problemas y log *

returco2005 · Mensaje por **returco2005** » 08 Abr 2006, 03:05

se me aparecen paginas web sin tocar nada de la maquina

Logfile of HijackThis v1.99.1

Scan saved at 08:28:50 p.m., on 07/04/2006

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\TOOLS\IESDPB.DLL

O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll

O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_ansi.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = Aironet

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 10.10.14.1,200.10.122.10

Mensaje por **msc hotline sat** » 08 Abr 2006, 12:07

Uno de los servidores de DNS que utiliza, el 10.10.14.1 , no permite ver el ISP al que pertenece, a diferencia del otro que es de Argentina.

Consulte con su ISP si es aconsejado por ellos pues puede ser una accion de hacker

Aparte, como se indica en:

[url=http://foros.zonavirus.com/viewtopic.php?t=5148]~~[b]~~ ANTES DE POSTEAR LOG DEL HJT. PARA SU ANALISIS, LEER ESTO: [/b][/url]

deben precisarse los problemas que persisten e indicar el historial de lo que ya se ha eliminado y utilizado para ello, hasta no detectar virus ni troyanos, pero no habiendo logrado resolver el problema en cuestion

Por favor, siga las indicaciones y empiece indicando los problemas e historial al respecto, para poder saber lo que buscar, gracias

saludos

ms, 8-4-2006

returco2005 · Mensaje por **returco2005** » 08 Abr 2006, 18:17

con respecto a lo primero el probedor de internet me dice que no la van a poder ver porque es una red man privada

el problema comenzo al bajar un serial automaticamente me detecto 18 virus entre en modo a prueba de fallos y los saque o es lo que creia le pase el spybot y no detecta nada pero el ad-aware si pero cuando lo quiero eliminar se tilda el programa hice lo mismo a prueba de fallos y tambien se tilda cuando lo quiero eliminar y sale un cartel que dice que explorer a deja de funcionar y debe cerrarse lo cierro y vuelve aparecer dos veces mas despues aparece el de rundll debe cerrarse y listo se muere la pc se cuelga ya elimine manualmente varias dll que detectaba el ad-.aware en modo a prueba de fallos y segun el mismo el problema son coolwebsearch y look2me pero cada ves que paso el ad-aware me detecta nuevas dll

mi sistema operativo es windows 98

sintomas:lo primero que hizo fue cambiarme la pagina de inicio del internet explorer y se puso lenta la maquina y se habren solas las paginas de internet en las que nunca habia estado

returco2005 · Mensaje por **returco2005** » 08 Abr 2006, 18:43

me olvidaba tambien probe con cwshredder y no detecto ningun problema

Mensaje por **msc hotline sat** » 08 Abr 2006, 21:06

Bien , si su ISP está de acuerdo con usar esta URL para servidor de DNS. ningun problema, pero había que comprobarlo..

Sobre lo indicado, parece que un Rootkit, que oculta claves y ficheros cuando está en uso, está por ahí.

Bajese el ELISTARA, arranque en modo seguro y ejecutelo, y nos comenta el resultado, gracias

Posiblemente si ahora lanzara el HJT pero en modo seguro, (a prueba de fallos en W98)vería claves 020 -WIN LOGON- que no mostraba su anterior HJT, y alguna 02 -BROWSE HELPER OBJECT- quizas tambien...

Son sistemas de ocultacion para "facilitar" :lol: su control y eliminacion !

saludos

ms, 8-4-2006

~~[b]~~NOTA: Y RECUERDA [/b]

[url=http://foros.zonavirus.com/viewtopic.php?t=1307]~~[b]~~No despercicies los titulos, dicen mucho[/b][/url]

returco2005 · Mensaje por **returco2005** » 09 Abr 2006, 23:49

baje elistara pero sigue el problema

Sun Apr 09 18:05:13 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

y el hijackthis a prueba de fallos

Logfile of HijackThis v1.99.1

Scan saved at 06:29:53 p.m., on 09/04/2006

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\TOOLS\IESDPB.DLL

O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll

O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_ansi.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = Aironet

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 10.10.14.1,200.10.122.10

gracias

Mensaje por **msc hotline sat** » 10 Abr 2006, 10:35

Pues aparte de esta clave que puede estar relacionada con su tarjeta de video:

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

no hay nada mas atipico, salvo su servidor de DNS ta comentado, y que aun usa W98, ta obsoleto...

Vea si conoce dicha clave y sino, eliminela y nos comenta el resultado.

saludos

ms, 10-4-2006