ayuda para revisar si tengo algo raro en mi registro

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
aramirez
Mensajes: 1
Registrado: 29 Ago 2005, 18:45

ayuda para revisar si tengo algo raro en mi registro

Mensaje por aramirez » 29 Ago 2005, 18:48

Logfile of HijackThis v1.99.1

Scan saved at 11:43:03 a.m., on 29/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\NMSSvc.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

C:\Archivos de programa\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC05.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC05.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC05.EXE

C:\Archivos de programa\Spyware Doctor\spydoctor.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Supervisor\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com.mx/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.miembrosprodigy.com.mx/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Prodigy Infinitum

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 154.5.4.1 acapulco1

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-mx\msntb.dll

O3 - Toolbar: T1msn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-mx\msntb.dll

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\spydoctor.exe" /Q

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [InstantTray] C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Archivos de programa\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: officejet 6100.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: TotalMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\TotalMessenger\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: TotalMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\TotalMessenger\LanzarDll.exe (HKCU)

O9 - Extra button: MasMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\MasMessenger\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: MasMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\MasMessenger\LanzarDll.exe (HKCU)

O9 - Extra button: CorreoPendiente - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\CorreoPendiente\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: CorreoPendiente - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\CorreoPendiente\LanzarDll.exe (HKCU)

O9 - Extra button: GrupoDeAmigos - {03FBB191-FB50-4154-91D7-587D5E3C0003} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\GrupoDeAmigos\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: GrupoDeAmigos - {03FBB191-FB50-4154-91D7-587D5E3C0003} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\GrupoDeAmigos\LanzarDll.exe (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.miembrosprodigy.com.mx/

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potb_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} (Marcador Class) - http://acceso.masminutos.com/software.cab

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_ES_XP.cab

O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} - http://www.one2one.com/static/class/one2oneSvc.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://154.5.4.1/web/tsweb/msrdp.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1) -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://200.33.20.180:2003/activex/AxisCamControl.cab

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2D4667E6-3E08-433D-9296-8326B980EFBE}: NameServer = 200.33.146.217,200.33.146.209

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FF2BD98-DF8E-448B-8459-FE721B62F511}: NameServer = 200.33.146.202 200.33.146.194

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2323B17-61D7-49D8-9BBF-0719DBCC37B1}: NameServer = 200.33.146.193,200.33.146.201

O17 - HKLM\System\CCS\Services\Tcpip\..\{CCA80A84-3693-4A23-8697-5284B8FD47D4}: NameServer = 200.33.146.217,200.33.146.209

O17 - HKLM\System\CS1\Services\Tcpip\..\{2D4667E6-3E08-433D-9296-8326B980EFBE}: NameServer = 200.33.146.217,200.33.146.209

O17 - HKLM\System\CS2\Services\Tcpip\..\{2D4667E6-3E08-433D-9296-8326B980EFBE}: NameServer = 200.33.146.217,200.33.146.209

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: AdminService for PROGRESS 9.1C (AdminService9.1C) - Unknown owner - C:\Archivos de programa\Progress\bin\AdmSrvc.exe

O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 29 Ago 2005, 19:17

Dada la gran cantidad de claves malware detectadas en este log, se recuerda que preciamente al posteo del log se ha de haber procedido en consecuencia a:



https://foros.zonavirus.com/viewtopic.php?t=5148



pues de lo contrario pueden quedar claves en otras zonas del registro de dificil deteccion !!!



Entendiendo que han seguido todas las instrucciones de los Temas que están al principio de este apartado, pueden proceder a eliminar las siguientes:





O1 - Hosts: 154.5.4.1 acapulco1

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing)



O2 - BHO: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll





O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} -

O9 - Extra button: TotalMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\TotalMessenger\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: TotalMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\TotalMessenger\LanzarDll.exe (HKCU)

O9 - Extra button: MasMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\MasMessenger\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: MasMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\MasMessenger\LanzarDll.exe (HKCU)

O9 - Extra button: CorreoPendiente - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\CorreoPendiente\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: CorreoPendiente - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\CorreoPendiente\LanzarDll.exe (HKCU)

O9 - Extra button: GrupoDeAmigos - {03FBB191-FB50-4154-91D7-587D5E3C0003} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\GrupoDeAmigos\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: GrupoDeAmigos - {03FBB191-FB50-4154-91D7-587D5E3C0003} - C:\Documents and Settings\Supervisor\Datos de programa\MATRIX\GrupoDeAmigos\LanzarDll.exe (HKCU)



O14 - IERESET.INF: START_PAGE_URL=http://www.miembrosprodigy.com.mx/



O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} (Marcador Class) - http://acceso.masminutos.com/software.cab

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_ES_XP.cab



O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} - http://www.one2one.com/static/class/one2oneSvc.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup 1.0.0.8.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -



O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://154.5.4.1/web



O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab





Tras ello, reiniciar y comprobar resultados, y nos lo comentan como respuesta de este Tema, gracias



saludos



29-08-2005
Arriba
Responder

Volver a “Foro HijackThis - copia y pega tu log”