log de hijthat con virus?¿?¿

alonso19 · Mensaje por **alonso19** » 09 Feb 2005, 19:44

Hola:

Hoy me ha avisado mi firewall de dos programas ke kerian konectarse a internet nuevos. La verdad es ke mi no me suenan de nada y ...

Bueno, he pasado el ad-aware y nada, spybot y nada, panda on -line y nada y he pasado otro antivirus online https://www.virustotal.com/es/ y me ha detectado 4 virus(los dos primeros son por los q el firewall me preguntaba)

- el exobaba.exe

- vutifigi.exe

- kamikifil.exe

- gososijo.exe

El mismo antivirus me ha borrado dos y los otros dos ni los ha podido curar ni borrar(eso creo). Pues bueno, os dejo aki el log del hijthats y a ver ke me podeis decir.

Muchas gracias

Logfile of HijackThis v1.99.0

Scan saved at 19:37:28, on 09/02/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Desfragmentador\PDSched.exe

C:\WINNT\Explorer.EXE

C:\WINNT\SOUNDMAN.EXE

C:\Archivos de programa\DC1300\DCMnt1_0\DC1300mi.exe

C:\Archivos de programa\Mouse Driver\2.1\MOUSE32A.EXE

C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\ARCHIV~1\ZONEAL~1\zlclient.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINNT\SYSTEM32\vutigipi.exe

C:\WINNT\system32\exobaba.exe

C:\WINNT\system32\internat.exe

C:\WINNT\system32\exobaba.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe

C:\Archivos de programa\Netropa\InetKb\Inetkb.exe

C:\Archivos de programa\Note-It\Note-It.exe

D:\nuevos programas\virus, troyanos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DC1300 Monitor] C:\Archivos de programa\DC1300\DCMnt1_0\DC1300mi.exe

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Mouse Driver\2.1\MOUSE32A.EXE

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WXcmeinst] C:\WINNT\SYSTEM32\vutigipi.exe

O4 - HKLM\..\Run: [xevivi] exobaba.exe

O4 - HKLM\..\RunServices: [xevivi] exobaba.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [xevivi] exobaba.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O15 - Trusted Zone: http://ligamania.terra.es

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Netropa NHK Server - Unknown - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Desfragmentador\PDEngine.exe

O23 - Service: PDScheduler - Raxco Software, Inc. - C:\Archivos de programa\Desfragmentador\PDSched.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe

Mensaje por **msc hotline sat** » 09 Feb 2005, 20:11

De los cuatro bichos que indicas, el exobaba.exe lo tienes cargado dos veces, desde el directorio de sistema, y con valor XEVIVI hay 3 claves del registro que lo lanzan en el inicio, en RUN y RUN SERVICES, en HKCU... y HKLM...

Marcando estas lineas y ejecutando FIX, el HJT lo eliminará, si bien desconozco la funcion de este fichero, y antes de eliminarlo te pido envies una muestra a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos comor espuesta de este Tema, con el resultado del analisis.

Evidentemente, si es un virus y el antivirus te lo detecta, te lo debería haber eliminado si lo lanzas arrancando en modo seguro y deshabilitando la restauracion de sistema si es XP:

saludos

ms, 9-02-2005

Mensaje por **maura63** » 09 Feb 2005, 20:15

Informacion al respecto Msc

http://www.sophos.com/virusinfo/analyses/w32sdbotuq.html

Saludos

maura63

Mensaje por **msc hotline sat** » 09 Feb 2005, 20:15

Parece que se puede tratar de un SDBOT:

http://www.sophos.com/virusinfo/analyses/w32sdbotuq.html

[quote]
Virus information

W32/Sdbot-UQ

Summary

Summary Description Recovery Advanced

Profile Prevalence: low high

Name W32/Sdbot-UQ

Type Worm

How it spreads Network shares

Affected operating systems Windows

Side effects Allows others to access the computer

Downloads code from the internet

Reduces system security

Installs itself in the Registry

Protection Download virus identity (IDE) file

Protection available since 3 February 2005 09:14:28 (GMT)

Included in our products from March 2005 (3.91)

More information on IDE files What are IDE files?

How to use IDE files

Get the latest IDE files

Staying up to date

EM Library, part of the Enterprise Manager suite of management tools, allows fully automated web-based installation and updating of Sophos Anti-Virus on a wide range of platforms. If you're using one of our enterprise solutions and aren't already using EM Library, check it out now. Users of our small business solutions are automatically updated by Sophos AutoUpdate.

Description

Summary Description Recovery Advanced

This section helps you to understand how it behaves

W32/Sdbot-UQ is a worm with backdoor Trojan functionality.

W32/Sdbot-UQ spreads by copying a file named GOSOSIJO.EXE to computers on the local network protected by weak passwords. This file is detected as W32/Multidr-BV which drops and runs a copy of W32/Sdbot-UQ and Troj/Ranck-CF.

The worm runs continuously in the background providing backdoor access to the infected computer over IRC channels.

Sophos's anti-virus products include proactive protection technology, which can defend against new threats without requiring an update. Sophos customers have been protected against W32/Sdbot-UQ (detected as W32/Sdbot-Fam) since version 3.89.

Recovery

Summary Description Recovery Advanced

This section tells you how to disinfect.

Please follow the instructions for removing worms.

You will also need to edit the following registry entries, if they are present. Please read the warning about editing the registry.

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

Locate the HKEY_LOCAL_MACHINE entries:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

and remove any reference to any file you deleted.

Each user has a registry area named HKEY_USERS\

[code number indicating user]\. For each user locate the entry: 
HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\ 
and remove any reference to any file you deleted. 
Close the registry editor. 
 

Advanced
 
Summary Description Recovery Advanced   

This section is for technical experts who want to know more.  
W32/Sdbot-UQ is a worm with backdoor Trojan functionality. 
W32/Sdbot-UQ spreads by copying a file named GOSOSIJO.EXE to computers on the local network protected by weak passwords. This file is detected as W32/Multidr-BV which drops and runs a copy of W32/Sdbot-UQ and Troj/Ranck-CF. 
When first run, W32/Sdbot-UQ copies itself to the Windows system folder as EXOBABA.EXE and runs this copy of the worm. In order to run each time a user logs on, W32/Sdbot-UQ will set the following registry entries: 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
xevivi
exobaba.exe 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
xevivi
exobaba.exe 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
xevivi
exobaba.exe 
The worm runs continuously in the background providing backdoor access to the infected computer over IRC channels. 
Sophos's anti-virus products include proactive protection technology, which can defend against new threats without requiring an update. Sophos customers have been protected against W32/Sdbot-UQ (detected as W32/Sdbot-Fam) since version 3.89. 
 
 
 
    © 1997-2005 Sophos Plc. All rights reserved.  Legal | Privacy
 
[/quote]
  

Envianos muestra y lo añadiremos a los que controla el ELISLUTA como tantos miles de parientes...

saludos

ms, 9-02-2005

Mensaje por **maura63** » 09 Feb 2005, 20:17

[color=red]Pos[/color] vaya coincidencia en responder.

Lo que aqui no hagamos.............no se hace en ningun sitio :lol: :lol: :wink:

Saludos

maura63

Mensaje por **msc hotline sat** » 09 Feb 2005, 20:23

Efectivamente, separados por 1000 km pero cronometrados al segundo, Maura63 !!!

saludos

ms, 9-02-2005

alonso19 · Mensaje por **alonso19** » 09 Feb 2005, 21:51

ya os he mandado el email con los dos virus ke no puedo borrar: el exobaba.exe y vutigipi.exe.

He pasodo el mismo antivirus y no lo kita, pone "cannot deleted".

((Por cierto, aber si os importaba explicar en castellano un pokito sobre lo ke pone del virus, soy practicamente nulo en ingles.))

Y con el hjt e marcado tres que ponia exobaba.exe, pero no entiendo muy bien si tengo ke borrar alguna mas o no.

Os pongo un nuevo log en el siguiente mensaje para ke me digais ke tal kedo la cosa.

alonso19 · Mensaje por **alonso19** » 09 Feb 2005, 21:55

me keda decir ke tengo w2000 ionstalado, por si sirve de algo

Logfile of HijackThis v1.99.0

Scan saved at 21:56:09, on 09/02/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Desfragmentador\PDSched.exe

C:\WINNT\Explorer.EXE

C:\WINNT\SOUNDMAN.EXE

C:\Archivos de programa\DC1300\DCMnt1_0\DC1300mi.exe

C:\Archivos de programa\Mouse Driver\2.1\MOUSE32A.EXE

C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\ARCHIV~1\ZONEAL~1\zlclient.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINNT\SYSTEM32\vutigipi.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe

C:\Archivos de programa\Netropa\InetKb\Inetkb.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\nuevos programas\virus, troyanos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DC1300 Monitor] C:\Archivos de programa\DC1300\DCMnt1_0\DC1300mi.exe

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Mouse Driver\2.1\MOUSE32A.EXE

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WXcmeinst] C:\WINNT\SYSTEM32\vutigipi.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O15 - Trusted Zone: http://ligamania.terra.es

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Netropa NHK Server - Unknown - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Desfragmentador\PDEngine.exe

O23 - Service: PDScheduler - Raxco Software, Inc. - C:\Archivos de programa\Desfragmentador\PDSched.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe

Mensaje por **maura63** » 10 Feb 2005, 09:09

Sigues teniendo las entradas tanto en C como

O4 - HKLM\..\Run: [WXcmeinst] C:\WINNT\SYSTEM32\vutigipi.exe

No tienes antivirus residente :?: Y sobre que usas W2000 con el log de hijackthis se ve, incluso el SP instalado.

Saludos

maura63