-
Tolon
- Mensajes: 3
- Registrado: 17 Oct 2006, 18:42
- Ubicación: Veracruz, Mexico
Mensaje
por Tolon » 17 Oct 2006, 18:57
Hola a todos,
soy nuevo en este foro. Mi nombre es Othón Casasa y soy de Veracruz, México.
Entre a un sitio estilo chino y me infecte no se de que !!!!
Lo único que e detectado es que la página de inicio de mi IExplorer es http://www.4199.com !!!!
ya hice muchas cosas como son :
baje el elistara y realizé el escaneo. (encontró un virus y lo eliminó)
Baje el elitrip y relizé el escaneo. (no encontró nada)
le pasé el spybot actualizado con las opciones avanzadas y demas. (encontró algunas cosas y las solucionó)
pasé el Hijackthis y quité algunas sentencias que detecté rápidamente que no son deseadas. pero reinicias y todo sigue igual.
aqui añado mi último logfile que arroja el hijackthis ....
Logfile of HijackThis v1.99.1
Scan saved at 9:49:37 AM, on 10/17/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.4199.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.4199.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.4199.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: 125.91.1.20 localhost
O1 - Hosts: 125.91.1.20 http://www.7322.com
O1 - Hosts: 125.91.1.20 http://www.5566.net
O1 - Hosts: 125.91.1.20 http://www.v111.com
O1 - Hosts: 125.91.1.20 http://www.gjj.cc
O1 - Hosts: 125.91.1.20 hao123.com
O1 - Hosts: 125.91.1.20 http://www.9991.com
O1 - Hosts: 125.91.1.20 9991.com
O1 - Hosts: 125.91.1.20 http://www.gjj.cc
O1 - Hosts: 61.162.230.31 http://www.7939.com
O1 - Hosts: 61.162.230.31 7939.com
O1 - Hosts: 61.162.230.31 59.34.148.98
O1 - Hosts: 61.162.230.31 about:blank
O1 - Hosts: 61.141.31.11 down.Virussky.com
O1 - Hosts: 61.141.31.11 60.191.60.108
O1 - Hosts: 61.141.31.11 219.153.20.209
O1 - Hosts: 61.141.31.11 forum.ikaka.com
O1 - Hosts: 61.141.31.11 bbs.360safe.com
O1 - Hosts: 61.141.31.11 http://www.360safe.com
O1 - Hosts: 61.141.31.11 http://www.piaoxue.com
O1 - Hosts: 61.141.31.11 61.129.58.12
O1 - Hosts: 61.141.31.11 forum.jiangmin.com
O1 - Hosts: 61.141.31.11 luosoft.com
O1 - Hosts: 125.91.1.20 post.baidu.com
O1 - Hosts: 61.141.31.11 60.191.60.107
O1 - Hosts: 61.141.31.11 219.139.58.97
O1 - Hosts: 61.141.31.11 59.34.148.81
O1 - Hosts: 125.91.1.20 60.191.60.114
O1 - Hosts: 125.91.1.20 http://www.ycdy.com
O1 - Hosts: 61.141.31.11 cn.zs.yahoo.com
O1 - Hosts: 61.141.31.11 http://www.znmq.com
O1 - Hosts: 61.141.31.11 http://www.btbbt.com
O1 - Hosts: 61.141.31.11 bbs.btbbt.com
O1 - Hosts: 125.91.1.20 auto.search.msn.com
O1 - Hosts: 125.91.1.20 http://www.pcav.cn
O1 - Hosts: 125.91.1.20 http://www.cnhx.com.cn
O1 - Hosts: 125.91.1.20 btbaicai.com
O1 - Hosts: 125.91.1.20 http://www.btbaicai.com
O1 - Hosts: 125.91.1.20 219.239.102.77
O1 - Hosts: 61.141.31.11 hz.mop-hz.com
O1 - Hosts: 61.141.31.11 http://www.jacai.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [run] C:\WINDOWS\system32\rundll32.exe kq2k.dll a
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143199114703
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143199102718
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
Saludos Cordiales a todos!
-
novatillo
- Mensajes: 474
- Registrado: 01 May 2006, 20:48
- Ubicación: valencia
Mensaje
por novatillo » 17 Oct 2006, 21:55
Pues ya que pasaste elistara copia y pega aqui el contenido de C:/infosat.txt aver que dice.
Saludos.
El trabajo en equipo es esencial... te permite echarle la culpa a otro.
-
Tolon
- Mensajes: 3
- Registrado: 17 Oct 2006, 18:42
- Ubicación: Veracruz, Mexico
Mensaje
por Tolon » 17 Oct 2006, 21:59
aqui está el contenido completo de mi infosat.
Tue Oct 17 08:15:44 2006
EliStartPage v12.52 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinSys%\LogFiles"
No detectado Parche MS06-040 de Microsoft instalado. (SServidor)
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Oct 17 08:31:32 2006
EliStartPage v12.52 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Bases\Patches\PATCH_PPRO_5.0.383_384_TO_5.0.385.EXE --> AutoExtraible
C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Bases\Patches\PATCH_PPRO_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible
C:\Program Files\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible
C:\Program Files\Hitman Pro\HITMANPRO2.DLL --> Eliminado, QLowZones-12
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\UNINSTALL.EXE --> AutoExtraible
C:\Program Files\LimeWire\UNINSTALL.EXE --> AutoExtraible
C:\Setups\LIMEWIREWIN.EXE --> AutoExtraible
Tue Oct 17 08:41:44 2006
EliStartPage v12.52 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-040 de Microsoft instalado. (SServidor)
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Oct 17 08:42:21 2006
EliStartPage v12.52 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Bases\Patches\PATCH_PPRO_5.0.383_384_TO_5.0.385.EXE --> AutoExtraible
C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Bases\Patches\PATCH_PPRO_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible
C:\Program Files\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\UNINSTALL.EXE --> AutoExtraible
C:\Program Files\LimeWire\UNINSTALL.EXE --> AutoExtraible
C:\Setups\LIMEWIREWIN.EXE --> AutoExtraible
Tue Oct 17 09:03:17 2006
EliStartPage v12.52 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-040 de Microsoft instalado. (SServidor)
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Oct 17 09:03:37 2006
EliStartPage v12.52 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Bases\Patches\PATCH_PPRO_5.0.383_384_TO_5.0.385.EXE --> AutoExtraible
C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Bases\Patches\PATCH_PPRO_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible
C:\Program Files\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\UNINSTALL.EXE --> AutoExtraible
C:\Program Files\LimeWire\UNINSTALL.EXE --> AutoExtraible
C:\Setups\LIMEWIREWIN.EXE --> AutoExtraible
Tue Oct 17 09:23:10 2006
EliTriIP v2.61 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-040 de Microsoft instalado. (SServidor)
Gracias !
-
novatillo
- Mensajes: 474
- Registrado: 01 May 2006, 20:48
- Ubicación: valencia
Mensaje
por novatillo » 17 Oct 2006, 22:03
Pues debes de lanzar un windowsupdate y actualizae parches te falta uno critico
No detectado Parche MS06-040 de Microsoft instalado. (SServidor)
Saludos
El trabajo en equipo es esencial... te permite echarle la culpa a otro.
-
Tolon
- Mensajes: 3
- Registrado: 17 Oct 2006, 18:42
- Ubicación: Veracruz, Mexico
Mensaje
por Tolon » 18 Oct 2006, 17:43
Bajé un programa que se llama Prevx1 (un trial version)
Este me detectó 2 dll. (kq2k.dll y KQ2K.dll)
las puso en status "Jail"
Despues reicié en modo a prueba de fallos y pasé un HJT
quité las sentencias no deseadas, reinié nor mal y LISTO!
:D
Saludos y Gracias!
Seguiremos en contacto!
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 18 Oct 2006, 17:53
Aparte, elimina estas claves :
O1 - Hosts: 125.91.1.20 localhost
O1 - Hosts: 125.91.1.20 http://www.7322.com
O1 - Hosts: 125.91.1.20 http://www.5566.net
O1 - Hosts: 125.91.1.20 http://www.v111.com
O1 - Hosts: 125.91.1.20 http://www.gjj.cc
O1 - Hosts: 125.91.1.20 hao123.com
O1 - Hosts: 125.91.1.20 http://www.9991.com
O1 - Hosts: 125.91.1.20 9991.com
O1 - Hosts: 125.91.1.20 http://www.gjj.cc
O1 - Hosts: 61.162.230.31 http://www.7939.com
O1 - Hosts: 61.162.230.31 7939.com
O1 - Hosts: 61.162.230.31 59.34.148.98
O1 - Hosts: 61.162.230.31 about:blank
O1 - Hosts: 61.141.31.11 down.Virussky.com
O1 - Hosts: 61.141.31.11 60.191.60.108
O1 - Hosts: 61.141.31.11 219.153.20.209
O1 - Hosts: 61.141.31.11 forum.ikaka.com
O1 - Hosts: 61.141.31.11 bbs.360safe.com
O1 - Hosts: 61.141.31.11 http://www.360safe.com
O1 - Hosts: 61.141.31.11 http://www.piaoxue.com
O1 - Hosts: 61.141.31.11 61.129.58.12
O1 - Hosts: 61.141.31.11 forum.jiangmin.com
O1 - Hosts: 61.141.31.11 luosoft.com
O1 - Hosts: 125.91.1.20 post.baidu.com
O1 - Hosts: 61.141.31.11 60.191.60.107
O1 - Hosts: 61.141.31.11 219.139.58.97
O1 - Hosts: 61.141.31.11 59.34.148.81
O1 - Hosts: 125.91.1.20 60.191.60.114
O1 - Hosts: 125.91.1.20 http://www.ycdy.com
O1 - Hosts: 61.141.31.11 cn.zs.yahoo.com
O1 - Hosts: 61.141.31.11 http://www.znmq.com
O1 - Hosts: 61.141.31.11 http://www.btbbt.com
O1 - Hosts: 61.141.31.11 bbs.btbbt.com
O1 - Hosts: 125.91.1.20 auto.search.msn.com
O1 - Hosts: 125.91.1.20 http://www.pcav.cn
O1 - Hosts: 125.91.1.20 http://www.cnhx.com.cn
O1 - Hosts: 125.91.1.20 btbaicai.com
O1 - Hosts: 125.91.1.20 http://www.btbaicai.com
O1 - Hosts: 125.91.1.20 219.239.102.77
O1 - Hosts: 61.141.31.11 hz.mop-hz.com
O1 - Hosts: 61.141.31.11 http://www.jacai.com
Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED
saludos
ms, 18-10-2006
msc hotline sat Virus Research Engineer