Que alguien vea mi log por favor

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
IZARRA27
Mensajes: 2
Registrado: 04 May 2007, 23:12

Que alguien vea mi log por favor

Mensaje por IZARRA27 » 04 May 2007, 23:14

desde hace poco cuando hago busquedas en google, en vez de entrar en las paginas que pincho se me redieccionas a otras páginas que no tienen nada que ver estoy desesperada, que tengo que hacer?





Logfile of HijackThis v1.99.1

Scan saved at 22:04:33, on 04/05/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

C:\windows\system32\svchost.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\gcwaca.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Save\Save.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\EXCEL.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrador\Escritorio\HIJAC\HijackThis.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Adobe\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [BHR] C:\Archivos de programa\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe

O4 - HKLM\..\Run: [sqlfwtsq] "c:\windows\system32\sqlfwtsq.exe"

O4 - HKLM\..\Run: [gcwaca.exe] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\gcwaca.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: http://www.giga-bank.com

O15 - Trusted Zone: http://www.mazochungo.net

O16 - DPF: TruePass LocalEPF 6,0,200,81 - https://tp.seg-social.es/TruePassSample/applets/entrusttruepassapplet-localepf.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01bad8163fd13fa77520/netzip/RdxIE601.cab

O16 - DPF: {5C52F5E3-3F12-4D20-A040-BE9526CCE384} (CMEHCrypto Object) - https://wwws.tesoro.es/MEHFirmaDigital.cab

O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVRX) - http://www.condedebadaran.com/panos/devalocx.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095880278390

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://www.schinvest.com/vxi/frontend/common/activex/capicom.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{11A0E47E-91D8-486E-BD6C-19DE9470C76E}: NameServer = 85.255.113.116,85.255.112.16

O17 - HKLM\System\CCS\Services\Tcpip\..\{BE4EA624-79F0-4D30-A2B4-4EF5046FA1B6}: NameServer = 85.255.113.116,85.255.112.16

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.116 85.255.112.16

O17 - HKLM\System\CS1\Services\Tcpip\..\{11A0E47E-91D8-486E-BD6C-19DE9470C76E}: NameServer = 85.255.113.116,85.255.112.16

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.116 85.255.112.16

O17 - HKLM\System\CS2\Services\Tcpip\..\{11A0E47E-91D8-486E-BD6C-19DE9470C76E}: NameServer = 85.255.113.116,85.255.112.16

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.116 85.255.112.16

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Panda Antispam Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

O23 - Service: Panda Imanager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Arriba
Avatar de Usuario
Claudia34
Mensajes: 1256
Registrado: 28 Feb 2007, 00:53

Mensaje por Claudia34 » 05 May 2007, 00:06

Bueno antes que te digan que hay en el log los expertos, te recomendaria para estar mas seguro instalar el service pack 2 de win xp porque por lo que veo tienes el pack 1, y luego actualices tu S.O. por completo, porque con solo instalar el pack 2 no es suficiente. Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 05 May 2007, 10:42

Tienes Nod32 y Panda instalado, No debe haber mas de un antivirus, para evitar las colisiones al querer acceder los dos a un mismo fichero que ejecutes ! Desinstala uno de los dos.



aparte de que para lo que te sirven ... ! Tienes cantidad de troyanos !!!:





envianos muestra de estos sospechosos:



C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\gcwaca.exe



c:\windows\system32\sqlfwtsq.exe





y para este, C:\Archivos de programa\Save\Save.exe, lanza el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Y ELIMINA ESTAS CLAVES:



O4 - HKLM\..\Run: [gcwaca.exe] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\gcwaca.exe



O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"



O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab



O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab



O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab



O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab



O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab



O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab



O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)





[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y dado que tienes estas claves apuntando a estos servidores de DNS:



O17 - HKLM\System\CCS\Services\Tcpip\..\{11A0E47E-91D8-486E-BD6C-19DE9470C76E}: NameServer = 85.255.113.116,85.255.112.16



O17 - HKLM\System\CCS\Services\Tcpip\..\{BE4EA624-79F0-4D30-A2B4-4EF5046FA1B6}: NameServer = 85.255.113.116,85.255.112.16



O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.116 85.255.112.16



O17 - HKLM\System\CS1\Services\Tcpip\..\{11A0E47E-91D8-486E-BD6C-19DE9470C76E}: NameServer = 85.255.113.116,85.255.112.16



O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.116 85.255.112.16



O17 - HKLM\System\CS2\Services\Tcpip\..\{11A0E47E-91D8-486E-BD6C-19DE9470C76E}: NameServer = 85.255.113.116,85.255.112.16



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.116 85.255.112.16





que son los supuestamente maliciosos de Inhoster en Ukraina:



85.255.113.116 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



85.255.112.16 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company





Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp



Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas







y como indica Claudia34, instala el SP2, pero no solo este paquete, sino luego los demas posteriores de 2005, 2006 y 2007 !!! : Lanza un windowsupdate y actualizalos todos.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 07 May 2007, 16:57

Analizada la muestra enviada, resulta ser una variante de DNS CHANGE, seguramente la responsable del cambio de IP para el servidor de DNS.



Se implementa su control y eliminacion en la version 13.90 del ELISTARA, que estara disponible a partir de las 20 h GMT







ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 7-05-2007
Arriba
Responder

Volver a “Foro HijackThis - copia y pega tu log”