Duda tras análisis completo del sistema

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
ironargos
Mensajes: 60
Registrado: 15 Oct 2005, 15:51

Duda tras análisis completo del sistema

Mensaje por ironargos » 24 Feb 2006, 21:55

Hola. Esta tarde he realizado un análisis completo del sistema. Para ello he empleado mi antivirus (Kaspersky) recién actualizado. Por estar comprimidos y con contraseña, el antivirus no ha podido acceder a los siguientes archivos (todos ellos en el mismo fichero rar):



C:\Archivos de Programa\Archivos Comunes\Scanner\Qarantine\20060131090402.zip\Winsock2.reg

C:\Archivos de Programa\Archivos Comunes\Scanner\Qarantine\20060131090402.zip\1.reg

C:\Archivos de Programa\Archivos Comunes\Scanner\Qarantine\20060131090402.zip\ARCHIV~1/Agnium/OUTPOST~/wl_hook.dll



En la carpeta C:\Archivos de Programa\Archivos Comunes\Scanner\ hay un archivo (entre otros) que se llama ppclean.exe, y lo más curioso es que [b]yo no he instalado en ningún momento esa aplicación!!![/b] A mi ordenador sólo tengo acceso yo, y al menos conscientemente, no he llevado a cabo la instalación. Y ya no solo me preocupa la forma en que ha aterrizdo en mi ordenador ese supuesto programa, sino que no sé qué hacer con el archivo en cuarentena comprimido. ¿En cuarntena de qué!!! Si yo no he iniciado jamás ese exe!



[Editado: por la fecha de creación de la carpeta, podría ser que el programilla viniera con el nuevo Netscape 8.1., que tiene un programa antiespías (malísimo, por cierto). De todas formas, las veces que he hecho análisis completos con el antispy del Netscape, no decía que enviara nada a cuarentena. Es más, lo que detectó como spyware (que no lo era realmente, y no lo eliminé) no coincide con lo que aparece en la carpeta de cuarentena].



En definitiva, ¿qué hago con esos archivos en cuarentena y con la aplicación (que no aparece en agregar y quitar programas)?



Un saludo.
Última edición por ironargos el 25 Feb 2006, 01:10, editado 3 veces en total.
Arriba
ironargos
Mensajes: 60
Registrado: 15 Oct 2005, 15:51

Mensaje por ironargos » 24 Feb 2006, 22:15

Por si acaso os resulta útil, pego mi log de Hijackthis. He hecho el "scan" con el Hijackthis tras arrancar en modo normal. ¿Hay que hacerlo así o en modo seguro? Bueno, ahí va:



Logfile of HijackThis v1.99.1

Scan saved at 22:00:02, on 24/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Archivos de programa\AVerTV\QuickTV.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uniovi.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Archivos de programa\Archivos comunes\ReGet Shared\Catcher.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Archivos de programa\ReGetDx\iebar.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKCU\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: desktop(2)(2)(2).ini

O4 - Startup: desktop(2)(2).ini

O4 - Startup: desktop(2)(3).ini

O4 - Startup: desktop(2).ini

O4 - Startup: desktop(3)(2).ini

O4 - Startup: desktop(3).ini

O4 - Startup: desktop(4).ini

O4 - Global Startup: desktop(2)(2)(2).ini

O4 - Global Startup: desktop(2)(2).ini

O4 - Global Startup: desktop(2)(3).ini

O4 - Global Startup: desktop(2).ini

O4 - Global Startup: desktop(3)(2).ini

O4 - Global Startup: desktop(3).ini

O4 - Global Startup: desktop(4).ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV\QuickTV.exe

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Descargar con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Descargar todo con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_All.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Ajuste rápido de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139972632187

O17 - HKLM\System\CCS\Services\Tcpip\..\{E10E6FB2-1FA6-4F8C-BE05-BA44305616EA}: NameServer = 212.89.0.31

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: iolo System Guard (IOLO_SRV) - Unknown owner - C:\Archivos de programa\iolo\System Mechanic Professional 6\IoloSGCtrl.exe (file missing)

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: McAfeeFramework - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Un saludo.



P.D.:Parece que quedan restos de un antivirus McAfee que tuve hace tiempo... En cualquier caso, yo no hago nada hasta que me lo digáis vosotros. Un saludo y perdón por las molestias que pueda causaros.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 25 Feb 2006, 09:06

contestando su duda de carpeta de cuarentena, es a la que se mueven ficheros sospechosos o que, por estar en uso, no pueden eliminar los antivirus, pero si mover, con lo que no son lanzados en los proximos reinicios.



Sobre el HJT, en modo normal pueden no verse claves que son ocultadas por estar en marcha algun que otro proceso virico, pero son los nenos.



Elimine esta clave:



O23 - Service: iolo System Guard (IOLO_SRV) - Unknown owner - C:\Archivos de programa\iolo\System Mechanic Professional 6\IoloSGCtrl.exe (file missing)





y estas analicelas y vea si las conoce, y ibre en consecuencia:



O4 - Startup: desktop(2)(2)(2).ini



O4 - Startup: desktop(2)(2).ini



O4 - Startup: desktop(2)(3).ini



O4 - Startup: desktop(2).ini



O4 - Startup: desktop(3)(2).ini



O4 - Startup: desktop(3).ini



O4 - Startup: desktop(4).ini



O4 - Global Startup: desktop(2)(2).ini



O4 - Global Startup: desktop(2)(3).ini



O4 - Global Startup: desktop(2).ini



O4 - Global Startup: desktop(3)(2).ini



O4 - Global Startup: desktop(3).ini



O4 - Global Startup: desktop(4).ini





Y sobre las de McAfee u otros restos de programas desinstalados, se pueden eliminar sin problenas:



O23 - Service: McAfeeFramework - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe



Y tras reiniciar vea si persisten o no las anomalias, y nos lo comenta, gracias





saludois



ms, 25-2-2006
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”