A ver que encuentran en mi LOG

[jacotasa]

Miren, les dejo mi LOG, lo que pasa es que me he traido mi PC al trabajo y aquí noto un rendimiento muy raro, no se si porque lo metieron a la RED de la compañía para lo que le instalaron ciertos programas, pero no sea que si tenga algo y yo confiado. (de tener algo lo quito inmediatamente de aquí y me lo llevo de nuevo a mi casa).



--------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 09:09:36 a.m., on 28/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\LANDesk\Shared Files\residentagent.exe

C:\LDClient\LOCALSCH.EXE

C:\WINDOWS\system32\cba\pds.exe

C:\LDClient\QIPCLNT.EXE

C:\LDClient\tmcsvc.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe

C:\LDClient\wuser32.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\LDClient\SOFTMON.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Microsoft Encarta\Biblioteca de Consulta Encarta 2005\EDICT.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\hijackthis\hijackthis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\LDClient\SOFTMON.EXE

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.com.mx"); (C:\Archivos de programa\Netscape\Users\jacotasa\prefs.js)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [OemReset] %systemroot%\OPTIONS\OEMRESET.EXE /AUDIT

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [IntelAPMClient] C:\LDClient\amclient.exe /apm /s

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcPro7_0_3

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Corel Family & Friends Reminders.LNK = C:\Archivos de programa\Corel\Print House Magic\cffrem.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.lanix.com

O16 - DPF: Tarantella 3.x Framework Java Archive - http://servtta5.sct.gob.mx/aplicacion/java/asadJ-du.cab

O16 - DPF: Tarantella 3.x Proxy Java Archive - http://servtta5.sct.gob.mx/aplicacion/java/proxyJ-du.cab

O16 - DPF: {044123B5-35DF-4C4E-BAED-26B8ED964342} (HLiveRobotWeb Control) - https://update3.globalhauri.com/Custom/LiveSuite/BANAMEX/web/HLiveRobotWeb.cab

O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\InstFred.ocx

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097087001234

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\InstBanr.ocx

O16 - DPF: {D9701E87-A34D-11D4-BE29-000102598CE4} (VrUpdate Control) - http://download.hauri.net/Kor/online_up/vrupdate.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\AcPreview.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CDB0468-48C5-4C31-9AB7-C12FED13A5C4}: Domain = sct.gob.mx

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CDB0468-48C5-4C31-9AB7-C12FED13A5C4}: NameServer = 10.33.141.91,10.33.141.211

O17 - HKLM\System\CCS\Services\Tcpip\..\{B65B377A-E549-4B96-A465-027930993DD3}: NameServer = 10.8.0.4

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sct.gob.mx

O17 - HKLM\System\CS1\Services\Tcpip\..\{4CDB0468-48C5-4C31-9AB7-C12FED13A5C4}: Domain = sct.gob.mx

O17 - HKLM\System\CS1\Services\Tcpip\..\{4CDB0468-48C5-4C31-9AB7-C12FED13A5C4}: NameServer = 10.33.141.91,10.33.141.211

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sct.gob.mx

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk(R) Development, Ltd - C:\Archivos de programa\LANDesk\Shared Files\residentagent.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\LDClient\LOCALSCH.EXE

O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

O23 - Service: Intel QIP Client Service - LANDesk Software Ltd. - C:\LDClient\QIPCLNT.EXE

O23 - Service: Intel Targeted Multicast - LANDesk Software Ltd. - C:\LDClient\tmcsvc.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

O23 - Service: SuperProServer - Unknown owner - C:\Archivos de programa\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe

O23 - Service: Intel Remote Control Service (Wuser32) - LANDesk Software Ltd. - C:\LDClient\wuser32.exe

-------------------------------------------------------

[msc hotline sat]

No hay nada propiamente conocido como malware, solo sospechosos que debes ver si conoces, y en caso contrario considerar su eliminacion:







vF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\LDClient\SOFTMON.EXE



O4 - HKLM\..\Run: [IntelAPMClient] C:\LDClient\amclient.exe /apm /s



O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta



O14 - IERESET.INF: START_PAGE_URL=http://www.lanix.com



O16 - DPF: Tarantella 3.x Framework Java Archive - http://servtta5.sct.gob.mx/aplicacion/java/asadJ-du.cab



O16 - DPF: Tarantella 3.x Proxy Java Archive - http://servtta5.sct.gob.mx/aplicacion/java/proxyJ-du.cab



O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\InstFred.ocx



O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\InstBanr.ocx



O16 - DPF: {D9701E87-A34D-11D4-BE29-000102598CE4} (VrUpdate Control) - http://download.hauri.net/Kor/online_up/vrupdate.cab



O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk(R) Development, Ltd - C:\Archivos de programa\LANDesk\Shared Files\residentagent.exe



O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\LDClient\LOCALSCH.EXE



O23 - Service: Intel QIP Client Service - LANDesk Software Ltd. - C:\LDClient\QIPCLNT.EXE



O23 - Service: Intel Targeted Multicast - LANDesk Software Ltd. - C:\LDClient\tmcsvc.exe







Luego, todas estas son sospechosas pero propias de mexico que tú sabras si las quieres tener:



O17 - HKLM\System\CCS\Services\Tcpip\..\{4CDB0468-48C5-4C31-9AB7-C12FED13A5C4}: Domain = sct.gob.mx



O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sct.gob.mx



O17 - HKLM\System\CS1\Services\Tcpip\..\{4CDB0468-48C5-4C31-9AB7-C12FED13A5C4}: Domain = sct.gob.mx



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sct.gob.mx





saludos



ms, 29-10-2005



NOTA:



Cabe señalar que los servidores de DNS apuntan a un servidor de una red privada de California, lo cual es sospechoso por no ser mexicano y por ser de informacion restringida. Tenlo en cuenta, y si quieres cambiarlos por otros de vuestro ISP, recuerda nuestra utilidad CONFGDNS.EXE



O17 - HKLM\System\CCS\Services\Tcpip\..\{B65B377A-E549-4B96-A465-027930993DD3}: NameServer = 10.8.0.4



O17 - HKLM\System\CCS\Services\Tcpip\..\{4CDB0468-48C5-4C31-9AB7-C12FED13A5C4}: NameServer = 10.33.141.91,10.33.141.211





O17 - HKLM\System\CS1\Services\Tcpip\..\{4CDB0468-48C5-4C31-9AB7-C12FED13A5C4}: NameServer = 10.33.141.91,10.33.141.211





el whois indica:


[quote="Whois"]
10.33.141.211



Blacklist Status: Clear

Record Type: IP Address

IP Location: - - Private Ip Address Lan

Reverse IP: No websites hosted using this IP address

Reverse DNS: not set





--------------------------------------------------------------------------------



OrgName: Internet Assigned Numbers Authority

OrgID: IANA

Address: 4676 Admiralty Way, Suite 330

City: Marina del Rey

StateProv: CA

PostalCode: 90292-6695

Country: US



NetRange: 10.0.0.0 - 10.255.255.255

CIDR: 10.0.0.0/8

NetName: RESERVED-10

NetHandle: NET-10-0-0-0-1

Parent:

NetType: IANA Special Use

NameServer: BLACKHOLE-1.IANA.ORG

NameServer: BLACKHOLE-2.IANA.ORG

Comment: This block is reserved for special purposes.

Comment: Please see RFC 1918 for additional information.

Comment:

RegDate:

Updated: 2002-09-12



OrgAbuseHandle: IANA-IP-ARIN

OrgAbuseName: Internet Corporation for Assigned Names and Number

OrgAbusePhone: +1-310-301-5820

OrgAbuseEmail:



OrgTechHandle: IANA-IP-ARIN

OrgTechName: Internet Corporation for Assigned Names and Number

OrgTechPhone: +1-310-301-5820

OrgTechEmail:
[/quote]