¿Virus o Spyware?

Responder
logan5
Mensajes: 25
Registrado: 01 Feb 2005, 00:21

¿Virus o Spyware?

Mensaje por logan5 » 15 Feb 2005, 17:31

Buenas, sospecho que hay algo raro en mi equipo por lo que le he pasado el Ad-aware y el Spybot en modo seguro, aparte el antivirus aunque sospecho que no me pilla todo lo que podría haber por lo que más abajo pego mi log, he marcado con un * los que veo sospechosos! Salu2...



Logfile of HijackThis v1.99.0

Scan saved at 17:15:07, on 15/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

* C:\WINDOWS\system32\spoolsv.exe

* C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\xcommsvr.exe

C:\WINDOWS\System32\ctfmon.exe

D:\Programas\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Launch K9.lnk = C:\Archivos de programa\KeirNet\K9\K9.exe

O4 - Startup: Murphy Shield.lnk = ?

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

* O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000



O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105326783324

O23 - Service: Avx Init Serv - Unknown - C:\Archivos de programa\SOFTWIN\BDProf\avxinit.exe

* O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

* O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

* O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

* O23 - Service: Macromedia Licensing Service - Unknown - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

* O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

* O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

* O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Outpost Firewall Service - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

* O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

* O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

* O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: AVX Communicator - Softwin - C:\WINDOWS\system32\xcommsvr.exe

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 15 Feb 2005, 17:42

En principio no tienes nada, has pasado tambien un antivirus online para comprobar resultados con el tuyo :?: Comprueba que se muestren archivos y carpetas ocultos tambien



· Computer Associates

https://www.virustotal.com/es/





Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

logan5
Mensajes: 25
Registrado: 01 Feb 2005, 00:21

Otro log...

Mensaje por logan5 » 15 Feb 2005, 22:24

Gracias por tu respuesta, también pasé el antivirus on-line del Norton aunque si se recomienda pasar los antivirus en modo seguro, el on-line puede que no sea muy eficaz?

Veo que eres de Cádiz, yo soy de Jerez :-) ¡con lo grande que es Internet! Mira, te pego otro log de una amiga porque este creo que si lleva sorpresa...



Logfile of HijackThis v1.98.2

Scan saved at 21:31:20, on 15/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Documents and Settings\Tecnólogo\Mis documentos\Mis archivos recibidos\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: 62.81.237.170 auto.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"

O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.es

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F6E208E-BF6A-4AD8-AEF0-FD3F69D76A46}: NameServer = 62.42.230.135,62.42.230.136

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Kalmng32.dll

Avatar de Usuario
caito
Mensajes: 1538
Registrado: 30 May 2004, 06:29
Ubicación: Argentina

Mensaje por caito » 15 Feb 2005, 23:08

Dile a tu amiga que antes lea esto:

https://foros.zonavirus.com/viewtopic.php?t=5148

Además luego de realizar esos pasos tendría que bajar la versión 1.99 del Hijack:

https://foros.zonavirus.com/viewtopic.php?t=5148

Y tiene un Backdoor.

Salu2

Caito

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 16 Feb 2005, 09:02

Pues efectivamente paisano, con todo lo grande de internet. Y te comento ademas de los indicado por Caito y que ya anunciamos en el primer post de esta parte del foro, que de pendiendo del tipo de conexion que tengas para internet podras o no arrancar en modo seguro con funciones de red para pasar un antivirus online.



Si lo haces mediante cable modem, o router podras lanzar el antivirus online y limpiar arrancando en modo seguro con funciones de red.



Por otro lado, el no poder hacerlo de esa forma, por lo menos contrastaras los resultados de tu antivirus con los del online y ver si coinciden. Una gran ventaja para cotejar resultados.



Asi que antes de nada pasa por el tutorial acatando todos los pasos, pasando los programas una vez actualizados como se recomienda y es necesario y ya limpiaras el WINDON de mucha basura. Luego de tener problemas o alguna duda copiar y pegar el log con la version nueva de hijackthis como respuesta a este mismo tema.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Responder

Volver a “Foro HijackThis - copia y pega tu log”