Spyware ? (solucionado)

caito · Mensaje por **caito** » 30 May 2004, 17:19

Me podrían decir qué tengo que eliminar :

Logfile of HijackThis v1.97.7

Scan saved at 12:18:13 p.m., on 30/05/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG7\AVGAMSVR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\TASKMON.EXE

C:\ARCHIVOS DE PROGRAMA\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG7\AVGCC.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG7\AVGEMC.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\SYSTEM\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\FAST DEFRAG\FAST2.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\ARCHIVOS DE PROGRAMA\HIJAK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.craveri.com.ar/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\DLPROTECT.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [SelfHostUtil] C:\WINDOWS\selfhost.exe /L

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIVOS DE PROGRAMA\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\GRISOFT\AVG7\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_RegCleaner] C:\ARCHIV~1\GRISOFT\AVG7\AVGREGCL.EXE /BOOT

O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunServices: [HiberMonitor] C:\WINDOWS\HCount.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [avgamsvr.exe] C:\ARCHIV~1\GRISOFT\AVG7\AVGAMSVR.EXE

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [FAST Defrag] C:\ARCHIV~1\FASTDE~1\FAST2.EXE -tray

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O8 - Extra context menu item: Download using FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_link.htm

O8 - Extra context menu item: Download All by FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_all.htm

O9 - Extra button: ICQ Pro (HKLM)

O9 - Extra 'Tools' menuitem: ICQ (HKLM)

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37862.8960532407

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4346/mcfscan.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

Gracias

Caito

Mensaje por **admin** » 08 Jun 2004, 13:45

Perdona el retraso, pero yo no lo vi antes, lo siento.

Web con la base de datos mas completa de procesos en windows Xp con mas de 4000 procesos identificados, se recomienda utilizar la opcion de search (buscar) y escribir el nombre del proceso completo inclido su extension.

http://www.sysinfo.org/startuplist.php (corregido el enlace)

Compara las extensiones con la web que te comento, ahy varios sospechosos para comprobar ademas el realched.exe ese si que lo puedes kitar, no hace nada y es del realmedia.

caito · Mensaje por **caito** » 08 Jun 2004, 23:37

Bueno ya me sentía un poco abandonado...

Ahora en serio gracias por responder ya me pongo a investigar en la dirección que me diste.

Saludos

Caito :)

Mensaje por **msc hotline sat** » 09 Jun 2004, 19:51

A mi tambien se me pasó al ser posteado en fin de semana, cuando estoy fuera de juego.

Por ello le he dado un vistazo y me ha extrañado ver la carga del STMGR.EXE y SRAREMGR.EXE desde C:\Windows\System\Restore, pues no es logico utilizar y cargar en el inicio un fichero situado en el RESTORE (?)

Para tartar de ayudarte, mira de enviarnos estos dos ficheros a zonavirus@satinfo.es anecadoas a un mail cuyo texto sea un coipiar y pegar de este post, y te contestaremos como respuesta a este Tema

Aparte, sugerirte pases un antivirus actualizado, que seguro que tendrñas, y un antispyware como el SPYVOT, y elimines todos los bichos conocidos, adwares y spywares:

Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

saludos

ms, 9-06-2004:

caito · Mensaje por **caito** » 10 Jun 2004, 18:10

El archivo STMGR.EXE tiene que ver con Restaurar Sistema y por eso no lo he sacado del inicio, el otro ( SRAREMGR.EXE ) no lo encuentro, por lo tanto creo que ya he limpiado ( con el Adaware, SpyBot..., y Avast) todo por lo que podemos dar por solucionado el tema ( a menos que crean otra cosa ).

Muchas Gracias

Caito

Mensaje por **msc hotline sat** » 10 Jun 2004, 20:17

Pues de acuerdo, como se nos indica, damos por solucionado el asunto y cerramos el Tema