| FidL |  |
|
2005-09-14 13:34 - Respuestas: 2 - Tema nº: 42547
buenas, buenas...
gracias de antemano por dejar que me meta aqui y hacer preguntas
de veras
me encantaría encontrar quien me oriente y le guste echar un cable a un profano...
desde hace unos días mi equipo (COMPAQ PRSARIO 2500) hace unas cosas muy raras.
le paso el norton 2004 y me suelta que estoy infectado con:
1-launch.html-Trojan Horse
2-winmic.exe-W32.Spybot.worm
busco y rebusco en foros
intento pasar el panda active on line (pero no me deja ni marcar el país)
qué puedo hacer??
he visto que se utiliza el HijackThis como una especie de diagnóstico...
se lo paso
mi chiji-chiji es así:
Logfile of HijackThis v1.99.1
Scan saved at 10:45:40, on 14/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\Dit.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\System32\task32w.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\FideL\Escritorio\VIRUS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;liveupdate.symantecliveupdate.com;liveupdate.symantec.com;service1.symantec.com;*.nai.com;*.networkassociates.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [WINP] C:\WINDOWS\winmic.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Mostrar Imagen Original - res://C:\WINDOWS\iDialer\Wanadoo Turbo\WebAccelerator.dll/227
O8 - Extra context menu item: Mostrar todas las imágenes originales - res://C:\WINDOWS\iDialer\Wanadoo Turbo\WebAccelerator.dll/250
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://V5.Windowsupdate.microsoft.com and https
O15 - Trusted Zone: http://Download.Windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124881801760
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBC2C69F-90F0-4702-B05A-EF5A8FF77ECE}: NameServer = 80.58.0.33,80.58.32.87
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
MIL GRACIAS
FidL | |
|
|
| Tharos |  |
|
Re: Tngo un caballoDtroya qm da traya - 2005-09-14 16:12 - Respuesta 2
Hola:
Lo primero, te recomendaría que pasaras tu antivirus actualizado en Modo Seguro (pulsa F8 justo antes de que aparezca el logotipo de Windows al arrancar). Aunque el Norton es un especialista en detectar virus y no borrarlos.
Echando un vistazo a tu log del HijackThis, borra sin piedad las siguientes entradas:
O4 - HKLM\..\Run: [WINP] C:\WINDOWS\winmic.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
También borra los archivos ejecutables correspondientes, es decir, C:\Windows\winmic.exe y C:\windows\system32\task32w.exe, todo esto desde el modo seguro.
Reinicia y vuelve a pasar el antivirus a ver si hay suerte. También te recomiendo que pases un antispyware como el Ad-Aware y el Spybot Search & Destroy.
Suerte! | |
|
|
| tordanxa |  |
|
Re: Tngo un caballoDtroya qm da traya - 2005-09-14 16:43 - Respuesta 3
Realmente no deberías pegar el log sin haber pasado antes los programas que te dice Tharos.
Las entradas en el hijackThis las debes de marcar con todos los programas cerrados y después presionar Fix Checked.
Además de las que te indica Tharos, marca también estas:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;liveupdate.symantecliveupdate.com;liveupdate.symantec.com;service1.symantec.com ;*.nai.com;*.networkassociates.com
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O2 - BHO: (no name) - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - (no file)
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
Saludos | |
|
|
|
