Me atacan...socorro !!!!

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
matachin05
Mensajes: 2
Registrado: 27 Feb 2006, 16:24

Me atacan...socorro !!!!

Mensaje por matachin05 » 27 Feb 2006, 16:30

Hola estoy sufriendo un ataque... alguien me puede echar una mano ?

:shock: Posteo el HijackThis por si fuera de utilidad. Gracias a todos.



Logfile of HijackThis v1.99.1

Scan saved at 16:09:31, on 27/2/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\PDFCreatorMessages.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\WFXSVC.EXE

C:\WINNT\system32\mspmspsv.exe

C:\Archivos de programa\Symantec\WinFax\WFXMOD32.EXE

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\WINNT\system32\wfxsnt40.exe

C:\Archivos de programa\JawsSystems\Jaws PDF Creator\PDFClient.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINNT\system32\wuauclt.exe

C:\Archivos de programa\oaso\nmtu.exe

C:\WINNT\system32\wbem\wmiapsrv.exe

C:\Archivos de programa\Common Files\W?nSxS\m?config.exe

C:\WINNT\TEMP\ddl82.tmp.exe

C:\sgv\G.Comercial\navasol.exe

C:\SQLANY50\WIN32\DBCLIENT.EXE

C:\WINNT\TEMP\ddlB3.tmp.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\WINNT\TEMP\win6E.tmp.exe

C:\WINNT\TEMP\win2C.tmp.exe

C:\WINNT\TEMP\win6E.tmp.exe

C:\WINNT\TEMP\win2C.tmp.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINNT\TEMP\win6E.tmp.exe

C:\Documents and Settings\Ignacio.NAVASOLA\Mis documentos\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {EB5D5C44-E6D4-EC29-A18A-E13BF3057292} - C:\WINNT\system32\zvtorm.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: (no name) - {8F8A82EB-3E73-68D9-5DF6-6653760846C2} - (no file)

O2 - BHO: (no name) - {EB5D5C44-E6D4-EC29-A18A-E13BF3057292} - C:\WINNT\system32\zvtorm.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [PDFCreatorClient] C:\Archivos de programa\JawsSystems\Jaws PDF Creator\PDFClient.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Pulc] "C:\Archivos de programa\oaso\nmtu.exe" -vt yax

O4 - HKCU\..\Run: [Sbu] C:\Archivos de programa\Common Files\W?nSxS\m?config.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = navasola.es

O17 - HKLM\Software\..\Telephony: DomainName = navasola.es

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = navasola.es

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = navasola.es

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = navasola.es

O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: wingmn32 - C:\WINNT\SYSTEM32\wingmn32.dll

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINNT\system32\PDFCreatorMessages.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINNT\system32\WFXSVC.EXE
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 27 Feb 2006, 16:58

Elimina estas claves:



O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)



O2 - BHO: (no name) - {8F8A82EB-3E73-68D9-5DF6-6653760846C2} - (no file)



O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)











y estas son sospechosas, Mira si las conoces y si no, dinoslo y abriremos referencia para que nos envies muestras:



O2 - BHO: (no name) - {EB5D5C44-E6D4-EC29-A18A-E13BF3057292} - C:\WINNT\system32\zvtorm.dll



O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = navasola.es



O17 - HKLM\Software\..\Telephony: DomainName = navasola.es



O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = navasola.es



O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = navasola.es



O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = navasola.es



O20 - Winlogon Notify: wingmn32 - C:\WINNT\SYSTEM32\wingmn32.dll



O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINNT\system32\PDFCreatorMessages.exe









y esta clave se las trae:



O4 - HKCU\..\Run: [Sbu] C:\Archivos de programa\Common Files\W?nSxS\m?config.exe



Fijarse que llama a un fochero que aparenbta un interogante en lugar de una letra, dentro de una carpeta del mismo tipo...

No se trata de un interrogante, pues no piedes crearse ficheros empleando este signo, ni de una carpeta con dicho signo, sino probablenmente de una modificacion de la tabla de caracteres para sinmularlo



Nos gustaróa pedir este fichero, aunque la respuesta probable será que no lo enciuentran, pero por pedir que no quede, Mire si lo encuentra y nos lo envia a zonavirus@satinfo.es indicando referencua "REF FALSO?"



Y tras reiniciar , nos cuentas el resultado de lo indicado, gracias



saludos



ms, 27.2.2006
Arriba
matachin05
Mensajes: 2
Registrado: 27 Feb 2006, 16:24

no puedo...

Mensaje por matachin05 » 27 Feb 2006, 18:05

Hola de nuevo...he borrado los 3 primeros:



O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)



O2 - BHO: (no name) - {8F8A82EB-3E73-68D9-5DF6-6653760846C2} - (no file)



O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)



Del resto, los 017 son conocidos pero los demas no... si quieres os envio copia.



Por otro lado, tal como decías, no consigo encontrar el fichero de la clave:

O4 - HKCU\..\Run: [Sbu] C:\Archivos de programa\Common Files\W?nSxS\m?config.exe



Aquí creo que tengo el problema ya que continuamente me aparece un Dialer en italiano...¿ Cómo me lo cargo?... Ante todo muchas gracias por la labor tan buena que haces. Un saludo majos...
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 27 Feb 2006, 18:39

Pues elimina esta ultima clave e informanos del resultado. Igual este es todo tu problema!



saludos



ms, 27-2-2006
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”