Creo tener Window actualizado, y agradeceria vuestra colaboración en resolver este tema. Quedo a vuestra disposicion....mil gracias!!!
Pablo
archivo windogom.exe infectado
archivo windogom.exe infectado
BUenas a todos, es mi primer post, y queria comentar que desde hace unos dias, me aparece el famoso aviso del messenger service, cortesmente informandome del bendito error fatal e instandome a ir a http://fixwindowreg.com y comprar su programa. Formatie y reinstale windows unas cuantas veces, probando diferentes antivirus, pero apenas me conecto a internet, invariablemtente, aparece la sorpresa. En este momento, cansado de reinstalar, y feliz de no notar caidas de rendimiento como antes, el problema solo parece el cartel. Tengo Win XP y el McAfee, que encontró una cantidad de troyanos, y que me dice que el file windogom.exe ubicado en C\WINDOWS\system32 padece del troyan llamado New Malware.j, el cual obviamente no puede ser removido ni aislado.
Creo tener Window actualizado, y agradeceria vuestra colaboración en resolver este tema. Quedo a vuestra disposicion....mil gracias!!!
Pablo
Creo tener Window actualizado, y agradeceria vuestra colaboración en resolver este tema. Quedo a vuestra disposicion....mil gracias!!!
Pablo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ayer tuvimos otra incidencia de este fichero en:
https://foros.zonavirus.com/viewtopic.php?f=6&t=15085
y se pidio muestra de dicho fichero, para analizar y pasarlo a controlar, pero aun no lo hemos recibido
Mira de enviarnoslo como indicamos en:
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
y tras analizarlo , implementaremos su eliminacion y control en nuestras utilidades
Mientras, si quieres, renimbra este fichero a extension .VIR y asi, tras reiniciar, no entrará en uso
y tras recibir la muestra procederemos...
saludos
ms, 4-12-2006
y se pidio muestra de dicho fichero, para analizar y pasarlo a controlar, pero aun no lo hemos recibido
Mira de enviarnoslo como indicamos en:
y tras analizarlo , implementaremos su eliminacion y control en nuestras utilidades
Mientras, si quieres, renimbra este fichero a extension .VIR y asi, tras reiniciar, no entrará en uso
y tras recibir la muestra procederemos...
saludos
ms, 4-12-2006
Última edición por msc hotline sat el 05 Dic 2006, 11:32, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Gracias por vuestra respuesta.
A continuacion adjunto el resultado del hijack.
Espero que esto sirva, muchas gracias..
pablo
Logfile of HijackThis v1.99.1
Scan saved at 15:13:56, on 04/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
c:\ARCHIV~1\mcafee.com\vso\OasClnt.exe
C:\WINDOWS\System32\svchost.exe
c:\archivos de programa\mcafee.com\vso\mcvsshld.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\The Bat!\thebat.exe
C:\WINDOWS\system32\cmd.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pablo y Juli\Configuración local\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC1C7D90-489A-4388-9A9E-649CEE364F1E}: NameServer = 200.45.191.35 200.45.191.40
O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
A continuacion adjunto el resultado del hijack.
Espero que esto sirva, muchas gracias..
pablo
Logfile of HijackThis v1.99.1
Scan saved at 15:13:56, on 04/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
c:\ARCHIV~1\mcafee.com\vso\OasClnt.exe
C:\WINDOWS\System32\svchost.exe
c:\archivos de programa\mcafee.com\vso\mcvsshld.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\The Bat!\thebat.exe
C:\WINDOWS\system32\cmd.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pablo y Juli\Configuración local\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC1C7D90-489A-4388-9A9E-649CEE364F1E}: NameServer = 200.45.191.35 200.45.191.40
O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Se le pedia el C:\windows\system32\windogom.exe que mencionaba habia sido detectado como "new malware" por McAfee y en lugar de ello ha enviado por mail un log del HJT, qie solo debe postearse en el foro, pues en SATNFO para el foro de zonavirus solo se examinan ficheros viricos, no logs de HJT
Seguimos sin recibir dicho fichero, que se le pidio, vea si lo encuentra y nos lo envia para poder analizarlo y deshacer todo lo que hace
Del HJT posteado solo cabe eliminar esta clave:
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
recuerde:https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 5-12-2006
Seguimos sin recibir dicho fichero, que se le pidio, vea si lo encuentra y nos lo envia para poder analizarlo y deshacer todo lo que hace
Del HJT posteado solo cabe eliminar esta clave:
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
recuerde:
saludos
ms, 5-12-2006
Última edición por msc hotline sat el 11 Dic 2006, 15:52, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
OK, perdon por la confusion. El tema es que, al momento el fichero mencionado ha desaparecido, y extrañamente el Mc Afee no se inicia y no se deja desinstalar (como para probar a reinstalarlo) diciendo "Error en la secuencia de comandos de esta pagina". A este punto estoy algo perdido, y desde ya los carteles siguen apareiendo permanentemente. Alguna idea?!!
Gracias,
Pablo
Gracias,
Pablo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sí, que rebusques este fichero arrancando en modo seguro para ello, si es necesario y configurando ver todos los ficheros, ocultos y de sistema
https://foros.zonavirus.com/viewtopic.php?f=5&t=13245
ms,
ms,
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Estimados,
He procedido como me aconsejan, pero no he podido acceder al modo seguro, ya que cuando oprimo F8, la pc me ofrece elegir el booting source (muestra los discos rigidos, unidades de CD y floppy) pero no menciona el modo seguro. Estimo q habra forma de entrar en modo seguro pero excede mi capacidad tecnica. De todas formas, sí pude configurar la busqueda extensiva, y aun asi, el archivo no se encuentra (lo busque manualmente y con el motor de busqueda). A este punto, los mensajes molestos han cesado, pero cuando la pc entra a windows me sigue dando errores del Mc Afee, y un error de inicializacion del explorer, a la vez que Mc afee me alerta de q la pc esta infectada y me insta a hacer un scanning. Sin embargo, tAnto el shield como el security centre se encuentran inoperativos, y el "agregar o quitar" software de windows sigue sin permitirme quitar el soft para reinstalarlo. Agradeceria enormemente alguna otra idea de por donde ir.
Saludos
Pablo
He procedido como me aconsejan, pero no he podido acceder al modo seguro, ya que cuando oprimo F8, la pc me ofrece elegir el booting source (muestra los discos rigidos, unidades de CD y floppy) pero no menciona el modo seguro. Estimo q habra forma de entrar en modo seguro pero excede mi capacidad tecnica. De todas formas, sí pude configurar la busqueda extensiva, y aun asi, el archivo no se encuentra (lo busque manualmente y con el motor de busqueda). A este punto, los mensajes molestos han cesado, pero cuando la pc entra a windows me sigue dando errores del Mc Afee, y un error de inicializacion del explorer, a la vez que Mc afee me alerta de q la pc esta infectada y me insta a hacer un scanning. Sin embargo, tAnto el shield como el security centre se encuentran inoperativos, y el "agregar o quitar" software de windows sigue sin permitirme quitar el soft para reinstalarlo. Agradeceria enormemente alguna otra idea de por donde ir.
Saludos
Pablo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues posteanos el log actual del HJT y cveremos que podemos hacer...
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, infornaremos
Por otra parte y para que en otra ocasion puedas arrancar en modo seguro, pues a veces te hará falta, morate este Tema:
http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp
saludos
ms, 11-12-2006
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, infornaremos
Por otra parte y para que en otra ocasion puedas arrancar en modo seguro, pues a veces te hará falta, morate este Tema:
saludos
ms, 11-12-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Muchisimas gracias por la asistencia. A continuacion adjunto el resultado del hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 12:22:42, on 11/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntfscrypt.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\mysvcc.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\MSSCF32.exe
C:\WINDOWS\system32\mdm4.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\MSSCF32.exe
C:\WINDOWS\system32\mdm4.exe
C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Installers\hijackthis\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
A la espera de novedades.
Pablo
Logfile of HijackThis v1.99.1
Scan saved at 12:22:42, on 11/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntfscrypt.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\mysvcc.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\MSSCF32.exe
C:\WINDOWS\system32\mdm4.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\MSSCF32.exe
C:\WINDOWS\system32\mdm4.exe
C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Installers\hijackthis\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
A la espera de novedades.
Pablo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Del anterior log a este ha llovido mucho !!! y parece que ha habido lluvia de claves...
De entrada vemos que le faltan todos los parches del SP2 y posteriores, sin los cuales de poco serviria lo que hicieramos, asi que empiece por lanzar un windowsupdate para instalar el SP2 y los demas:
Cuando lo haya hecho seguiremos, mientras vou a analizar a fondo su log para cuando sea el caso
posteenos nuevo log cuando lo haya hecho, gracias
saludos
ms, 11-12-2006
De entrada vemos que le faltan todos los parches del SP2 y posteriores, sin los cuales de poco serviria lo que hicieramos, asi que empiece por lanzar un windowsupdate para instalar el SP2 y los demas:
Cuando lo haya hecho seguiremos, mientras vou a analizar a fondo su log para cuando sea el caso
posteenos nuevo log cuando lo haya hecho, gracias
saludos
ms, 11-12-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
enviarnos miestra para analizar de:
C:\WINDOWS\system32\ntfscrypt.exe
C:\WINDOWS\System32\mysvcc.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\MSSCF32.exe
C:\WINDOWS\system32\mdm4.exe
t eliminar estas claves:
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
C:\WINDOWS\system32\ntfscrypt.exe
C:\WINDOWS\System32\mysvcc.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\MSSCF32.exe
C:\WINDOWS\system32\mdm4.exe
t eliminar estas claves:
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [mel34] C:\WINDOWS\system32\mdm4.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online