-
leokpo89
- Mensajes: 6
- Registrado: 23 Feb 2007, 04:00
Mensaje
por leokpo89 » 23 Feb 2007, 04:02
Bueno soy nuevo en esta pagina y la verdad les queria comentar que estoy teniendo un problema :S, el tema es asi hace como 2 dias ya que cuando abro algo tarda en cargar, osea tarda en arrancar y es molesto apreto CTRL + ALT + SUPR y la PC no piensa simplemente no hace nada y despues de como 5 minutos aparece, le pase el NOD32 y no detecto ningun virus le pase el AD-AWARE y ningun spy (eso es raro siempre detecta alrededor de 5 que son cookies o cosas asi), le pase el spybot y nada y mi firewall Zone Alarm, no aparecen mas las advertencias si deseo, bloquear o permitir la conexion de internet a tal programa :S.
A mi me parece que es un virus o algo raro y la verdad que no me gsta usar la PC asi.
Como soy nuevo lei que se puede postear el LOG de HIJACK THIS asi que luego si ustedes me lo piden lo pondre ;)
Me parece que es algo relacionado al winlogon.exe porque la ultima vez que aparecio una advertencia estaba escribiendo y justo aprete la barra y puse permitir sin krer :S.
Bueno suerte y ojala que me puedan ayudar.
Tambien cuando abro el explorador (Uso firefox) me abre paginas con el explorer solo y dps ocn el firefox me empezo abrir una direccion algo tipo 81.188.16 o algo asi y me salian carteles del NOD32 que habian codigos maliciosos como 6.
-
Nuker
- Mensajes: 1556
- Registrado: 09 Oct 2006, 22:54
- Ubicación: Guadalajara, Jalisco
Mensaje
por Nuker » 23 Feb 2007, 04:05
Bienvenido, pues posteenos su log de HJT para darle una revisada, porfavor...
[DJ eXploit]
-
leokpo89
- Mensajes: 6
- Registrado: 23 Feb 2007, 04:00
Mensaje
por leokpo89 » 23 Feb 2007, 17:16
Perdon por haber tardado habia tenido un problema...
Bueno aqui mi log
Logfile of HijackThis v1.99.1
Scan saved at 12:21:18, on 23/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe
C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\U.S. Robotics 802.11g WLAN\USRWLANG.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\DOCUME~1\Eugenio\CONFIG~1\Temp\Rar$EX00.718\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 190.37.252.68 update.nprotect.com
O1 - Hosts: 190.37.252.68 update.nprotect.net
O1 - Hosts: 190.37.252.68 guard.gunbound.net
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [E07EXLRD_8861875] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: U.S. Robotics 802.11g Wireless Network Utility.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Suerte y espreo que me puedan ayudar!
Por cierto el problema me parece que tiene que ver en algo del winlogon si hay algun soft. que escanee el winlogon me lo pasan ?
-
leokpo89
- Mensajes: 6
- Registrado: 23 Feb 2007, 04:00
Mensaje
por leokpo89 » 23 Feb 2007, 17:29
Maldicion perdon por el doble post pero recien me empezo a andar peor! me empezaron a aparecer carteles de que no se puede abrir la pagina sin coenxion del itnenr explroer (uso firefox y el explorer ni lo tenia abierto) y d repente me aparecio una pagina que no cargo y me saltaron 3 advertencias del nod32
MALDICION AHORA ME ESTA ABRIENDO PAGINAS EN FIREFOX!
http://www.amaena.com me abria voy a buscar en google mientras tanto
[img]
http://img84.imageshack.us/img84/7208/24073726hu0.jpg[/img]
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 23 Feb 2007, 17:33
Puedes eliminar estas tres claves:
O1 - Hosts: 190.37.252.68 update.nprotect.com
O1 - Hosts: 190.37.252.68 update.nprotect.net
O1 - Hosts: 190.37.252.68 guard.gunbound.net
para cualquiera de las URL asigna la IP 190.37.252.68 VE Venezuela 23 Zulia Maracaibo 10.6317 -71.6406 CANTV Servicios, Venezuela CANTV Servicios, Venezuela
recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 23-02-2007
-
leokpo89
- Mensajes: 6
- Registrado: 23 Feb 2007, 04:00
Mensaje
por leokpo89 » 23 Feb 2007, 17:35
Ya lo hice pero eso es de un juego igual :S, me sigue abriendo pagionas raras, me estoy volviendo loco :(
Igual gracias por tu ayuda!
Segun lo que encontre es un blackworm :S
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 23 Feb 2007, 17:42
Será con el firefox, que no soportamos, pero para el I.E. no se aprecian claves sospechosas
saludos
ms, 23-02-2007
-
leokpo89
- Mensajes: 6
- Registrado: 23 Feb 2007, 04:00
Mensaje
por leokpo89 » 23 Feb 2007, 17:45
Ok listo, y ahora tienes idea de como borrar el spy ? :( estoy re preocupado mi pc es nuevita nuevita y estaba re protegido yo 2 anti spy un firewall y un antivirus :(
Muchas gracias por tu ayuda
Acabo de leer un post tuyo que dice que para el IE usan el ELISTARA, mi problema es basicamente en IE, me abre los pop-ups desde el IE, que me recomiendas que le pase el ELISTARA??
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 23 Feb 2007, 18:33
El log del HJT está limpio al respecto
Si quieres prueba el ELISTARA que llega a otras claves no visibles en el log del HJT:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 23-02-2007
-
leokpo89
- Mensajes: 6
- Registrado: 23 Feb 2007, 04:00
Mensaje
por leokpo89 » 24 Feb 2007, 21:05
Aver buscando y buscnado encontre que con el Ewido anti spyware (ahora se llama avg anti spyware) podia borrar este spy, entonces me lo baje y detecto 2 spys que busque en google y abrian pop-ups los puse en cuarentena no los voy a borrar hasta que ustedes me aseguren que no son nada importante
C:\WINDOWS\System32\iifghhg.dll
y el otro esta en system volume information y se llama A0109078.dll
Espero que me puedan responder
Muchisimas gracias por todo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 25 Feb 2007, 12:45
Pues envianoslos como muestras para analizar:
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Tras ello los analizaremos e implementaremos su control y eliminacion. si procede, en el ELISTARA
saludos
ms, 25-02-2007
msc hotline sat Virus Research Engineer