| | LinkBack | Herramientas | Buscar en este tema |
28.11.08, 18:42
| ||
| Hola, les dejo el análisis del Hijackthis, aprovechando que me volvió el Internes. Desde ya gracias.  Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:40:57, on 28/11/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\DRIVERS\WtSrv.exe C:\WINDOWS\system32\WService.EXE C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe C:\Archivos de programa\Mozilla Firefox\firefox.exe C:\Archivos de programa\Ares\Ares.exe C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: BS.Player ControlBar - {2C688203-7EB3-4327-9995-1CB417BA23F9} - C:\Archivos de programa\BS.Player ControlBar\BSToolbar.dll O4 - HKLM\..\Run: [WService] WService.EXE O4 - HKLM\..\Run: [taskmgra] C:\WINDOWS\system32\export.com O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h O8 - Extra context menu item: &Search - ?p=ZNfox000 O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis! O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis! O17 - HKLM\System\CCS\Services\Tcpip\..\{BA223679-A958-40C0-968E-D3016447D202}: NameServer = 200.63.155.53 200.63.155.181 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe O23 - Service: Print Spooler Service (ewai5oqu) - Unknown owner - C:\WINDOWS\system32\lxtgpayb.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe -- End of file - 4252 bytes Editado por *Enma.Ai*: 29.11.08 a las 17:27 | ||
|
28.11.08, 19:43
| ||
| Esto no sé qué es, pero no se ve nada normal: O4 - HKLM\..\Run: [taskmgra] C:\WINDOWS\system32\export.com Después podés sacar varias referencias a archivos que ya no existen: R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O23 - Service: Print Spooler Service (ewai5oqu) - Unknown owner - C:\WINDOWS\system32\lxtgpayb.exe (file missing)  ________________________ | ||
|
28.11.08, 19:43
| ||
| C:\WINDOWS\system32\WService.EXE O4 - HKLM\..\Run: [WService] WService.EXE Es un virualdo... O23 - Service: Print Spooler Service (ewai5oqu) - Unknown owner - C:\WINDOWS\system32\lxtgpayb.exe (file missing) Esto es muy sospechoso.... Despues que otros compañeros te digan si hay algo mas raro...   | ||
|
28.11.08, 20:06
| ||
| ojo con eso, que puede no ser virus Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis! además que también está el servicio asociado a eso Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis! Si tenés una tablet de esas tipo escribir con una lapicera, puede ser eso, no un virus. Por las dudas subí el archivo a Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis! para sacarte la duda. ________________________ | ||
|
28.11.08, 20:51
| ||
| Yo por lo que habia leido era virualdo.... Pero ta. Como decis vos, mas vale mandarlo VIRUSTOTAL a ver que onda. Saludos | ||
|
28.11.08, 21:04
| ||
| Sí, tengo una tableta Genius. Ah gracias chicos... hago lo que me dijeron y lo escaneo otra vez y posteo? | ||
|
29.11.08, 01:31
| ||
| Si, por las dudas, si tenés ganas, antes de hacer eso con el hijackthis, mandá también el archivo export.com a virustotal, que la verdad que nunca lo vi y en internet no aparece mucha info, pero puede no ser dañino, si virustotal dice que es virus o algo, borrá lo del hijackthis, después borrá el archivo, reiniciá y pasá un log nuevo para ver que no haya vuelto nada raro. ________________________ | ||
|
29.11.08, 01:54
| ||
| Ay gracias, pero este no me lo borra, lo intenté varias veces reinicié y no se borra. Mañana le paso el antivirus y les posteo. O23 - Service: Print Spooler Service (ewai5oqu) - Unknown owner - C:\WINDOWS\system32\lxtgpayb.exe (file missing) | ||
|
29.11.08, 11:34
| ||
| Es un archivo no encontrado (file missing), así que en principio no es nada peligroso porque es un archivo que no existe. Lo que podés hacer es bajarte el programa Autoruns (buscalo en google, es de sysinternals, gratuito) que entre toooooooooodo lo que te muestra seguro podés desactivar eso. ________________________ | ||
|
29.11.08, 12:10
| ||
| este... no tengo mucha idea de HijackThis pero si el borra la referencia del registro (esto es lo que hace el Hijack cuando se le da fix no?) y después de reiniciar esta vuelve a aparecer, es porque alguien la esta creando y eso puede (o no) ser peligroso. Ademas, que el HijackThis diga que un archivo no existe, solo dice que al momento de hacer el scan no existe... el archivo puede haber sido creado (en booteo o en apagado), seteado la entrada del registro, ejecutado y eliminado (y seguir ejecutando aún cuando el archivo se elimino... que en realidad el archivo no se elimina, solo la entrada en el directorio...). Si quieren probar, ejecuten cualquier .exe, mientras el programa esta ejecutando cambien el nombre o muevan de lugar el .exe; el programa va a seguir ejecutando lo mas bien. Si se quiere saber quien esta ejecutando el lxtgpayb.exe si es que alguien lo esta haciendo, una forma es usar el Process Explorer Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis! ; menu Find-> Find Handle o DLL ; pone parte del nombre del archivo, lo busca y van a aparecer todos los procesos que estan accediendo al archivo. Otra cosa que siempre se puede hacer es buscar el nombre del archivo en el registro; por ahi uno alcanza a darse cuenta de quien lo usa. Tal vez este no sea el caso, pero es muy común que los malwares una vez ejecutados se "eliminen" a si mismo y por eso el Hijack los reporta como file missing. "It is better to be beatiful than to be good. But... it is better to be good than to be ugly." (Oscar Wilde) Era jodido Oscarcito... "Why do programmers get Halloween and Christmas mixed up? Because OCT(31) = DEC(25)" "De vez en cuando la vida toma conmigo ferne' ...." (el_bot) AntiMW VBS Tools (saca los virus con notepad!!!) Última edición por el_bot: 16 de agosto de 1981 a la tardecita. Razón: nací. | ||
| Herramientas | Buscar en este tema |
| |
Este tema está relacionado con otros ya publicados en el sitio. Podés visitarlos ahora! | ||||
| Tema | Foro | Último mensaje | ||
| Log de HiJackThis. | Seguridad Informática | 03.11.08 21:17 | ||
| Log Hijackthis | Seguridad Informática | 11.08.08 09:07 | ||
| spyware hijackthis | Seguridad Informática | 07.05.08 11:12 | ||
| Log de Hijackthis - Ayuda | Software | 26.01.08 12:16 | ||
| Log de HijackThis | Seguridad Informática | 15.05.07 22:48 | ||
