Zombie | |
| 2005-05-04 20:50 - Respuestas: 5 - Tema nº: 33033
hola como un saludo. me alojo a sus conosimientos podrian hecharme una manita ha analizar este log k hise con el hijackthis
bueno utlice la pagina para analizar pero aun sigo con algunas dudas.
este es el log
Logfile of HijackThis v1.99.1
Scan saved at 01:37:51 p.m., on 16/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system\RundII32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\program files\altnet\points manager\points manager.exe
C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe
C:\PROGRA~1\Altnet\DOWNLO~1\asm.exe
C:\Archivos de programa\Archivos comunes\GMT\GMT.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Microsoft Office\Office\EXCEL.EXE
C:\PROGRA~1\Altnet\DOWNLO~1\adm4005.exe
C:\Archivos de programa\Kazaa\Kazaa.exe
C:\WINDOWS\system32\rundll32.exe
C:\yaneth\HijackThis\HJT\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Rana\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Rana\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\ARCHIV~1\INSTAF~1\INSTAF~1.DLL
O2 - BHO: (no name) - {E6299517-C00D-4ABF-B614-7F965C679200} - C:\WINDOWS\System32\kdjm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKLM\..\Run: [RundII32] C:\WINDOWS\system\RundII32.exe
O4 - HKLM\..\Run: [sm] C:\WINDOWS\sa_exe.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Rana\CONFIG~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunOnce: [Need2FindBar Uninstall] rundll32 C:\ARCHIV~1\UNINST~1.DLL,O -2
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - Global Startup: GStartup.lnk = C:\Archivos de programa\Archivos comunes\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Filter: text/html - {D2CC1834-62F2-424E-98DE-B4654362F0B9} - C:\WINDOWS\System32\kdjm.dll
O18 - Filter: text/plain - {D2CC1834-62F2-424E-98DE-B4654362F0B9} - C:\WINDOWS\System32\kdjm.dll
bueno muchas gracias.
| |
|
|
tordanxa | |
|
Re: Ayuda porfavor analizar log hijack - 2005-05-04 21:09 - Respuesta 2
Cuidado con el analizador que da muchos fallos.
Elimina estas entradas:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Rana\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Rana\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\ARCHIV~1\INSTAF~1\INSTAF~1.DLL
O2 - BHO: (no name) - {E6299517-C00D-4ABF-B614-7F965C679200} - C:\WINDOWS\System32\kdjm.dll
O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Rana\CONFIG~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunOnce: [Need2FindBar Uninstall] rundll32 C:\ARCHIV~1\UNINST~1.DLL,O -2
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - Global Startup: GStartup.lnk = C:\Archivos de programa\Archivos comunes\GMT\GMT.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer
En agregar quitar/programas busca y desisntala los siguientes:
winshost.exe
AltnetPointsManager
CMESys
sp
Need2FindBar Uninstall
Spyware Vanisher
ares]
Gmt
Busca estos archivos y eliminalos
\P2P Networking.exe elimina también la carpeta
points manager.exe
CMESys.exe
GMT.exe
adm4005.exe
se.dll
Pasa a tu ordenador todos estos programas
Spybot S&D
Ad Aware SE ( pack de lenguajes )
CwShredder
Microsoft antispyware
El Ad-Aware pásalo con la opción Realizar exploración completa del sistema
Limpia el ordenador de archivos y entradas de registro innecesarias
EasyCleaner
Regcleaner
Reinicia, si tienes problemas antes de poner el log pasa primero los programas que te he puesto
Estas dos entradas también son muy sospechosas pero no sé que son
O4 - HKLM\..\Run: [RundII32] C:\WINDOWS\system\RundII32.exe
O4 - HKLM\..\Run: [sm] C:\WINDOWS\sa_exe.exe
Saludos
| |
|
|
Zombie | |
|
Re: Ayuda porfavor analizar log hijack - 2005-05-04 21:33 - Respuesta 3
ok muchas gracias por tu ayuda y perdon por tu tiempo gracias. | |
|
|
tordanxa | |
|
Re: Ayuda porfavor analizar log hijack - 2005-05-04 21:58 - Respuesta 4
Una forma de comprobar si esas dos última entradas sopechas lo son, es mirando la fecha en que fueron creadas sus carpetas o cualquiera de sus archivos, si coincide con la de la infección pues ya sabes
saludos | |
|
|
Doktor | |
|
Re: Ayuda porfavor analizar log hijack - 2005-05-06 04:34 - Respuesta 5
Normalmente el Rundll.exe esta en C:\windows, lo contrario a windows\system, habria que ver tambien que windows ocupa...
por que segun yo , no existen programas en la carpeta System32 por lo tanto no deben de estar estas entradas:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
No se si alguien este deacuerdo conmigo y si no que me desmientan porfavor...
| |
|
|
|