Algo sospechoso!

[ceysar]

Estimados amigos:



A pesar de no percibir problemas en mi PC, he observado en varios casos, que recomiendan ELIMINAR una posición que SI figura en mi log. Les anticipo que con el Hijack This no me es posible eliminar.



Se trata de:

O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINNT\system32\cmd.exe /C "C:\DOCUME~1\ADMINISTRADOR\CONFIG~1\Temp\MsgPlusUninst.bat"



Desde ya, quedo muy agradecido por cualquier observación o comentario que me hagan.





El log es el siguiente:



Logfile of HijackThis v1.99.1

Scan saved at 19:52:42, on 26/01/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Efficient Networks\Tango Manager\app\TangoService.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Mixer.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\ARCHIV~1\EFFICI~1\TANGOM~1\app\TangoManager.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\Spybot\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINNT\system32\cmd.exe /C "C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\MsgPlusUninst.bat"

O4 - HKCU\..\Run: [AWMON] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149892818784

O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab

O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://200.40.255.198/wg_webeye.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3171A008-E9C5-4496-B746-789E51A26B2C}: NameServer = 200.40.220.245 200.40.30.245

O17 - HKLM\System\CS1\Services\Tcpip\..\{3171A008-E9C5-4496-B746-789E51A26B2C}: NameServer = 200.40.220.245 200.40.30.245

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Archivos de programa\Efficient Networks\Tango Manager\app\TangoService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

[Nuker]

Prueba eliminandola en Modo Seguro.



MODO SEGURO:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[ceysar]

Estimado amigo:



(Reitero mi contestación, ya que anteriormente fue por un lugar equivocado)



a)Agradezco la rápida respuesta.



b)Me podrías dar una simple explicación con respecto a si se trata de algún archivo realmente nocivo, y si es realmente necesario eliminarlo.



c)Encontrás algo más en mi logfile que merezca observación???



Felicitaciones por el funcionamiento de este foro y tus conocimientos.

[Nuker]

Esa entrada es recomendable ELIMINAR ya que es catalogada como entrada maliciosa.



De ahi en mas es todo.



Bueno... Esta entrada que para varios es inecesaria y provoca problemas de conexion a internet si es su caso comentelo:



O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon



NOTA: No es Virica !

[ceysar]

Procederé de acuerdo a sus instrucciones.



No tengo problemas de conexión.







Agradecido por sus aclaraciones.



Felicitaciones por su eficacia.

[msc hotline sat]

Al respecto del mobsync.exe, ojo que hay un SDBOT que usa la picardia de usar este nombre para su gusano, pero copiandolo en la carpeta de C:\windows (o Winnt en 2000) no en la de sistema que es donde la pone microsoft



Comprobar que no se tenga dicho fichero en la carpeta de windows...:



http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.CNT&VSect=T



saludos



ms, 28-01-2007