| ChoPraTs |  |
|
2005-06-14 20:13 - Respuestas: 7 - Tema nº: 36096
Hola. En el ordenador que funciona con Windows 98, aparece el proceso tcphost.exe habilitado para arrancar junto con windows.
He buscado en google "tcphost.exe" y salen pocas páginas, algunas de ellas están en chino o japonés y mencionan la palabra Trojan.
A veces, también me salta un error que dice:
Tcphost
Error '6' en tiempo de ejecución:
Desbordamiento
Y una botón de "Aceptar". En otros equipos (con Windows XP) no tengo este proceso. ¿Debo dejarlo? ¿Qué programa puede ser que lo use? ¿Está infectado? ¿Para qué sirve el proceso?
Lo he analizado con varios programas Antispyware (NoAdware y AdAware) y con antivirus como Nod32 y Kaspersky 4.5. Ninguno de los dos ven nada anormal.
Espero que puedan ayudarme. Gracias. | |
|
|
| DAMARUSO |  |
|
Re: Proceso sospechoso - tcphost.exe - 2005-06-14 20:51 - Respuesta 2
Bueno pana he buscado y no aparece registrado. Puedes pinchar AQUÍ para revisar algún otro proceso del que dezconozcas procedencia. Lo que te recomeindo es que lo bloquees con el firewall.
Saludos. | |
|
|
| ChoPraTs | |
|
Re: Proceso sospechoso - tcphost.exe - 2005-06-14 22:07 - Respuesta 4
HOla Rahel
Los antivirus los habia pasado, (actualizados justo antes de pasarlos tanto Nod32 como Kaspersky). Lo único que no los había pasado en Modo a Prueba de Fallos. Pero de todas maneras, en todo caso eso solo sucionaria que no hubiese podido borrar el archivo infectado porque estaba en uso, y ni si quiera habia encontrado infecciones, asi que si no me equivoco, poco más haría el que le pase el antivirus en modo a prueba de fallos.
De todos los programas que has dicho, el Microsoft Antispyware no lo puedo pasar (pues el ordenador funciona en Windows9. Los otros si los he pasado menos el Cwshredder este, que no lo conocía. De todas maneras, dudo mucho que tenga nada que ver con CoolWebSearch. Eso se lo carga el Spybot Search & Destroy que no veas.
El registro esta mas que limpio, con RegCleaner, RegSupreme, System Mechanic Professional, Tuneup Utilities 2004, Jv16, etc.
Bueno, lo último que falta es pasar el Hijackthis este. Ahora lo pasaré y pondré el log aquí. A ver si deducíis algo.
| |
|
|
| ChoPraTs | |
|
Re: Proceso sospechoso - tcphost.exe - 2005-06-14 22:17 - Respuesta 5
Este es el lock. Hay algunas cosas que no me gusta como suenan... Ya me diréis que es lo que sobra, y como lo podría quitar si tenéis alguna solución. Gracias:
Logfile of HijackThis v1.99.1
Scan saved at 22:11:55, on 14/06/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\TCPHOST.EXE
C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMAS\NOD32\NOD32KRN.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMAS\PERFECTDISK\PDENGINE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\LOGITECH\ENTRTAIN\LGEVNTRT.EXE
C:\PROGRAMAS\NOD32\NOD32KUI.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMAS\CACHEMAN\CACHEMAN.EXE
C:\WINDOWS\RSRCMTR.EXE
C:\PROGRAMAS\P2PHAZARD 2\P2PHAZARD2.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMAS\REGSUPREME\REGSUPREME.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\PROFILES\JUAN J. PRATS\ESCRITORIO\HIJACKTHIS.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sexofactory.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elprincipio.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{582788CA-7014-4904-A4EE-6FB6108AFE8E} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Busqueda - {D12232B5-ED4A-4EC6-ACFB-7873704AA06A} - C:\WINDOWS\DOWNLO~1\REALBAND.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LGEVNTRT] c:\logitech\entrtain\lgevntrt.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [tcphost] C:\WINDOWS\SYSTEM\tcphost.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programas\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ICSDCLT] c:\windows\rundll32.exe c:\windows\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SSDPSRV] c:\windows\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [tcphost] C:\WINDOWS\SYSTEM\tcphost.exe
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Programas\Nod32\nod32krn.exe"
O4 - HKLM\..\RunServices: [PerfectDisk] C:\Programas\PerfectDisk\PDEngine.exe
O4 - HKCU\..\Run: [Cacheman] C:\PROGRA~2\CACHEMAN\Cacheman.exe
O4 - HKCU\..\RunOnce: [System Mechanic Registry Compact Handler] C:\PROGRAMAS\SYSTEM MECHANIC 5 PROFESSIONAL\SYSMECH5.EXE /REMOVEREGCOMPACT
O4 - Startup: Medidor de recursos.lnk = C:\WINDOWS\RSRCMTR.EXE
O4 - Startup: P2PHazard2.lnk = C:\PROGRAMAS\p2phazard 2\P2PHazard2.exe
O4 - User Startup: Medidor de recursos.lnk = C:\WINDOWS\RSRCMTR.EXE
O4 - User Startup: P2PHazard2.lnk = C:\PROGRAMAS\p2phazard 2\P2PHazard2.exe
O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: DescargaGratis - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\WINDOWS\Profiles\Juan J. Prats\Application Data\MATRIX\DescargaGratis\LanzarDll.exe (HKCU)
O9 - Extra 'Tools' menuitem: DescargaGratis - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\WINDOWS\Profiles\Juan J. Prats\Application Data\MATRIX\DescargaGratis\LanzarDll.exe (HKCU)
O9 - Extra button: JuegoTotal - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\WINDOWS\Profiles\Juan J. Prats\Application Data\MATRIX\JuegoTotal\LanzarDll.exe (HKCU)
O9 - Extra 'Tools' menuitem: JuegoTotal - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\WINDOWS\Profiles\Juan J. Prats\Application Data\MATRIX\JuegoTotal\LanzarDll.exe (HKCU)
O9 - Extra button: NuevoCorreo - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\WINDOWS\Profiles\Juan J. Prats\Application Data\MATRIX\NuevoCorreo\LanzarDll.exe (HKCU)
O9 - Extra 'Tools' menuitem: NuevoCorreo - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\WINDOWS\Profiles\Juan J. Prats\Application Data\MATRIX\NuevoCorreo\LanzarDll.exe (HKCU)
O9 - Extra button: StartMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0003} - C:\WINDOWS\Profiles\Juan J. Prats\Application Data\MATRIX\StartMessenger\LanzarDll.exe (HKCU)
O9 - Extra 'Tools' menuitem: StartMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0003} - C:\WINDOWS\Profiles\Juan J. Prats\Application Data\MATRIX\StartMessenger\LanzarDll.exe (HKCU)
O12 - Plugin for .ram: C:\ARCHIVOS DE PROGRAMA\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\nppl3260.dll
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnview95.cab
O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {8798932F-36CC-4C43-AA29-24C0E01C7491} (CRealDownloader Object) - http://www.accesorapido.com/realexplorer/RealExplorer.cab
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} - http://install.wildtangent.com/bgn/partners/nike/nikefz4/install.cab
O16 - DPF: {E6BC0B38-2BDD-11D4-815E-006097385FF5} (TranderX Control) - http://www.inverline.com/trander/WebTrander.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by22fd.bay22.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c11.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.-.com/sinespias/installer.cab
| |
|
|
|
