la opción registro-buscar y borrar todo
Con Innecesarios-temporales y cookies haces lo mismo
saludos
Reinicia, vuelve a pasar todos los programas de nuevo y nos cuentas.
| |
|
|
|