Problema 540.filost.com

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Potatoes
Mensajes: 1
Registrado: 29 Oct 2005, 17:47

Problema 540.filost.com

Mensaje por Potatoes » 29 Oct 2005, 17:49

Al inicar el explorer me sale esa direccion

Me hariais un gran favor si me ayudarais ,por favor



Os dejo mi log de hijackThis



Logfile of HijackThis v1.99.1

Scan saved at 17:28:29, on 29/10/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\csrssv.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE

C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Archivos de programa\Terra Terra ADSL\CnxDslTb.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Rafa\CONFIG~1\Temp\Rar$EX00.275\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uhu.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Microsoft DLL Verifier] csrssv.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"

O4 - HKLM\..\Run: [EPSON Product Aviso de inscripción] C:\WINDOWS\Temp\RegModule.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Terra Terra ADSL\CnxDslTb.exe

O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128891404948

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3855D3E6-23F3-48A1-BFE9-CD5D91ABFBE0}: NameServer = 195.235.113.3 195.235.96.90

O17 - HKLM\System\CS1\Services\Tcpip\..\{3855D3E6-23F3-48A1-BFE9-CD5D91ABFBE0}: NameServer = 195.235.113.3 195.235.96.90

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll

O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe



Muchas Gracias por adelantado
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 29 Oct 2005, 18:05

Mientras analizo el log, lanza el ELISTARA y dile que elimine la pagina de inicio y cuando te la pida al final, iunduicale alguna como http://www.google.es pero no la dejes en blanco para poder enterarte de cuando te la cambian (a veces aparentas ser una ABOUT:BLANK pero es una llamada a un HTML !







ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





sobre el log:



Ante todo lanza el ELISTARA, porque tienes el SpySheriff:



O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe (file missing)



PERO DEBES ELIMINARLA CON LA UTILIDAD !!!







Alerta con este fichero:



O4 - HKLM\..\Run: [Microsoft DLL Verifier] csrssv.exe



Parece ser un RBOT: http://www.sophos.com/virusinfo/analyses/w32rbotatk.html pero tu antivirus debería haberlo detectado...





Muy rara la ejecucion desde una clave de un fichero desde la carpeta TEMP !!!



O4 - HKLM\..\Run: [EPSON Product Aviso de inscripción] C:\WINDOWS\Temp\RegModule.exe







mas de lo mismo de la primera clave arriba indicada



O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe



repito la sospecha que sea un RBOT !!!

Estas deben eliminarse:



O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab



O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab



O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab



O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab



O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)



O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll



O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe (file missing)





DE ESTAS, ES POSIBLE QUE EL ELISTARA HAYA ELIMINADO ALGUNA !!!)







Y no tienes ningun parche, ni SP1...



Primero instala el SP1, y tras ello lanza un windowsupdate e instala las actualizaciones criticas.



___________________





INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)



http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx



(SE DEBE ESCOGER IDIOMA...)

____________________







Luego te recuerdo que para lanzas el windowsupdate basta con abrir el navegador (Internet Explorer) ir a Herramientas y alli tienes el windowsupdate.







Y nos cuentas el resultado como respuesta de este Tema, gracias



saludos



ms, 29-10-2005



Nota: El fichero csrssv.exe envianosloa zonavirus@satimfo.es anexado a un mail en cuyo texto figure la referencia REF RBOT? para analizarlo y controlarlo, si es el caso, con nuestras utilidades, y te informaremos al respecto. ms.
Arriba
Responder

Volver a “Foro HijackThis - copia y pega tu log”