-
josecorts
- Mensajes: 1
- Registrado: 03 Mar 2005, 21:47
Mensaje
por josecorts » 03 Mar 2005, 21:52
Hola, a continuación os pego el log del Hijack despues de haber pasado el antivirus en modo seguro y los antispyware, sin resultado positivo ya que el ordenador se cuelga a cada dos por tres! ¿Puede influir el tener un WXP pirata en un portatil?
Gracias por adelantado...
Logfile of HijackThis v1.99.1
Scan saved at 21:32:46, on 03/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\wuamgd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dumprep.exe
C:\WINDOWS\System32\dumprep.exe
C:\Archivos de programa\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Archivos de programa\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgd.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Archivos de programa\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
-
caito
- Mensajes: 1538
- Registrado: 30 May 2004, 06:29
- Ubicación: Argentina
Mensaje
por caito » 03 Mar 2005, 22:42
Guarda el Hijack en su propia carpeta, por ej:
C>Limpiar>Hijack
Baja este programa:
disk cleaner
http://www.xs4all.nl/~mp2004/
desactiva Restaurar sitema
arranca en modo seguro
Cierra todas las aplicaciones
Termina este proceso(ctrl+alt+del):
wuamgd.exe
Lanza el Hijack
Scan y luego Fix a estas:
C:\WINDOWS\System32\wuamgd.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O4 - HKLM\..\Run: [Microsoft Update] wuamgd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgd.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Asegúrate que se vean todos los archivos:
Haga clic en Mi PC.
Haga clic en el menú Herramientas, y después en Opciones de carpeta.
Haga clic en la pestaña Ver.
Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".
En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".
Quite la marca en "Ocultar archivos protegidos del sistema operativo".
Haga clic en Aplicar, y después en Aceptar.
Busca este archivo y si está elimínalo:
C:\WINDOWS\System32\wuamgd.exe
Borra con el disk cleaner:
archivos temp. de internet,temp. de sist.,cookies,historial
Vacía la papelera
Ejecuta el AdAware Se actualizado al 16/02/05
Reinicia normal y pega un nuevo log.
salu2
Caito
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 04 Mar 2005, 08:58
Y la presencia de [color=red]wuamgd.exe[/color] delata a:
[color=red]SDBOT.HQ WORM[/color]
It takes advantage of the following Windows vulnerabilities:
Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
IIS5/WEBDAV vulnerability
Despues de lo indicado por Caito, conecta via windows update y actualiza con los parches necesarios.
Saludos
maura63
