Hola el Explorer.exe ha vuelto a aparecer en la lista de procesos y en la lista de NIS de conexiones de red con protocolo UDP ( como el anterior ).
Ahora aparece una ip remota pegada a mi conexión aquí les pongo según aparece en conexiones de red:
TCP svchost.exe xx.xx.xx.xx:4725 mi-equipo:135 60 72 0 00:26:12.
Gracias espero vuestra ayuda.
Explorer.exe vuelve a aparecer ( continuacion) [SOLUCIONADO]
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Este Tema es continuacion de: https://foros.zonavirus.com/viewtopic.php?p=37066#37066
Bueno, pues tiene instalada alguna aplicacion, sea normal o virica, que vuelve a lanzar el explorer en su proceso, voy a revisar el log que nos posteó y le digo algo :
Pruebe de eliminar esta clave, no es imprescindible y podría ser que incordiase:
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe
Y tras ello, cuentenos el resultado, gracias
saludos
ms, 4-08-2005
Bueno, pues tiene instalada alguna aplicacion, sea normal o virica, que vuelve a lanzar el explorer en su proceso, voy a revisar el log que nos posteó y le digo algo :
Pruebe de eliminar esta clave, no es imprescindible y podría ser que incordiase:
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe
Y tras ello, cuentenos el resultado, gracias
saludos
ms, 4-08-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sino, podría probarse con todas estas:
Las siguientes claves no son del sistema, y si no son de procesos que Vd haya instalado, o conozca, puede probar de eliminarlas:
O2 - BHO: EarthLink ScamBlocker V2 - {15F4D456-5BAA-4076-8486-EECB38CD3E57} - C:\Archivos de programa\EarthLink\Toolbar\EScamBlk.dll
O2 - BHO: EarthLink PopUp Blocker V2 - {512ACF1B-64D9-4928-B382-A80556F28DB4} - C:\Archivos de programa\EarthLink\Toolbar\ElnkPuB.dll
O2 - BHO: Earthlink Protection BHO - {9579D574-D4D8-4335-9560-FE8641A013BD} - C:\Archivos de programa\EarthLink\Toolbar\ProtctIE.dll
O2 - BHO: Uninstall Legacy Earthlink Toolbar - {E713904C-DF05-4C79-BBAD-02DB923253BE} - C:\Archivos de programa\EarthLink\Toolbar\uninsttb.dll
O3 - Toolbar: EarthLink Toolbar - {C7768536-96F8-4001-B1A2-90EE21279187} - C:\Archivos de programa\EarthLink\Toolbar\Toolbar.dll
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
y esta además es sospechosa:
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) -https://www5.aeat.es/es13/h/cactivex.cab
pero lo de aeat.es parece de la agencia tributaria. ¿La conoce?
Y no veo nada mas en el HJT, pero por otro lado, si no detecta ningun virus ni spyware, siguiendo nuestros tutoriales:
https://foros.zonavirus.com/viewtopic.php?t=5370
https://foros.zonavirus.com/viewtopic.php?t=4795
cabe considerar que es producto de alguna aplicacion que lo utiliza sin mas importancia.
Ya nos informará de sus progresos, como respuesta de este Tema, gracias
saludos
ms, 4-08-2005
Las siguientes claves no son del sistema, y si no son de procesos que Vd haya instalado, o conozca, puede probar de eliminarlas:
O2 - BHO: EarthLink ScamBlocker V2 - {15F4D456-5BAA-4076-8486-EECB38CD3E57} - C:\Archivos de programa\EarthLink\Toolbar\EScamBlk.dll
O2 - BHO: EarthLink PopUp Blocker V2 - {512ACF1B-64D9-4928-B382-A80556F28DB4} - C:\Archivos de programa\EarthLink\Toolbar\ElnkPuB.dll
O2 - BHO: Earthlink Protection BHO - {9579D574-D4D8-4335-9560-FE8641A013BD} - C:\Archivos de programa\EarthLink\Toolbar\ProtctIE.dll
O2 - BHO: Uninstall Legacy Earthlink Toolbar - {E713904C-DF05-4C79-BBAD-02DB923253BE} - C:\Archivos de programa\EarthLink\Toolbar\uninsttb.dll
O3 - Toolbar: EarthLink Toolbar - {C7768536-96F8-4001-B1A2-90EE21279187} - C:\Archivos de programa\EarthLink\Toolbar\Toolbar.dll
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
y esta además es sospechosa:
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) -
pero lo de aeat.es parece de la agencia tributaria. ¿La conoce?
Y no veo nada mas en el HJT, pero por otro lado, si no detecta ningun virus ni spyware, siguiendo nuestros tutoriales:
cabe considerar que es producto de alguna aplicacion que lo utiliza sin mas importancia.
Ya nos informará de sus progresos, como respuesta de este Tema, gracias
saludos
ms, 4-08-2005
Última edición por msc hotline sat el 05 Ago 2005, 06:56, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
He eliminado varias entradas "extrañas"con el HJT menos esta que creo que corresponde a mi conexión adsl por modem ( corrígame si debo borrarla, por favor)
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
He pasado el Elistartpage y me ha dado dos archivos infectados:
C:\Archivos de programa\EarthLink\Toolbar\UnInstall.exe --> AutoExtraible
C:\Archivos de programa\XviD\UninstXviD.exe --> AutoExtraible
El siguiente archivo lo considera infectado, pertenece al NIS 2004 y no puede eliminarlo:
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCEMLPXY.DLL
Gracias
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
He pasado el Elistartpage y me ha dado dos archivos infectados:
C:\Archivos de programa\EarthLink\Toolbar\UnInstall.exe --> AutoExtraible
C:\Archivos de programa\XviD\UninstXviD.exe --> AutoExtraible
El siguiente archivo lo considera infectado, pertenece al NIS 2004 y no puede eliminarlo:
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCEMLPXY.DLL
Gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Vamos por partes: Los ficheros que el ELISTARA señala como Autoextraibles, no tienen porqué estar infectados, solo están empaquetados y autoextraen su contenido al ejecutarse, generando otros ficheros que pueden ser gusanos, ya qie el compresor utilizado encripta en contenido y oculta el posible virus que pudiera existir, por eso los detectamos, para conocer dicha posibilidad.
Sobre el WrOS.EXE es posible que tenga dicha funcion:
por eso, al no conocerla, preguntaba si sabía que era y si la había instalado voluntariamente. Déjela estar como está, claro.
Y tras todo lo indicado, si no detecta nada con los antivirus y antispywares que le indicamos en post anterior, considere que alguna aplicacion lo utiliza, y si no tiene mas consecuencias, procede dejarlo estar.
Informenos al respecto, para saber si podemos dar por solucionado el Tema, gracias
saludos
ms, 5-08-2005
Sobre el WrOS.EXE es posible que tenga dicha funcion:
[quote]Es la aplicacion encargada de realizar conexiones de banda ancha de iVasion. Este software en Colombia se usa para realizar conexiones a travez de banda ancha ADSL de ETB. Solo Windows NT4/2000/XP.[/quote]
por eso, al no conocerla, preguntaba si sabía que era y si la había instalado voluntariamente. Déjela estar como está, claro.
Y tras todo lo indicado, si no detecta nada con los antivirus y antispywares que le indicamos en post anterior, considere que alguna aplicacion lo utiliza, y si no tiene mas consecuencias, procede dejarlo estar.
Informenos al respecto, para saber si podemos dar por solucionado el Tema, gracias
saludos
ms, 5-08-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema
saludos
ms, 5-08-2005
saludos
ms, 5-08-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online