Registrado: Jan 16, 2006 Mensajes: 12205 Ubicación: Melilla
Publicado: Jueves 22 Noviembre 2007 9:30 PM
Aqui mando mi hithathis o como se esciba... despues de traer el pc del taller y me encuentro que em lo traen con un bonito virus!!!
Cita:
Logfile of HijackThis v1.99.1
Scan saved at 21:28:33, on 22/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\vsnpstd2.exe
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Programas\Window\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=3082
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Archivos de programa\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\archivos de programa\steam\steam.exe" -silent
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Saludos
_________________
Última edición por Terrez el Jueves 22 Noviembre 2007 10:26 PM, editado 1 vez
AngelCaidox Security Engineer
Registrado: Dec 30, 2004 Mensajes: 6098 Ubicación: Llodio(Alava)
Publicado: Jueves 22 Noviembre 2007 10:09 PM
No veo nada anormal en el log, puede que el virus se ejecute de otra manera una vez arrancado windows o cuando ejecutas algo, por ejemplo un navegador o cualquier otra aplicación.
Registrado: Jan 16, 2006 Mensajes: 12205 Ubicación: Melilla
Publicado: Jueves 22 Noviembre 2007 10:28 PM
Voy a pasarle el antivirus ese...
Luego lo dejare toda la noche con el Avast
Saludos
_________________
Terrez Moderador
Registrado: Jan 16, 2006 Mensajes: 12205 Ubicación: Melilla
Publicado: Jueves 22 Noviembre 2007 10:53 PM
Toma reporte:
Incidencia Estado Elemento
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\Iñaki\Cookies\iñaki@atdmt[2].txt
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\Iñaki\Cookies\iñaki@doubleclick[1].txt
Spyware:Cookie/Tradedoubler No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Falkag No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Adtech No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Advertising No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.advertising.com/]
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Tribalfusion No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/Xiti No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.xiti.com/]
Spyware:Cookie/FastClick No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/Apmebf No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.apmebf.com/]
Spyware:Cookie/FastClick No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\Iñaki\Datos de programa\Mozilla\Firefox\Profiles\zuf4zh0f.default\cookies.txt[ad.yieldmanager.com/]
Ningun virus solo spyware...
Ahora mismo me esta saliendo el avast y me dice escudo de no se que DCOM y una ip....
Saludos
_________________
AngelCaidox Security Engineer
Registrado: Dec 30, 2004 Mensajes: 6098 Ubicación: Llodio(Alava)
Publicado: Jueves 22 Noviembre 2007 10:55 PM
Si no me falla la vista son todo cookies... estas limpio terroncito nadie te a metido ningun virus.
Terrez Moderador
Registrado: Jan 16, 2006 Mensajes: 12205 Ubicación: Melilla
Publicado: Jueves 22 Noviembre 2007 10:56 PM
Pues no me para de salir cada "X" tiempo ha recibido un ataque DCOM y una ip detenido por AVASt....
Eso que carajos es entonces?
Saludos
_________________
worsito Admin del Foro
Registrado: Jul 04, 2005 Mensajes: 10978
Publicado: Jueves 22 Noviembre 2007 11:35 PM
el firewall tal vez?
_________________
Terrez Moderador
Registrado: Jan 16, 2006 Mensajes: 12205 Ubicación: Melilla
Publicado: Jueves 22 Noviembre 2007 11:37 PM
AngelCaidox me esta comentando que es un ataque por el puerto 135... pero el caso es que quiere que cierre los puestos... pero claro tengo un modem Sagem F@ast 800 y no puedo hacerlo... asi que no se que hacer... porque esto no pasaba antes!
Saludos
_________________
worsito Admin del Foro
Registrado: Jul 04, 2005 Mensajes: 10978
Publicado: Jueves 22 Noviembre 2007 11:43 PM
El puerto 135 es el que usaba blaster para propagarse, supongo que tienes el XP SP2 no???
Bajate este exe que te chapara el puerto 135 http://www.grc.com/freeware/dcom.htm
_________________
Terrez Moderador
Registrado: Jan 16, 2006 Mensajes: 12205 Ubicación: Melilla
Publicado: Jueves 22 Noviembre 2007 11:44 PM
Tengo el SP2.. pero no se chicos... ¿El virus donde se puede haber metido?
Saludos
_________________
worsito Admin del Foro
Registrado: Jul 04, 2005 Mensajes: 10978
Publicado: Jueves 22 Noviembre 2007 11:46 PM
Hombre... te queda una opción tio, mete una restauración del sistema y retrocede una semana por ejemplo
_________________
Terrez Moderador
Registrado: Jan 16, 2006 Mensajes: 12205 Ubicación: Melilla
Publicado: Jueves 22 Noviembre 2007 11:47 PM
Con eso se quitaran mis "problemas??
saludos
_________________
worsito Admin del Foro
Registrado: Jul 04, 2005 Mensajes: 10978
Publicado: Jueves 22 Noviembre 2007 11:50 PM
Es muy posible, inténtalo y nos cuentas majo
_________________
Terrez Moderador
Registrado: Jan 16, 2006 Mensajes: 12205 Ubicación: Melilla
Publicado: Jueves 22 Noviembre 2007 11:55 PM
Acabo de retroceder 5 dias... veremos que sucede y si sigue dandome ataques..
Saludos
_________________
AngelCaidox Security Engineer
Registrado: Dec 30, 2004 Mensajes: 6098 Ubicación: Llodio(Alava)
Publicado: Viernes 23 Noviembre 2007 12:11 AM
como ha ido??
Terrez Moderador
Registrado: Jan 16, 2006 Mensajes: 12205 Ubicación: Melilla
Publicado: Viernes 23 Noviembre 2007 12:12 AM
Por ahora 0 ataques...
saludos
_________________
Terrez Moderador
Registrado: Jan 16, 2006 Mensajes: 12205 Ubicación: Melilla
estas limpio terroncito nadie te a metido ningun virus.
