Ventanita japonesa (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
lupusellobo
Mensajes: 116
Registrado: 09 Mar 2005, 08:41

Ventanita japonesa (SOLUCIONADO)

Mensaje por lupusellobo » 20 Abr 2007, 23:42

hace tres dias en mi maquina se instaló una ventanita japonesa, que se abre cuando entro a cualquier pagina web, hace todo más pesado y a la vez si la toco se abren más.

Ya le pasé el search & destroy ,elistara, ad-aware pero sigue ahi, alguien sabe como la puedo eliminar???

este es mi logfile

Gracias.







Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 15:48:36, on 20/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal



Running processes:

C:\\\\WINDOWS\\\\System32\\\\smss.exe

C:\\\\WINDOWS\\\\system32\\\\winlogon.exe

C:\\\\WINDOWS\\\\system32\\\\services.exe

C:\\\\WINDOWS\\\\system32\\\\lsass.exe

C:\\\\WINDOWS\\\\system32\\\\svchost.exe

C:\\\\WINDOWS\\\\System32\\\\svchost.exe

C:\\\\WINDOWS\\\\system32\\\\spoolsv.exe

C:\\\\OfficeScan NT\\\\ntrtscan.exe

C:\\\\Archivos de programa\\\\CyberLink\\\\Shared Files\\\\RichVideo.exe

C:\\\\WINDOWS\\\\System32\\\\svchost.exe

C:\\\\OfficeScan NT\\\\tmlisten.exe

C:\\\\OfficeScan NT\\\\ofcdog.exe

C:\\\\WINDOWS\\\\Explorer.EXE

C:\\\\WINDOWS\\\\system32\\\\wscntfy.exe

C:\\\\WINDOWS\\\\system32\\\\RunDll32.exe

C:\\\\Archivos de programa\\\\Archivos comunes\\\\InstallShield\\\\UpdateService\\\\issch.exe

C:\\\\OfficeScan NT\\\\pccntmon.exe

C:\\\\Archivos de programa\\\\CyberLink\\\\PowerDVD\\\\PDVDServ.exe

C:\\\\WINDOWS\\\\system32\\\\ctfmon.exe

C:\\\\Archivos de programa\\\\Huawei Technologies\\\\Huawei SmartAX MT810\\\\dslmon.exe

C:\\\\WINDOWS\\\\system32\\\\com\\\\smss.exe

C:\\\\WINDOWS\\\\system32\\\\com\\\\lsass.exe

C:\\\\Archivos de programa\\\\eMule\\\\emule.exe

C:\\\\Archivos de programa\\\\MSN Messenger\\\\msnmsgr.exe

C:\\\\Archivos de programa\\\\MSN Messenger\\\\usnsvc.exe

C:\\\\Archivos de programa\\\\Internet Explorer\\\\IEXPLORE.EXE

E:\\\\programas\\\\HiJackThis_v2.exe



R0 - HKCU\\\\Software\\\\Microsoft\\\\Internet Explorer\\\\Main,Start Page = http://www.google.com.ar

R0 - HKLM\\\\Software\\\\Microsoft\\\\Internet Explorer\\\\Main,Start Page = about:blank

R0 - HKCU\\\\Software\\\\Microsoft\\\\Internet Explorer\\\\Main,Local Page =

R0 - HKLM\\\\Software\\\\Microsoft\\\\Internet Explorer\\\\Main,Local Page =

R0 - HKCU\\\\Software\\\\Microsoft\\\\Internet Explorer\\\\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\\\Archivos de programa\\\\Adobe\\\\Acrobat 7.0\\\\ActiveX\\\\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\\\\ARCHIV~1\\\\SPYBOT~1\\\\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\\\\..\\\\Run: [VTPreset] VTPreset.exe

O4 - HKLM\\\\..\\\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\\\\..\\\\Run: [NeroFilterCheck] C:\\\\WINDOWS\\\\system32\\\\NeroCheck.exe

O4 - HKLM\\\\..\\\\Run: [ISUSPM Startup] \\\"C:\\\\Archivos de programa\\\\Archivos comunes\\\\InstallShield\\\\UpdateService\\\\isuspm.exe\\\" -startup

O4 - HKLM\\\\..\\\\Run: [ISUSScheduler] \\\"C:\\\\Archivos de programa\\\\Archivos comunes\\\\InstallShield\\\\UpdateService\\\\issch.exe\\\" -start

O4 - HKLM\\\\..\\\\Run: [OfficeScanNT Monitor] \\\"C:\\\\OfficeScan NT\\\\pccntmon.exe\\\" -HideWindow

O4 - HKLM\\\\..\\\\Run: [RemoteControl] \\\"C:\\\\Archivos de programa\\\\CyberLink\\\\PowerDVD\\\\PDVDServ.exe\\\"

O4 - HKLM\\\\..\\\\Run: [LanguageShortcut] \\\"C:\\\\Archivos de programa\\\\CyberLink\\\\PowerDVD\\\\Language\\\\Language.exe\\\"

O4 - HKCU\\\\..\\\\Run: [CTFMON.EXE] C:\\\\WINDOWS\\\\system32\\\\ctfmon.exe

O4 - HKUS\\\\S-1-5-19\\\\..\\\\Run: [CTFMON.EXE] C:\\\\WINDOWS\\\\System32\\\\CTFMON.EXE (User \\''SERVICIO LOCAL\\'')

O4 - HKUS\\\\S-1-5-20\\\\..\\\\Run: [CTFMON.EXE] C:\\\\WINDOWS\\\\System32\\\\CTFMON.EXE (User \\''Servicio de red\\'')

O4 - HKUS\\\\S-1-5-18\\\\..\\\\Run: [CTFMON.EXE] C:\\\\WINDOWS\\\\System32\\\\CTFMON.EXE (User \\''SYSTEM\\'')

O4 - HKUS\\\\.DEFAULT\\\\..\\\\Run: [CTFMON.EXE] C:\\\\WINDOWS\\\\System32\\\\CTFMON.EXE (User \\''Default user\\'')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\\\\Archivos de programa\\\\Archivos comunes\\\\Adobe\\\\Calibration\\\\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\\\\Archivos de programa\\\\Microsoft Office\\\\Office10\\\\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\\\\ARCHIV~1\\\\MICROS~2\\\\Office10\\\\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\\\\Network Diagnostic\\\\xpnetdiag.exe (file missing)

O9 - Extra \\''Tools\\'' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\\\\Network Diagnostic\\\\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\\\Archivos de programa\\\\Messenger\\\\msmsgs.exe

O9 - Extra \\''Tools\\'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\\\Archivos de programa\\\\Messenger\\\\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by127fd.bay127.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\\\\System\\\\CCS\\\\Services\\\\Tcpip\\\\..\\\\{0B1A1B66-B02D-4B5 D-B06C-4112F3F636BC}: NameServer = 200.45.191.35 200.45.191.40

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\\\\WINDOWS\\\\System32\\\\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\\\\WINDOWS\\\\System32\\\\browseui.dll

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\\\\WINDOWS\\\\System32\\\\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\\\\WINDOWS\\\\system32\\\\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\\\\WINDOWS\\\\System32\\\\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\\\\WINDOWS\\\\System32\\\\mnmsrvc.exe

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\\\\OfficeScan NT\\\\ntrtscan.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\\\\WINDOWS\\\\system32\\\\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\\\\WINDOWS\\\\system32\\\\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\\\\Archivos de programa\\\\CyberLink\\\\Shared Files\\\\RichVideo.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\\\\WINDOWS\\\\System32\\\\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\\\\WINDOWS\\\\system32\\\\smlogsvc.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\\\\OfficeScan NT\\\\tmlisten.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\\\\WINDOWS\\\\System32\\\\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\\\\WINDOWS\\\\System32\\\\wbem\\\\wmiapsrv.exe



--

End of file - 6168 bytes
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Mensaje por lucl » 21 Abr 2007, 09:38

Pasate estos antivirus online y dinos si te encuentran algo , ademas complementa pasando elitriip arrancando el pc en modo seguro y peganos el log que te deje en C infosat.txt, saludos



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//





http://www.zonavirus.com/descargas/elitriip.asp



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



y dices que le pasaste elistara vuelve a hacerlo en modo seguro ya puestos, saludos
Arriba
lupusellobo
Mensajes: 116
Registrado: 09 Mar 2005, 08:41

Mensaje por lupusellobo » 21 Abr 2007, 12:58

ok gracias ahora sigo los pasos.

saludos
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 21 Abr 2007, 13:32

Y envianos estos ficheros para analizar



C:\WINDOWS\system32\imapi.exe



C:\WINDOWS\System32\mnmsrvc.exe





para ello, recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 21-04-2007
Arriba
Nuker
Mensajes: 1556
Registrado: 09 Oct 2006, 22:54
Ubicación: Guadalajara, Jalisco

Mensaje por Nuker » 21 Abr 2007, 19:30

imapi es legitimo de Windows, se usa creo para grabar discos.



mnmsrvc.exe tambien es legitimo, pertenece al Windows netmeeting.



Saludos.
[DJ eXploit]
Arriba
lupusellobo
Mensajes: 116
Registrado: 09 Mar 2005, 08:41

Mensaje por lupusellobo » 22 Abr 2007, 10:50

siguiendo los pasos de lucl desaparecieron las ventanitas, asi que gracias por la ayuda.

Saludos
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 22 Abr 2007, 10:54

Gracias Nuker, no conocia los ficheros y los pedí para su analisis. Me has ahorrado faena :lol:



Y ya solucionado como nos indica lupusellobo gracias a las indicaciones de lucl, damos el Tema por solucionado y procedemos a cerrarlo



saludos



ms, 22-04-2007
Arriba
Cerrado

Volver a “Foro Spyware”