Ver originales (Francés)

[Virus] Troyano - Spyware ...

Resuelto
CurLy64 Mensajes publicados 71 Estado Miembro -  
Regis59 Mensajes publicados 21143 Fecha de registro   Estado Colaborador de seguridad Última intervención   -
Salut,

Por una vez, soy yo quien necesita ayuda...

Hace ya algunos días que tengo un virus (troyano) y otras cosas molestas, así que primero les pongo los mensajes de alerta enviados por Symantec Antivirus:

[quote]08/08/2007 15:59:28, ddlbbcas.exe, Downloader, Archivo, Suprimido, E98GNC002A, bajo, C:\WINDOWS\system32\, Suprimido, Suprimido, Limpiar el virus del archivo, Suprimir el archivo infectado, Análisis manual, El archivo ha sido suprimido.
08/08/2007 13:23:11, kcehc_eicooc20070702[1], Trojan.Vundo, Archivo, Suprimido, E98GNC002A, bajo, C:\Documents and Settings\janeau\Local Settings\Temporary Internet Files\Content.IE5\RI07V1O1\, Suprimido, Suprimido, Limpiar el virus del archivo, Suprimir el archivo infectado, Análisis Auto-Protect, El archivo ha sido suprimido.
08/08/2007 13:20:51, masiyxanidi[2], Downloader, Archivo, Conservado, E98GNC002A, bajo, C:\Documents and Settings\janeau\Local Settings\Temporary Internet Files\Content.IE5\4TUR0HQB\, Infectados, C:\Documents and Settings\janeau\Local Settings\Temporary Internet Files\Content.IE5\4TUR0HQB\, Limpiar el virus del archivo, Suprimir el archivo infectado, Análisis Auto-Protect, El archivo no ha sido modificado.[/quote]

Esto es más o menos lo que hay... es Downloader y Trojan.Vundo, he reiniciado en modo seguro, escaneado con Symantec, eliminado los archivos temporales, escaneado con The Cleaner, Ad-aware, Spybot y todavía tengo estas cosas molestas...

También les doy el registro de HiJackThis:

Logfile de Trend Micro HijackThis v2.0.0 (BETA)
Escaneo guardado a las 16:21:45, el 08/08/2007
Plataforma: Windows XP SP2 (WinNT 5.01.2600)
Modo de inicio: Normal

Procesos en ejecución:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\4760\Netscape\server5\bin\https\bin\ns-httpd.exe
c:\Program Files\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
c:\4760\Netscape\server5\bin\https\bin\httpd.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
c:\4760\Netscape\server5\bin\slapd\server\ns-slapd.exe
c:\4760\Netscape\server5\bin\slapd\server\slapd.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
c:\4760\bin\svc_mgr.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Citrix\Client ICA\ssonsvr.exe
C:\Documents and Settings\janeau\Application Data\explorer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\SHARP\PCFAX2\PcfaxRcv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Plantronics\PerSonoCall\PerSonoCall.exe
C:\Program Files\InstantTimeZone\InstantTimeZone.exe
C:\applics\Launcher400\LNCsrv.exe
C:\applics\Launcher400\LNCadm.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
C:\Program Files\Alcatel_PIMphony\aocphone.exe
C:\Program Files\lotus\notes\NLNOTES.EXE
C:\Program Files\Webshots\webshots.scr
c:\4760\apache2\bin\apache.exe
C:\Program Files\Messenger\msmsgs.exe
C:\4760\apache2\bin\apache.exe
c:\4760\bin\ExecdEx.exe
c:\4760\bin\extractor.exe
c:\4760\bin\LicenseServer.exe
C:\Program Files\lotus\notes\ntaskldr.EXE
c:\4760\bin\save_restore.exe
c:\4760\bin\scheduler.exe
c:\4760\bin\SecurityServer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
c:\4760\bin\ns_service.exe
c:\4760\bin\ComServer.exe
c:\4760\bin\cmisd.exe
c:\4760\bin\FaultManager.exe
c:\4760\bin\GCSAdmin.exe
c:\4760\bin\GCSConfig.exe
c:\4760\bin\loader.exe
c:\4760\bin\SyncLdapPbx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alcatel_PIMphony\UAProc.exe
C:\Program Files\Alcatel_PIMphony\abers.exe
C:\WINDOWS\System32\rsvp.exe
U:\-= truc =-\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Página de inicio = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Página local =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main, Página local =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyOverride = local.,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar, LinksFolderName = Enlaces
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\janeau\Application Data\explorer.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (sin nombre) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (sin nombre) - {5A4A2D56-931A-4733-9121-033A2D95A274} - C:\WINDOWS\system32\tuvtqno.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (sin nombre) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (sin archivo)
O2 - BHO: (sin nombre) - {A2B5476A-23EB-4180-9C40-49ABF9615620} - C:\WINDOWS\system32\geede.dll
O2 - BHO: (sin nombre) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\uvbubsbh.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\COMPAQ\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Receiver] C:\Program Files\SHARP\PCFAX2\PcfaxRcv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\cddvgtqd.dll",forkonce
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PerSonoCall] "C:\Program Files\Plantronics\PerSonoCall\PerSonoCall.exe" -nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SERVICIO RED')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'Usuario predeterminado')
O4 - Inicio: Lotus Notes 6.5.lnk = C:\Program Files\lotus\notes\notes.exe
O4 - Inicio: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Inicio: PIMphony.lnk = ?
O4 - Inicio: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Inicio global: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe
O4 - Inicio global: Lanzamiento rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Inicio global: Launcher400.LNK = C:\applics\Launcher400\LNCsrv.exe
O4 - Inicio global: Windows Live Messenger.lnk = ?
O8 - Elemento de menú contextual adicional: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Botón extra: (sin nombre) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Elemento de menú 'Herramientas' adicional: Consola Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Botón extra: Búsqueda - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Botón extra: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Elemento de menú 'Herramientas' adicional: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (Clase WUWebControl) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105936747789
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Dominio = intra.groupama.nc
O17 - HKLM\Software\..\Telephony: DomainName = intra.groupama.nc
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Dominio = intra.groupama.nc
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Dominio = intra.groupama.nc
O20 - Winlogon Notify: geede - C:\WINDOWS\system32\geede.dll
O20 - Winlogon Notify: tuvtqno - C:\WINDOWS\SYSTEM32\tuvtqno.dll
O20 - Winlogon Notify: winbjt32 - C:\WINDOWS\SYSTEM32\winbjt32.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Servicio: Servicio Ad-Aware 2007 (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Servicio: Sun One Administration Server 5.2 (admin52-serv) - Sun Microsystems Inc - c:/4760/Netscape/server5/bin/https/bin/ns-httpd.exe
O23 - Servicio: Servidor de Alarmas NMC (AlarmServer) - Propietario desconocido - c:\4760\bin\FaultManager.exe
O23 - Servicio: Apache - Apache Software Foundation - c:\4760\apache2\bin\apache.exe
O23 - Servicio: Base de datos NMC50 (ASANYs_nmc50) - iAnywhere Solutions, Inc. - c:\Program Files\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
O23 - Servicio: Servicio Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Servicio: Servidor NMC CMISE (Cmisd) - Propietario desconocido - c:\4760\bin\cmisd.exe
O23 - Servicio: Servidor de Comunicación NMC (ComServer) - Propietario desconocido - c:\4760\bin\ComServer.exe
O23 - Servicio: Función de comando remoto de iSeries Access para Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Servicio: Vigilante de definiciones de Symantec AntiVirus (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Servicio: Servicio de administración del Gestor de disco lógico (dmadmin) - Propietario desconocido - C:\WINDOWS\System32\dmadmin.exe
O23 - Servicio: Registro de eventos (Eventlog) - Propietario desconocido - C:\WINDOWS\system32\services.exe
O23 - Servicio: Lanzador de ejecutables NMC (ExecdEx) - Propietario desconocido - c:\4760\bin\ExecdEx.exe
O23 - Servicio: Extractor NMC (Extractor) - Propietario desconocido - c:\4760\bin\extractor.exe
O23 - Servicio: Servidor de administración GCS NMC (GCSAdmin) - Propietario desconocido - c:\4760\bin\GCSAdmin.exe
O23 - Servicio: Servidor de configuración GCS NMC (GCSConfig) - Propietario desconocido - c:\4760\bin\GCSConfig.exe
O23 - Servicio: ICF - Propietario desconocido - C:\WINDOWS\system32\svchost.exe:exe.exe
O23 - Servicio: Administrador de tabla de controladores de instalación (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Servicio: Servicio COM de grabación de CD IMAPI (ImapiService) - Propietario desconocido - C:\WINDOWS\System32\imapi.exe
O23 - Servicio: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Servicio: Servidor de licencia NMC (LicenseServer) - Propietario desconocido - c:\4760\bin\LicenseServer.exe
O23 - Servicio: Cargador NMC (Loader) - Propietario desconocido - c:\4760\bin\loader.exe
O23 - Servicio: Compartición de escritorio remoto NetMeeting (mnmsrvc) - Propietario desconocido - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Servicio: Servicio de notificación ORBacus (NotifyService) - Propietario desconocido - c:\4760\bin\ns_service.exe
O23 - Servicio: Plug-and-Play (PlugPlay) - Propietario desconocido - C:\WINDOWS\system32\services.exe
O23 - Servicio: Gestor de sesiones de ayuda en el escritorio remoto (RDSessMgr) - Propietario desconocido - C:\WINDOWS\system32\sessmgr.exe
O23 - Servicio: Guardar/Restaurar NMC (SaveRestore) - Propietario desconocido - c:\4760\bin\save_restore.exe
O23 - Servicio: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Servicio: Tarjeta inteligente (SCardSvr) - Propietario desconocido - C:\WINDOWS\System32\SCardSvr.exe
O23 - Servicio: Programador NMC (Scheduler) - Propietario desconocido - c:\4760\bin\scheduler.exe
O23 - Servicio: Servidor de seguridad NMC (SecurityServer) - Propietario desconocido - c:\4760\bin\SecurityServer.exe
O23 - Servicio: ServicioOMC - Propietario desconocido - C:\WINDOWS\system32\ServiceOMC.exe
O23 - Servicio: Servidor de directorio Sun ONE 5.2 (4760) (slapd-4760) - Propietario desconocido - c:\4760\Netscape\server5/bin/slapd/server/ns-slapd.exe
O23 - Servicio: Servicio de agente SoundMAX (Servicio SoundMAX Agent (predeterminado)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Servicio: Administrador de servicios NMC (svc_mgr) - Propietario desconocido - c:\4760\bin\svc_mgr.exe
O23 - Servicio: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Servicio: Sincronización de Pbx/Ldap NMC (SyncLdapPbx) - Propietario desconocido - c:\4760\bin\SyncLdapPbx.exe
O23 - Servicio: Registros y alertas de rendimiento (SysmonLog) - Propietario desconocido - C:\WINDOWS\system32\smlogsvc.exe
O23 - Servicio: Telnet (TlntSvr) - Propietario desconocido - C:\WINDOWS\System32\tlntsvr.exe
O23 - Servicio: Instantánea de volumen (VSS) - Propietario desconocido - C:\WINDOWS\System32\vssvc.exe
O23 - Servicio: wampapache - Apache Software Foundation - c:\wamp\apache2\bin\httpd.exe
O23 - Servicio: wampmysqld - Propietario desconocido - c:\wamp\mysql\bin\mysqld-nt.exe
O23 - Servicio: Servidor VNC (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
O23 - Servicio: Tarjeta de rendimiento WMI (WmiApSrv) - Propietario desconocido - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
Fin del archivo - 12952 bytes

Sabiendo que ya he suprimido el archivo explorer.exe contenido en Application Data (no tenía nada que hacer allí Oo')

Gracias por su ayuda :)
Configuración: Windows XP Firefox 2.0.0.6

18 respuestas

Respuesta 1 / 18
Regis59 Mensajes publicados 21143 Fecha de registro   Estado Colaborador de seguridad Última intervención   1 349
 
Lo siento, pero no puedo ayudar con eso.
0
Respuesta 2 / 18
CurLy64 Mensajes publicados 71 Estado Miembro 4
 
Aquí está la traducción solicitada: Aquí está el registro de VundoFix :

VundoFix V6.5.7

Comprobando la versión de Java...

La versión de Java es 1.5.0.6
Las versiones antiguas de Java son explotables y deben ser eliminadas.

La versión de Java es 1.5.0.9
Las versiones antiguas de Java son explotables y deben ser eliminadas.

La versión de Java es 1.5.0.10

La versión de Java es 1.5.0.11

El escaneo comenzó a las 10:37:51 09/08/2007

Listando los archivos encontrados durante el escaneo....

C:\windows\system32\cddvgtqd.dll
C:\windows\system32\cxreuxnq.ini
C:\WINDOWS\system32\dqtgvddc.ini
C:\WINDOWS\system32\edeeg.bak1
C:\WINDOWS\system32\edeeg.bak2
C:\WINDOWS\system32\edeeg.ini
C:\WINDOWS\system32\geede.dll
C:\windows\system32\ivxbovqj.ini
C:\windows\system32\jqvobxvi.dll
C:\windows\system32\qnxuerxc.dll
C:\WINDOWS\system32\tuvtqno.dll
C:\WINDOWS\system32\uvbubsbh.dll

Comenzando la eliminación...

Intentando eliminar C:\windows\system32\cddvgtqd.dll
C:\windows\system32\cddvgtqd.dll ¡Ha sido eliminado!

Intentando eliminar C:\windows\system32\cxreuxnq.ini
C:\windows\system32\cxreuxnq.ini ¡Ha sido eliminado!

Intentando eliminar C:\WINDOWS\system32\dqtgvddc.ini
C:\WINDOWS\system32\dqtgvddc.ini ¡Ha sido eliminado!

Intentando eliminar C:\WINDOWS\system32\edeeg.bak1
C:\WINDOWS\system32\edeeg.bak1 ¡Ha sido eliminado!

Intentando eliminar C:\WINDOWS\system32\edeeg.bak2
C:\WINDOWS\system32\edeeg.bak2 ¡Ha sido eliminado!

Intentando eliminar C:\WINDOWS\system32\edeeg.ini
C:\WINDOWS\system32\edeeg.ini ¡Ha sido eliminado!

Intentando eliminar C:\WINDOWS\system32\geede.dll
C:\WINDOWS\system32\geede.dll ¡Ha sido eliminado!

Intentando eliminar C:\windows\system32\ivxbovqj.ini
C:\windows\system32\ivxbovqj.ini ¡Ha sido eliminado!

Intentando eliminar C:\windows\system32\jqvobxvi.dll
C:\windows\system32\jqvobxvi.dll ¡Ha sido eliminado!

Intentando eliminar C:\windows\system32\qnxuerxc.dll
C:\windows\system32\qnxuerxc.dll ¡Ha sido eliminado!

Intentando eliminar C:\WINDOWS\system32\tuvtqno.dll
C:\WINDOWS\system32\tuvtqno.dll No se pudo eliminar.

Intentando eliminar C:\WINDOWS\system32\uvbubsbh.dll
C:\WINDOWS\system32\uvbubsbh.dll ¡Ha sido eliminado!

Realizando reparaciones al registro.
¡Hecho!

Y el nuevo registro de Hijackthis :

Registro de Trend Micro HijackThis v2.0.0 (BETA)
Escaneo guardado a las 10:52:10, el 09/08/2007
Plataforma: Windows XP SP2 (WinNT 5.01.2600)
Modo de arranque: Normal

Procesos en ejecución:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\4760\Netscape\server5\bin\https\bin\ns-httpd.exe
c:\Program Files\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
c:\4760\Netscape\server5\bin\https\bin\httpd.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\fdvrtblq.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
c:\4760\Netscape\server5\bin\slapd\server\ns-slapd.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
c:\4760\Netscape\server5\bin\slapd\server\slapd.exe
c:\4760\bin\svc_mgr.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Citrix\Client ICA\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SHARP\PCFAX2\PcfaxRcv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Plantronics\PerSonoCall\PerSonoCall.exe
C:\Program Files\InstantTimeZone\InstantTimeZone.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\applics\Launcher400\LNCsrv.exe
C:\applics\Launcher400\LNCadm.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
C:\Program Files\Alcatel_PIMphony\aocphone.exe
C:\Program Files\Webshots\webshots.scr
C:\Program Files\lotus\notes\NLNOTES.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
c:\4760\apache2\bin\apache.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\4760\apache2\bin\apache.exe
C:\Program Files\lotus\notes\ntaskldr.EXE
c:\4760\bin\ExecdEx.exe
c:\4760\bin\extractor.exe
C:\Program Files\Alcatel_PIMphony\UAProc.exe
C:\WINDOWS\System32\rsvp.exe
c:\4760\bin\LicenseServer.exe
C:\Program Files\Alcatel_PIMphony\abers.exe
c:\4760\bin\save_restore.exe
c:\4760\bin\scheduler.exe
c:\4760\bin\SecurityServer.exe
c:\4760\bin\ns_service.exe
c:\4760\bin\ComServer.exe
c:\4760\bin\cmisd.exe
c:\4760\bin\FaultManager.exe
c:\4760\bin\GCSAdmin.exe
c:\4760\bin\GCSConfig.exe
c:\4760\bin\loader.exe
c:\4760\bin\SyncLdapPbx.exe
C:\Documents and Settings\janeau\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Página de inicio = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Página local =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Página local =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,Nombre de la carpeta de enlaces = Enlaces
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\janeau\Application Data\explorer.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (sin nombre) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (sin nombre) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (sin archivo)
O2 - BHO: (sin nombre) - {C8C729FD-9C9F-4D53-A419-EC5101ED52AF} - C:\WINDOWS\system32\geede.dll (archivo faltante)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\COMPAQ\SetRefresh\\SetRefresh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Receiver] C:\Program Files\SHARP\PCFAX2\PcfaxRcv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PerSonoCall] "C:\Program Files\Plantronics\PerSonoCall\PerSonoCall.exe" -nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SERVICIO RED')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'Usuario predeterminado')
O4 - Inicio: Lotus Notes 6.5.lnk = C:\Program Files\lotus\notes\notes.exe
O4 - Inicio: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Inicio: PIMphony.lnk = ?
O4 - Inicio: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Inicio global: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe
O4 - Inicio global: Lanzamiento rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Inicio global: Launcher400.LNK = C:\applics\Launcher400\LNCsrv.exe
O4 - Inicio global: Windows Live Messenger.lnk = ?
O8 - Elemento de menú contextual extra: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Botón extra: (sin nombre) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Elemento de menú 'Herramientas' extra: Consola Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Botón extra: Búsqueda - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Botón extra: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Elemento de menú 'Herramientas' extra: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (Clase WUWebControl) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105936747789
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Dominio = intra.groupama.nc
O17 - HKLM\Software\..\Telephony: NombreDominio = intra.groupama.nc
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Dominio = intra.groupama.nc
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Dominio = intra.groupama.nc
O20 - Notificación de Winlogon: winbjt32 - C:\WINDOWS\SYSTEM32\winbjt32.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Servicio: Servicio de Ad-Aware 2007 (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Servicio: Servidor de administración de Sun One 5.2 (admin52-serv) - Sun Microsystems Inc - c:/4760/Netscape/server5/bin/https/bin/ns-httpd.exe
O23 - Servicio: servidor de alarma NMC (AlarmServer) - Propietario desconocido - c:\4760\bin\FaultManager.exe
O23 - Servicio: Apache - Fundación Apache - c:\4760\apache2\bin\apache.exe
O23 - Servicio: Base de datos NMC50 (ASANYs_nmc50) - iAnywhere Solutions, Inc. - c:\Program Files\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
O23 - Servicio: Servicio Bonjour (Bonjour Service) - Propietario desconocido - C:\Program Files\Bonjour\mDNSResponder.exe (archivo faltante)
O23 - Servicio: servidor NMC CMISE (Cmisd) - Propietario desconocido - c:\4760\bin\cmisd.exe
O23 - Servicio: Servidor de comunicación NMC (ComServer) - Propietario desconocido - c:\4760\bin\ComServer.exe
O23 - Servicio: Función de comando remoto de iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Servicio: Observador de definiciones de Symantec AntiVirus (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Servicio: Servicio de administración del Administrador de disco lógico (dmadmin) - Propietario desconocido - C:\WINDOWS\System32\dmadmin.exe
O23 - Servicio: Servicio de dominio - - C:\WINDOWS\system32\fdvrtblq.exe
O23 - Servicio: Registro de eventos (Eventlog) - Propietario desconocido - C:\WINDOWS\system32\services.exe
O23 - Servicio: lanzador de ejecutables NMC (ExecdEx) - Propietario desconocido - c:\4760\bin\ExecdEx.exe
O23 - Servicio: extractor NMC (Extractor) - Propietario desconocido - c:\4760\bin\extractor.exe
O23 - Servicio: servidor de administración NMC GCS (GCSAdmin) - Propietario desconocido - c:\4760\bin\GCSAdmin.exe
O23 - Servicio: servidor de configuración NMC GCS (GCSConfig) - Propietario desconocido - c:\4760\bin\GCSConfig.exe
O23 - Servicio: ICF - Propietario desconocido - C:\WINDOWS\system32\svchost.exe:exe.exe
O23 - Servicio: Administrador de tabla InstallDriver (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Servicio: Servicio de grabación de CD IMAPI (ImapiService) - Propietario desconocido - C:\WINDOWS\System32\imapi.exe
O23 - Servicio: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Servicio: servidor de licencias NMC (LicenseServer) - Propietario desconocido - c:\4760\bin\LicenseServer.exe
O23 - Servicio: cargador NMC (Loader) - Propietario desconocido - c:\4760\bin\loader.exe
O23 - Servicio: Servicio de escritorio remoto NetMeeting (mnmsrvc) - Propietario desconocido - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Servicio: Servicio de notificación de ORBacus (NotifyService) - Propietario desconocido - c:\4760\bin\ns_service.exe
O23 - Servicio: Plug-and-Play (PlugPlay) - Propietario desconocido - C:\WINDOWS\system32\services.exe
O23 - Servicio: Administrador de sesión de ayuda en escritorio remoto (RDSessMgr) - Propietario desconocido - C:\WINDOWS\system32\sessmgr.exe
O23 - Servicio: NMC Guardar/Restaurar (SaveRestore) - Propietario desconocido - c:\4760\bin\save_restore.exe
O23 - Servicio: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Servicio: tarjeta inteligente (SCardSvr) - Propietario desconocido - C:\WINDOWS\System32\SCardSvr.exe
O23 - Servicio: programador NMC (Scheduler) - Propietario desconocido - c:\4760\bin\scheduler.exe
O23 - Servicio: servidor de seguridad NMC (SecurityServer) - Propietario desconocido - c:\4760\bin\SecurityServer.exe
O23 - Servicio: ServiceOMC - Propietario desconocido - C:\WINDOWS\system32\ServiceOMC.exe
O23 - Servicio: Servidor de directorio Sun ONE 5.2 (4760) (slapd-4760) - Propietario desconocido - c:\4760\Netscape\server5/bin/slapd/server/ns-slapd.exe
O23 - Servicio: servicio de agente SoundMAX (SoundMAX Agent Service (predeterminado)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Servicio: administrador de servicios NMC (svc_mgr) - Propietario desconocido - c:\4760\bin\svc_mgr.exe
O23 - Servicio: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Servicio: sincronización NMC Pbx/Ldap (SyncLdapPbx) - Propietario desconocido - c:\4760\bin\SyncLdapPbx.exe
O23 - Servicio: registros y alertas de rendimiento (SysmonLog) - Propietario desconocido - C:\WINDOWS\system32\smlogsvc.exe
O23 - Servicio: Telnet (TlntSvr) - Propietario desconocido - C:\WINDOWS\System32\tlntsvr.exe
O23 - Servicio: instantáneo de volumen (VSS) - Propietario desconocido - C:\WINDOWS\System32\vssvc.exe
O23 - Servicio: wampapache - Fundación Apache - c:\wamp\apache2\bin\httpd.exe
O23 - Servicio: wampmysqld - Propietario desconocido - c:\wamp\mysql\bin\mysqld-nt.exe
O23 - Servicio: Servidor VNC (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
O23 - Servicio: tarjeta de rendimiento WMI (WmiApSrv) - Propietario desconocido - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
Fin del archivo - 12637 bytes

¡Ha eliminado correctamente los archivos infectados! :)

¡Muchas gracias por tu ayuda Régis59! :p
0
Respuesta 3 / 18
Regis59 Mensajes publicados 21143 Fecha de registro   Estado Colaborador de seguridad Última intervención   1 349
 
Re,

Continuamos...

Descarga Combofix sUBs:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
y guárdalo en tu escritorio y no en otro lugar.

Haz doble clic en combofix, te hará una pregunta, responde presionando la tecla 1 y luego intro para validar.
Espera a que combofix termine, se creará un informe. Publica el informe.

--
"Había soñado con un mundo mejor... Sin diferencias de colores... Igualdad..." -MLK-
0
Respuesta 4 / 18
CurLy64 Mensajes publicados 71 Estado Miembro 4
 
Allez log suivant :

ComboFix 07-08-09.3 - "bas" 2007-08-10 9:09:17.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.138 [GMT 11:00]
* Créé un nouveau point de restauration

[i] ADS supprimé - svchost.exe : 58880 octets supprimés dans 1 flux. [/i]

((((((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\1_exception.nls
C:\WINDOWS\system32\ASPI32.EXE
C:\WINDOWS\system32\winbjt32.dll

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_ASC3550U
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_ICF
-------\LEGACY_NPF
-------\DomainService
-------\ICF
-------\SysLibrary

((((((((((((((((((((((((( Fichiers créés du 2007-07-09 au 2007-08-09 )))))))))))))))))))))))))))))))

2007-08-10 09:08 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-10 08:23 <REP> d-------- C:\Program Files\Windows Live
2007-08-10 08:22 <REP> d-------- C:\Program Files\MessengerDiscovery
2007-08-09 12:16 <REP> d-------- C:\Program Files\MegauploadToolbar
2007-08-09 12:16 <REP> d-------- C:\DOCUME~1\janeau\APPLIC~1\MegauploadToolbar
2007-08-09 10:37 75,328 --a------ C:\WINDOWS\system32\fdvrtblq.exe
2007-08-09 10:37 <REP> d-------- C:\VundoFix Backups
2007-08-07 11:27 <REP> d-------- C:\Program Files\The Cleaner
2007-08-06 14:45 <REP> d-------- C:\Program Files\Lavasoft
2007-08-06 14:45 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2007-08-06 14:44 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-08-06 09:11 <REP> d-------- C:\Program Files\RegCleaner
2007-08-03 12:49 <REP> d-------- C:\pps
2007-07-25 12:04 <REP> d-------- C:\Program Files\PhotoFiltre
2007-07-25 10:29 <REP> d-------- C:\DOCUME~1\janeau\A4902Logs
2007-07-23 10:57 <REP> d-------- C:\DOCUME~1\janeau\APPLIC~1\vlc
2007-07-23 09:29 <REP> d-------- C:\Program Files\VideoLAN
2007-07-16 16:09 <REP> d-------- C:\DOCUME~1\janeau\APPLIC~1\Alcatel PIMphony
2007-07-16 15:48 <REP> d-------- C:\Program Files\Nice Recorder
2007-07-16 15:43 <REP> d-------- C:\Program Files\FuzLez
2007-07-16 15:43 <REP> d-------- C:\DOCUME~1\janeau\APPLIC~1\FuzLez
2007-07-16 15:40 <REP> d-------- C:\My Recordings
2007-07-16 15:39 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-07-16 14:41 <REP> d-------- C:\Program Files\Audacity
2007-07-13 14:04 <REP> d-------- C:\Program Files\Cain
2007-07-13 13:19 39,424 --a------ C:\WINDOWS\zipinst.exe
2007-07-13 13:19 <REP> d-------- C:\Program Files\MessenPass
2007-07-13 08:56 <REP> d-------- C:\crark31
2007-07-11 14:49 <REP> d-------- C:\WhoLockMe104
2007-07-11 14:48 3,888 --a------ C:\WINDOWS\system32\drivers\NTHANDLE.SYS

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-10 09:14 --------- d-------- C:\Program Files\Symantec AntiVirus
2007-08-10 09:12 --------- d-------- C:\Program Files\mIRC
2007-08-10 08:23 --------- d-------- C:\Program Files\MSN Messenger
2007-08-10 07:30 --------- d-------- C:\Program Files\Alcatel_PIMphony
2007-08-08 16:32 --------- d-------- C:\Program Files\Bonjour
2007-08-07 15:22 0 --a------ C:\CONFIG.SYS
2007-08-07 15:22 0 --a------ C:\AUTOEXEC.BAT
2007-08-06 13:31 14336 --a--c--- C:\WINDOWS\system32\dllcache\svchost.exe
2007-08-06 13:31 14336 --a------ C:\WINDOWS\system32\svchost.exe
2007-07-25 11:39 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\gtk-2.0
2007-07-23 12:58 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\U3
2007-07-02 09:06 --------- d-------- C:\Program Files\Webshots
2007-07-02 09:06 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\Webshots
2007-07-02 08:33 74752 --a------ C:\WINDOWS\ST6UNST.EXE
2007-07-02 08:33 290816 --------- C:\WINDOWS\Setup1.exe
2007-07-02 08:33 --------- d-------- C:\Program Files\SwitchWallPaper
2007-06-29 10:17 --------- d-------- C:\Program Files\MSN Pictures Displayer
2007-06-29 09:56 446976 --a------ C:\WINDOWS\system32\ShellMPD.dll
2007-06-29 09:56 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\MSN Pictures Displayer
2007-06-28 14:09 --------- d-------- C:\Program Files\PSPad editor
2007-06-28 14:09 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\WaterProof
2007-06-28 14:08 --------- d-------- C:\Program Files\WaterProof
2007-06-27 10:38 --------- d-------- C:\Program Files\Look@LAN
2007-06-27 10:32 720896 --a------ C:\WINDOWS\iun6002.exe
2007-06-26 14:40 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\X-Chat 2
2007-06-21 12:05 --------- d-------- C:\Program Files\InstantTimeZone
2007-06-20 08:23 45 ---h----- C:\WINDOWS\dsez2661.dat
2007-06-19 08:45 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\ICAClient
2007-06-19 08:32 --------- d-------- C:\Program Files\Citrix

((((((((((((((((((((((((((((((((((((( Points de chargement de Reg ))))))))))))))))))))))))))))))))))))))))))))))))))

*Remarque* les entrées vides & les entrées par défaut légitimes ne sont pas affichées

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C8C729FD-9C9F-4D53-A419-EC5101ED52AF}]
C:\WINDOWS\system32\geede.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2004-09-30 15:41]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2004-09-30 15:37]
"SetRefresh"="C:\Program Files\COMPAQ\SetRefresh\\SetRefresh.exe" [2003-11-20 18:01]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-03-31 15:46]
"Client Access Service"="C:\Program Files\IBM\Client Access\cwbsvstr.exe" [2002-05-07 05:20]
"Client Access Help Update"="C:\Program Files\IBM\Client Access\cwbinhlp.exe" [2002-05-07 05:20]
"Client Access Check Version"="C:\Program Files\IBM\Client Access\cwbckver.exe" [2002-05-07 05:20]
"Client Access Express Welcome"="C:\Program Files\IBM\Client Access\cwbwlwiz.exe" [2002-05-07 05:20]
"JobHisInit"="C:\Program Files\RMClient\JobHisInit.exe" [2000-09-28 19:52]
"MplSetUp"="C:\Program Files\RMClient\MplSetUp.exe" [2000-11-04 21:09]
"WinVNC"="C:\Program Files\UltraVNC\WinVNC.exe" [2004-06-20 20:45]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-03 19:21]
"Receiver"="C:\Program Files\SHARP\PCFAX2\PcfaxRcv.exe" [2004-11-12 10:28]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-09-15 16:50]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09]
"PerSonoCall"="C:\Program Files\Plantronics\PerSonoCall\PerSonoCall.exe" [2004-12-09 11:03]

C:\Documents and Settings\janeau\Menu Démarrer\Programmes\Démarrage\
Lotus Notes 6.5.lnk - C:\Program Files\lotus\notes\notes.exe [2004-09-15 05:39:00]
MSN Pictures Displayer.lnk - C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe [2007-06-29 09:56:23]
PIMphony.lnk - C:\Program Files\Alcatel_PIMphony\aocphone.exe [2007-05-16 09:11:24]
Webshots.lnk - C:\Program Files\Webshots\Launcher.exe [2007-07-02 09:06:53]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\
InstantTimeZone.lnk - C:\Program Files\InstantTimeZone\InstantTimeZone.exe [2006-09-03 02:39:36]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
Launcher400.LNK - C:\applics\Launcher400\LNCsrv.exe [2005-09-06 17:16:43]
Windows Live Messenger.lnk - C:\WINDOWS\Installer\{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}\MsblIco.Exe [2007-07-06 09:22:06]

R1 WmiAcpi;Interface de gestion Microsoft Windows pour ACPI;C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
R2 ASANYs_nmc50;Base de données NMC50;"c:\Program Files\Sybase\SQL Anywhere 8\win32\dbsrv8.exe" -hvASANYs_nmc50
R2 cpqdfw;Pilote de diagnostic;\??\C:\WINDOWS\System32\drivers\cpqdfw.sys
R2 cq_mem;Pilote de mémoire de diagnostic;\??\C:\WINDOWS\System32\drivers\cq_mem.sys
R2 cqcpu;Pilote de processeur de diagnostic;\??\C:\WINDOWS\System32\drivers\cqcpu.sys
R2 hardlock;hardlock;\??\C:\WINDOWS\system32\drivers\hardlock.sys
R2 slapd-4760;Serveur de répertoire Sun ONE 5.2 (4760);c:\4760\Netscape\server5/bin/slapd/server/ns-slapd.exe
R2 SoundMAX Agent Service (par défaut);Service de l'agent SoundMAX;C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
R2 svc_mgr;Gestionnaire de service NMC;"c:\4760\bin\svc_mgr.exe"
R3 ExecdEx;Lanceur d'exécutables NMC;"c:\4760\bin\ExecdEx.exe"
R3 Extractor;Extracteur NMC;"c:\4760\bin\extractor.exe"
R3 LicenseServer;Serveur de licence NMC;"c:\4760\bin\LicenseServer.exe"
R3 NotifyService;Service de notification ORBacus;"c:\4760\bin\ns_service.exe"
R3 SaveRestore;NMC Sauvegarde/Restauration;"c:\4760\bin\save_restore.exe"
R3 Scheduler;Planificateur NMC;"c:\4760\bin\scheduler.exe"
R3 SecurityServer;Serveur de sécurité NMC;"c:\4760\bin\SecurityServer.exe"
S3 CTL511Plus;WebCam Video Blaster 3/WebCam Plus (WDM);C:\WINDOWS\system32\DRIVERS\webc3vid.sys
S3 nm;Pilote du Moniteur réseau;C:\WINDOWS\system32\DRIVERS\NMnt.sys
S3 ServiceOMC;ServiceOMC;C:\WINDOWS\system32\ServiceOMC.exe
S3 wampapache;wampapache;"c:\wamp\apache2\bin\httpd.exe" -k runservice
S3 wampmysqld;wampmysqld;c:\wamp\mysql\bin\mysqld-nt.exe --defaults-file=c:\wamp\mysql\my.ini wampmysqld
Start Pending3 ComServer;Serveur de communication NMC;"c:\4760\bin\ComServer.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- D:\Kelio\autorun\autorun.exe

*Nouveau service créé* - APACHE
*Nouveau service créé* - COMSERVER
*Nouveau service créé* - EXECDEX
*Nouveau service créé* - EXTRACTOR
*Nouveau service créé* - LICENSESERVER
*Nouveau service créé* - NOTIFYSERVICE
*Nouveau service créé* - SAVERESTORE
*Nouveau service créé* - SCHEDULER
*Nouveau service créé* - SECURITYSERVER

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - détecteur de malware/rootkit furtif par Gmer, http://www.gmer.net
Scan de rootkit 2007-08-10 09:15:06
Windows 5.1.2600 Service Pack 2 NTFS

scan des processus cachés ...

scan des entrées de registre cachées ...

scan des fichiers cachés ...

scan terminé avec succès
fichiers cachés : 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\admin52-serv]
"ImagePath"="c:/4760/Netscape/server5/bin/https/bin/ns-httpd.exe"

Heure d'achèvement : 2007-08-10 9:18:07 - la machine a été redémarrée
C:\ComboFix-quarantined-files.txt ... 2007-08-10 09:17

--- E O F ---

Merci encore :)
0
Respuesta 5 / 18
marco
 
Lo siento, no puedo ayudar con eso.
0
philae83 Mensajes publicados 12854 Estado Colaborador de seguridad 206
 
Buenas noches CurLy64,

marco,

debes crear un tema para tu problema para no interferir en este. Gracias. Alguien te ayudará.

pd: hola Quentin :)
--
Nunca hay un atajo hacia los lugares que valen la pena - Beverley Sills
0
Respuesta 6 / 18
Regis59 Mensajes publicados 21143 Fecha de registro   Estado Colaborador de seguridad Última intervención   1 349
 
Hola Catherine,

Gracias :-)

¡Ponte un HijackThis de nuevo!

¡A+!
--
"Soñé con un mundo mejor... Sin diferencia de colores... Igualdad..."-MLK-
0
Respuesta 7 / 18
CurLy64 Mensajes publicados 71 Estado Miembro 4
 
Esta mañana, he eliminado un trojan.vundo en system32 con el AV... definitivamente, es tenaz ese :/

Aquí está como se solicitó un nuevo registro de HiJackThis: 

Logfile de Trend Micro HijackThis v2.0.0 (BETA) Escaneo guardado en 12:43, el 2007-08-13 Plataforma: Windows XP SP2 (WinNT 5.01.2600) Modo de inicio: Normal Procesos en ejecución: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe c:\4760\Netscape\server5\bin\https\bin\ns-httpd.exe c:\4760\Netscape\server5\bin\https\bin\httpd.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\Symantec AntiVirus\SavRoam.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\Program Files\UltraVNC\WinVNC.exe C:\Program Files\MSN Messenger\usnsvc.exe c:\4760\Netscape\server5\bin\slapd\server\ns-slapd.exe c:\4760\Netscape\server5\bin\slapd\server\slapd.exe c:\Program Files\Sybase\SQL Anywhere 8\win32\dbsrv8.exe c:\4760\bin\svc_mgr.exe c:\4760\apache2\bin\apache.exe C:\4760\apache2\bin\apache.exe c:\4760\bin\ExecdEx.exe c:\4760\bin\extractor.exe c:\4760\bin\LicenseServer.exe c:\4760\bin\save_restore.exe c:\4760\bin\scheduler.exe c:\4760\bin\SecurityServer.exe c:\4760\bin\ns_service.exe c:\4760\bin\ComServer.exe c:\4760\bin\cmisd.exe c:\4760\bin\FaultManager.exe c:\4760\bin\GCSAdmin.exe c:\4760\bin\GCSConfig.exe c:\4760\bin\loader.exe c:\4760\bin\SyncLdapPbx.exe C:\Program Files\Citrix\Client ICA\ssonsvr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\SHARP\PCFAX2\PcfaxRcv.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Plantronics\PerSonoCall\PerSonoCall.exe C:\Program Files\InstantTimeZone\InstantTimeZone.exe C:\applics\Launcher400\LNCsrv.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\applics\Launcher400\LNCadm.exe C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe C:\Program Files\Alcatel_PIMphony\aocphone.exe C:\Program Files\lotus\notes\NLNOTES.EXE C:\Program Files\Webshots\webshots.scr C:\Program Files\Messenger\msmsgs.exe C:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe C:\Program Files\Alcatel_PIMphony\UAProc.exe C:\WINDOWS\System32\rsvp.exe C:\Program Files\Alcatel_PIMphony\abers.exe C:\Program Files\lotus\notes\ntaskldr.EXE C:\Program Files\mIRC\mirc.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE C:\Documents and Settings\janeau\Bureau\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local., R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: (sin nombre) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (sin nombre) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (sin archivo) O2 - BHO: (sin nombre) - {C8C729FD-9C9F-4D53-A419-EC5101ED52AF} - C:\WINDOWS\system32\geede.dll (archivo faltante) O3 - Barra de herramientas: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\COMPAQ\SetRefresh\\SetRefresh.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe" O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe" O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe" O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Receiver] C:\Program Files\SHARP\PCFAX2\PcfaxRcv.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PerSonoCall] "C:\Program Files\Plantronics\PerSonoCall\PerSonoCall.exe" -nosplash O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SERVICIO RED') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'Usuario predeterminado') O4 - Inicio: Lotus Notes 6.5.lnk = C:\Program Files\lotus\notes\notes.exe O4 - Inicio: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe O4 - Inicio: PIMphony.lnk = ? O4 - Inicio: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe O4 - Inicio global: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe O4 - Inicio global: Lanzamiento rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Inicio global: Launcher400.LNK = C:\applics\Launcher400\LNCsrv.exe O4 - Inicio global: Windows Live Messenger.lnk = ? O8 - Elemento del menú contextual adicional: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Botón adicional: (sin nombre) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Elemento de menú 'Herramientas' adicional: Consola Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Botón adicional: Búsqueda - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Botón adicional: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Elemento del menú 'Herramientas' adicional: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (Clase WUWebControl) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105936747789 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Dominio = intra.groupama.nc O17 - HKLM\Software\..\Telephony: NombreDominio = intra.groupama.nc O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Dominio = intra.groupama.nc O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Dominio = intra.groupama.nc O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Demonio de caché de categorías de componentes - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Servicio: Servicio Ad-Aware 2007 (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Servicio: Servidor de administración de Sun One 5.2 (admin52-serv) - Sun Microsystems Inc - c:/4760/Netscape/server5/bin/https/bin/ns-httpd.exe O23 - Servicio: Servidor de alarma NMC (AlarmServer) - Propietario desconocido - c:\4760\bin\FaultManager.exe O23 - Servicio: Apache - Apache Software Foundation - c:\4760\apache2\bin\apache.exe O23 - Servicio: Base de datos NMC50 (ASANYs_nmc50) - iAnywhere Solutions, Inc. - c:\Program Files\Sybase\SQL Anywhere 8\win32\dbsrv8.exe O23 - Servicio: Servicio Bonjour (Bonjour Service) - Propietario desconocido - C:\Program Files\Bonjour\mDNSResponder.exe (archivo faltante) O23 - Servicio: Servidor CMISE NMC (Cmisd) - Propietario desconocido - c:\4760\bin\cmisd.exe O23 - Servicio: Servidor de comunicación NMC (ComServer) - Propietario desconocido - c:\4760\bin\ComServer.exe O23 - Servicio: Función de comando a distancia de iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE O23 - Servicio: Observador de definiciones de Symantec AntiVirus (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Servicio: Servicio de administración del Administrador de disco lógico (dmadmin) - Propietario desconocido - C:\WINDOWS\System32\dmadmin.exe O23 - Servicio: Registro de eventos (Eventlog) - Propietario desconocido - C:\WINDOWS\system32\services.exe O23 - Servicio: Lanzador de ejecutables NMC (ExecdEx) - Propietario desconocido - c:\4760\bin\ExecdEx.exe O23 - Servicio: Extractor NMC (Extractor) - Propietario desconocido - c:\4760\bin\extractor.exe O23 - Servicio: Servidor de administración NMC GCS (GCSAdmin) - Propietario desconocido - c:\4760\bin\GCSAdmin.exe O23 - Servicio: Servidor de configuración NMC GCS (GCSConfig) - Propietario desconocido - c:\4760\bin\GCSConfig.exe O23 - Servicio: Administrador de tabla de controladores InstallDriver (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Servicio: Servicio IMAPI de grabación de CD (ImapiService) - Propietario desconocido - C:\WINDOWS\System32\imapi.exe O23 - Servicio: Servicio de iPod - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Servicio: Servidor de licencias NMC (LicenseServer) - Propietario desconocido - c:\4760\bin\LicenseServer.exe O23 - Servicio: Cargador NMC (Loader) - Propietario desconocido - c:\4760\bin\loader.exe O23 - Servicio: Compartición de Escritorio remoto NetMeeting (mnmsrvc) - Propietario desconocido - C:\WINDOWS\System32\mnmsrvc.exe O23 - Servicio: Servicio de notificaciones ORBacus (NotifyService) - Propietario desconocido - c:\4760\bin\ns_service.exe O23 - Servicio: Plug-and-Play (PlugPlay) - Propietario desconocido - C:\WINDOWS\system32\services.exe O23 - Servicio: Administrador de sesión de asistencia en el Escritorio remoto (RDSessMgr) - Propietario desconocido - C:\WINDOWS\system32\sessmgr.exe O23 - Servicio: Servicio de guardado/restauración NMC (SaveRestore) - Propietario desconocido - c:\4760\bin\save_restore.exe O23 - Servicio: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Servicio: Tarjeta inteligente (SCardSvr) - Propietario desconocido - C:\WINDOWS\System32\SCardSvr.exe O23 - Servicio: Programador NMC (Scheduler) - Propietario desconocido - c:\4760\bin\scheduler.exe O23 - Servicio: Servicio COM de grabación de CD IMAPI (ImapiService) - Propietario desconocido - C:\WINDOWS\System32\imapi.exe O23 - Servicio: Servidor de respaldo de mensajes (VNC Server) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe O23 - Servicio: Tarjeta de rendimiento WMI (WmiApSrv) - Propietario desconocido - C:\WINDOWS\System32\wbem\wmiapsrv.exe -- Fin del archivo - 12516 bytes


M'ci :)
0
Respuesta 8 / 18
Regis59 Mensajes publicados 21143 Fecha de registro   Estado Colaborador de seguridad Última intervención   1 349
 
Hola

Pon un informe de Combofix.

¡Hasta luego!
--
"Había soñado con un mundo mejor... Sin diferencias de colores... Igualdad..." -MLK-
0
Respuesta 9 / 18
CurLy64 Mensajes publicados 71 Estado Miembro 4
 
Es la historia sin fin versión informatizada :] 

ComboFix 07-08-09.3 - "bas" 2007-08-14 12:07:08.2 - NTFSx86 Microsoft Windows XP Profesional 5.1.2600.2.1252.1.1036.18.150 [GMT 11:00] ((((((((((((((((((((((((( Archivos creados desde 2007-07-14 hasta 2007-08-14 ))))))))))))))))))))))))))))))) 2007-08-10 09:08 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-10 08:23 <REP> d-------- C:\Program Files\Windows Live 2007-08-10 08:22 <REP> d-------- C:\Program Files\MessengerDiscovery 2007-08-09 12:16 <REP> d-------- C:\Program Files\MegauploadToolbar 2007-08-09 12:16 <REP> d-------- C:\DOCUME~1\janeau\APPLIC~1\MegauploadToolbar 2007-08-09 10:37 <REP> d-------- C:\VundoFix Backups 2007-08-07 11:27 <REP> d-------- C:\Program Files\The Cleaner 2007-08-06 14:45 <REP> d-------- C:\Program Files\Lavasoft 2007-08-06 14:45 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft 2007-08-06 14:44 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2007-08-06 09:11 <REP> d-------- C:\Program Files\RegCleaner 2007-08-03 12:49 <REP> d-------- C:\pps 2007-07-25 12:04 <REP> d-------- C:\Program Files\PhotoFiltre 2007-07-25 10:29 <REP> d-------- C:\DOCUME~1\janeau\A4902Logs 2007-07-23 10:57 <REP> d-------- C:\DOCUME~1\janeau\APPLIC~1\vlc 2007-07-23 09:29 <REP> d-------- C:\Program Files\VideoLAN 2007-07-16 16:09 <REP> d-------- C:\DOCUME~1\janeau\APPLIC~1\Alcatel PIMphony 2007-07-16 15:48 <REP> d-------- C:\Program Files\Nice Recorder 2007-07-16 15:43 <REP> d-------- C:\Program Files\FuzLez 2007-07-16 15:43 <REP> d-------- C:\DOCUME~1\janeau\APPLIC~1\FuzLez 2007-07-16 15:40 <REP> d-------- C:\My Recordings 2007-07-16 15:39 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll 2007-07-16 14:41 <REP> d-------- C:\Program Files\Audacity (((((((((((((((((((((((((((((((((((((((( Informe Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-14 11:47 --------- d-------- C:\Program Files\mIRC 2007-08-14 07:27 --------- d-------- C:\Program Files\Alcatel_PIMphony 2007-08-13 16:45 --------- d-------- C:\Program Files\Symantec AntiVirus 2007-08-10 08:23 --------- d-------- C:\Program Files\MSN Messenger 2007-08-08 16:32 --------- d-------- C:\Program Files\Bonjour 2007-08-07 15:22 0 --a------ C:\CONFIG.SYS 2007-08-07 15:22 0 --a------ C:\AUTOEXEC.BAT 2007-08-06 13:31 14336 --a--c--- C:\WINDOWS\system32\dllcache\svchost.exe 2007-08-06 13:31 14336 --a------ C:\WINDOWS\system32\svchost.exe 2007-07-25 11:39 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\gtk-2.0 2007-07-23 12:58 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\U3 2007-07-13 15:04 --------- d-------- C:\Program Files\Cain 2007-07-13 13:19 39424 --a------ C:\WINDOWS\zipinst.exe 2007-07-13 13:19 --------- d-------- C:\Program Files\MessenPass 2007-07-11 14:52 3888 --a------ C:\WINDOWS\system32\drivers\NTHANDLE.SYS 2007-07-02 09:06 --------- d-------- C:\Program Files\Webshots 2007-07-02 09:06 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\Webshots 2007-07-02 08:33 74752 --a------ C:\WINDOWS\ST6UNST.EXE 2007-07-02 08:33 290816 --------- C:\WINDOWS\Setup1.exe 2007-07-02 08:33 --------- d-------- C:\Program Files\SwitchWallPaper 2007-06-29 10:17 --------- d-------- C:\Program Files\MSN Pictures Displayer 2007-06-29 09:56 446976 --a------ C:\WINDOWS\system32\ShellMPD.dll 2007-06-29 09:56 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\MSN Pictures Displayer 2007-06-28 14:09 --------- d-------- C:\Program Files\PSPad editor 2007-06-28 14:09 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\WaterProof 2007-06-28 14:08 --------- d-------- C:\Program Files\WaterProof 2007-06-27 10:38 --------- d-------- C:\Program Files\Look@LAN 2007-06-27 10:32 720896 --a------ C:\WINDOWS\iun6002.exe 2007-06-26 14:40 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\X-Chat 2 2007-06-21 12:05 --------- d-------- C:\Program Files\InstantTimeZone 2007-06-20 08:23 45 ---h----- C:\WINDOWS\dsez2661.dat 2007-06-19 08:45 --------- d-------- C:\DOCUME~1\janeau\APPLIC~1\ICAClient 2007-06-19 08:32 --------- d-------- C:\Program Files\Citrix ((((((((((((((((((((((((((((((((((((( Puntos de carga del registro )))))))))))))))))))))))))))))))))))))))))))))))))) *Nota* las entradas vacías y las entradas predeterminadas legítimas no se muestran [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C8C729FD-9C9F-4D53-A419-EC5101ED52AF}] C:\WINDOWS\system32\geede.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2004-09-30 15:41] "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2004-09-30 15:37] "SetRefresh"="C:\Program Files\COMPAQ\SetRefresh\\SetRefresh.exe" [2003-11-20 18:01] "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-03-31 15:46] "Client Access Service"="C:\Program Files\IBM\Client Access\cwbsvstr.exe" [2002-05-07 05:20] "Client Access Help Update"="C:\Program Files\IBM\Client Access\cwbinhlp.exe" [2002-05-07 05:20] "Client Access Check Version"="C:\Program Files\IBM\Client Access\cwbckver.exe" [2002-05-07 05:20] "Client Access Express Welcome"="C:\Program Files\IBM\Client Access\cwbwlwiz.exe" [2002-05-07 05:20] "JobHisInit"="C:\Program Files\RMClient\JobHisInit.exe" [2000-09-28 19:52] "MplSetUp"="C:\Program Files\RMClient\MplSetUp.exe" [2000-11-04 21:09] "WinVNC"="C:\Program Files\UltraVNC\WinVNC.exe" [2004-06-20 20:45] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-03 19:21] "Receiver"="C:\Program Files\SHARP\PCFAX2\PcfaxRcv.exe" [2004-11-12 10:28] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-09-15 16:50] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09] "PerSonoCall"="C:\Program Files\Plantronics\PerSonoCall\PerSonoCall.exe" [2004-12-09 11:03] C:\Documents and Settings\janeau\Menú D‚marrer\Programas\D‚marrage\ Lotus Notes 6.5.lnk - C:\Program Files\lotus\notes\notes.exe [2004-09-15 05:39:00] MSN Pictures Displayer.lnk - C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe [2007-06-29 09:56:23] PIMphony.lnk - C:\Program Files\Alcatel_PIMphony\aocphone.exe [2007-05-16 09:11:24] Webshots.lnk - C:\Program Files\Webshots\Launcher.exe [2007-07-02 09:06:53] C:\Documents and Settings\Todos los usuarios\Menú D‚marrer\Programas\D‚marrage\ InstantTimeZone.lnk - C:\Program Files\InstantTimeZone\InstantTimeZone.exe [2006-09-03 02:39:36] Lançamento rápido de Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26] Launcher400.LNK - C:\applics\Launcher400\LNCsrv.exe [2005-09-06 17:16:43] Acceso directo a Windows Live Messenger.lnk - C:\WINDOWS\Installer\{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}\MsblIco.Exe [2007-07-06 09:22:06] R1 WmiAcpi;Interfaz de gestión de Microsoft Windows para ACPI;C:\WINDOWS\system32\DRIVERS\wmiacpi.sys R2 ASANYs_nmc50;Base de datos NMC50;"c:\Program Files\Sybase\SQL Anywhere 8\win32\dbsrv8.exe" -hvASANYs_nmc50 R2 cpqdfw;Controlador de diagnóstico;\??\C:\WINDOWS\System32\drivers\cpqdfw.sys R2 cq_mem;Controlador de diagnóstico de memoria;\??\C:\WINDOWS\System32\drivers\cq_mem.sys R2 cqcpu;Controlador de diagnóstico de CPU;\??\C:\WINDOWS\System32\drivers\cqcpu.sys R2 hardlock;hardlock;\??\C:\WINDOWS\system32\drivers\hardlock.sys R2 slapd-4760;Servidor de directorio Sun ONE 5.2 (4760);c:\4760\Netscape\server5/bin/slapd/server/ns-slapd.exe R2 SoundMAX Agent Service (predeterminado);Servicio de agente SoundMAX;C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe R2 svc_mgr;Gestor de servicio NMC;"c:\4760\bin\svc_mgr.exe" R3 AlarmServer;Servidor de alarma NMC;"c:\4760\bin\FaultManager.exe" R3 Cmisd;Servidor NMC CMISE;"c:\4760\bin\cmisd.exe" R3 ComServer;Servidor de comunicación NMC;"c:\4760\bin\ComServer.exe" R3 ExecdEx;Iniciador de ejecutables de NMC;"c:\4760\bin\ExecdEx.exe" R3 Extractor;Extractor NMC;"c:\4760\bin\extractor.exe" R3 GCSAdmin;Servidor de administración GCS NMC;"c:\4760\bin\GCSAdmin.exe" R3 GCSConfig;Servidor de configuración GCS NMC;"c:\4760\bin\GCSConfig.exe" R3 LicenseServer;Servidor de licencias NMC;"c:\4760\bin\LicenseServer.exe" R3 Loader;Cargador NMC;"c:\4760\bin\loader.exe" R3 NotifyService;Servicio de notificación ORBacus;"c:\4760\bin\ns_service.exe" R3 SaveRestore;Guardar/Restaurar NMC;"c:\4760\bin\save_restore.exe" R3 Scheduler;Programador NMC;"c:\4760\bin\scheduler.exe" R3 SecurityServer;Servidor de seguridad NMC;"c:\4760\bin\SecurityServer.exe" R3 SyncLdapPbx;Sincronización de Pbx/Ldap NMC;"c:\4760\bin\SyncLdapPbx.exe" S3 CTL511Plus;Cámara web Video Blaster 3/WebCam Plus (WDM);C:\WINDOWS\system32\DRIVERS\webc3vid.sys S3 nm;Controlador de red;C:\WINDOWS\system32\DRIVERS\NMnt.sys S3 ServiceOMC;ServicioOMC;C:\WINDOWS\system32\ServiceOMC.exe S3 wampapache;wampapache;"c:\wamp\apache2\bin\httpd.exe" -k runservice S3 wampmysqld;wampmysqld;c:\wamp\mysql\bin\mysqld-nt.exe --defaults-file=c:\wamp\mysql\my.ini wampmysqld [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] AutoRun\command- D:\Kelio\autorun\autorun.exe *Nuevo servicio creado* - ALARMSERVER *Nuevo servicio creado* - APACHE *Nuevo servicio creado* - CMISD *Nuevo servicio creado* - COMSERVER *Nuevo servicio creado* - EXECDEX *Nuevo servicio creado* - EXTRACTOR *Nuevo servicio creado* - GCSADMIN *Nuevo servicio creado* - GCSCONFIG *Nuevo servicio creado* - LICENSESERVER *Nuevo servicio creado* - LOADER *Nuevo servicio creado* - NOTIFYSERVICE *Nuevo servicio creado* - SAVERESTORE *Nuevo servicio creado* - SCHEDULER *Nuevo servicio creado* - SECURITYSERVER *Nuevo servicio creado* - SYNCLDAPPBX ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - detector de rootkits/ malware sigiloso por Gmer, http://www.gmer.net Escaneo de rootkits 2007-08-14 12:10:16 Windows 5.1.2600 Service Pack 2 NTFS escaneando procesos ocultos ... escaneando entradas de registro ocultas ... escaneando archivos ocultos ... el escaneo se completó con éxito archivos ocultos: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\admin52-serv] "ImagePath"="c:/4760/Netscape/server5/bin/https/bin/ns-httpd.exe" Hora de finalización: 2007-08-14 12:11:04 C:\ComboFix-quarantined-files.txt ... 2007-08-14 12:10 C:\ComboFix2.txt ... 2007-08-10 09:18 --- E O F ---


Tata :)
0
Respuesta 10 / 18
Regis59 Mensajes publicados 21143 Fecha de registro   Estado Colaborador de seguridad Última intervención   1 349
 
Désolé, je ne peux pas vous aider avec ça.
0
Respuesta 11 / 18
CurLy64 Mensajes publicados 71 Estado Miembro 4
 
No hace falta el registro en mi opinión, no encontró nada :)

Desde hace 2/3 días, ya no tengo alertas, ya no hay retrasos, en fin, parece que está solucionado.

Muchas gracias por tu ayuda Regis59, eres un crack ;)
0
Respuesta 12 / 18
Regis59 Mensajes publicados 21143 Fecha de registro   Estado Colaborador de seguridad Última intervención   1 349
 
Hola

¿No sería mejor terminar bien el trabajo, verdad? Asegurarse de que todo esté bien.

¡Hasta luego!
0
Respuesta 13 / 18
CurLy64 Mensajes publicados 71 Estado Miembro 4
 
Salut,

Bueno, como quieras, aquí tienes un nuevo log de HiJackThis fresquito de esta mañana :) 

Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 09:35, on 2007-08-20 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe c:\4760\Netscape\server5\bin\https\bin\ns-httpd.exe c:\4760\Netscape\server5\bin\https\bin\httpd.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\Symantec AntiVirus\SavRoam.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Citrix\Client ICA\ssonsvr.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\Program Files\UltraVNC\WinVNC.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\SHARP\PCFAX2\PcfaxRcv.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Plantronics\PerSonoCall\PerSonoCall.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\InstantTimeZone\InstantTimeZone.exe C:\applics\Launcher400\LNCsrv.exe C:\applics\Launcher400\LNCadm.exe C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe C:\Program Files\Alcatel_PIMphony\aocphone.exe C:\Program Files\Webshots\webshots.scr C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\rsvp.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Program Files\Alcatel_PIMphony\UAProc.exe C:\Program Files\Alcatel_PIMphony\abers.exe C:\WINDOWS\system32\WISPTIS.EXE c:\4760\Netscape\server5\bin\slapd\server\ns-slapd.exe c:\4760\Netscape\server5\bin\slapd\server\slapd.exe c:\Program Files\Sybase\SQL Anywhere 8\win32\dbsrv8.exe c:\4760\bin\svc_mgr.exe c:\4760\apache2\bin\apache.exe C:\4760\apache2\bin\apache.exe c:\4760\bin\ExecdEx.exe c:\4760\bin\extractor.exe c:\4760\bin\LicenseServer.exe c:\4760\bin\save_restore.exe c:\4760\bin\scheduler.exe c:\4760\bin\SecurityServer.exe c:\4760\bin\ns_service.exe c:\4760\bin\ComServer.exe c:\4760\bin\cmisd.exe c:\4760\bin\FaultManager.exe c:\4760\bin\GCSAdmin.exe c:\4760\bin\GCSConfig.exe c:\4760\bin\loader.exe c:\4760\bin\SyncLdapPbx.exe C:\Program Files\lotus\notes\NLNOTES.EXE C:\Program Files\lotus\notes\ntaskldr.EXE C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\mIRC\mirc.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\janeau\Bureau\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local., R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Enlaces O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: (sin nombre) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (sin nombre) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (sin nombre) - {C8C729FD-9C9F-4D53-A419-EC5101ED52AF} - C:\WINDOWS\system32\geede.dll (archivo faltante) O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\COMPAQ\SetRefresh\\SetRefresh.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe" O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe" O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" INGRESO O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe" O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Receiver] C:\Program Files\SHARP\PCFAX2\PcfaxRcv.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PerSonoCall] "C:\Program Files\Plantronics\PerSonoCall\PerSonoCall.exe" -nosplash O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SERVICIO RED') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (Usuario 'Usuario predeterminado') O4 - Inicio: Lotus Notes 6.5.lnk = C:\Program Files\lotus\notes\notes.exe O4 - Inicio: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe O4 - Inicio: PIMphony.lnk = ? O4 - Inicio: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe O4 - Inicio global: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe O4 - Inicio global: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Inicio global: Launcher400.LNK = C:\applics\Launcher400\LNCsrv.exe O4 - Inicio global: Windows Live Messenger.lnk = ? O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (sin nombre) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Consola Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Búsqueda - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (Clase WUWebControl) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105936747789 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Dominio = intra.groupama.nc O17 - HKLM\Software\..\Telephony: DomainName = intra.groupama.nc O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Dominio = intra.groupama.nc O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Dominio = intra.groupama.nc O22 - SharedTaskScheduler: Pre-cargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Demonio de caché de categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: Servicio Ad-Aware 2007 (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Sun One Administration Server 5.2 (admin52-serv) - Sun Microsystems Inc - c:/4760/Netscape/server5/bin/https/bin/ns-httpd.exe O23 - Service: Servidor de alarma NMC (AlarmServer) - Propietario desconocido - c:\4760\bin\FaultManager.exe O23 - Service: Apache - Apache Software Foundation - c:\4760\apache2\bin\apache.exe O23 - Service: NMC50 Database (ASANYs_nmc50) - iAnywhere Solutions, Inc. - c:\Program Files\Sybase\SQL Anywhere 8\win32\dbsrv8.exe O23 - Service: Servicio Bonjour (Bonjour Service) - Propietario desconocido - C:\Program Files\Bonjour\mDNSResponder.exe (archivo faltante) O23 - Service: Servidor CMISE de NMC (Cmisd) - Propietario desconocido - c:\4760\bin\cmisd.exe O23 - Service: Servidor de comunicación NMC (ComServer) - Propietario desconocido - c:\4760\bin\ComServer.exe O23 - Service: Función de comando remoto de iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE O23 - Service: Vigilante de definiciones de Symantec AntiVirus (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Servicio de administración del Gestor de disco lógico (dmadmin) - Propietario desconocido - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Registro de eventos (Eventlog) - Propietario desconocido - C:\WINDOWS\system32\services.exe O23 - Service: Lanzador de ejecutables de NMC (ExecdEx) - Propietario desconocido - c:\4760\bin\ExecdEx.exe O23 - Service: Extractor de NMC (Extractor) - Propietario desconocido - c:\4760\bin\extractor.exe O23 - Service: Servidor de administración GCS de NMC (GCSAdmin) - Propietario desconocido - c:\4760\bin\GCSAdmin.exe O23 - Service: Servidor de configuración GCS de NMC (GCSConfig) - Propietario desconocido - c:\4760\bin\GCSConfig.exe O23 - Service: Administrador de tabla InstallDriver (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Servicio COM de grabación de CD IMAPI (ImapiService) - Propietario desconocido - C:\WINDOWS\System32\imapi.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Servidor de licencias de NMC (LicenseServer) - Propietario desconocido - c:\4760\bin\LicenseServer.exe O23 - Service: Cargador de NMC (Loader) - Propietario desconocido - c:\4760\bin\loader.exe O23 - Service: Compartición de escritorio remoto NetMeeting (mnmsrvc) - Propietario desconocido - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Servicio de notificación ORBacus (NotifyService) - Propietario desconocido - c:\4760\bin\ns_service.exe O23 - Service: Plug-and-Play (PlugPlay) - Propietario desconocido - C:\WINDOWS\system32\services.exe O23 - Service: Gestor de sesión de ayuda en el Escritorio remoto (RDSessMgr) - Propietario desconocido - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Servidor de guardado/restauración de NMC (SaveRestore) - Propietario desconocido - c:\4760\bin\save_restore.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Tarjeta de chip (SCardSvr) - Propietario desconocido - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Programador NMC (Scheduler) - Propietario desconocido - c:\4760\bin\scheduler.exe O23 - Service: Servidor de seguridad NMC (SecurityServer) - Propietario desconocido - c:\4760\bin\SecurityServer.exe O23 - Service: ServiceOMC - Propietario desconocido - C:\WINDOWS\system32\ServiceOMC.exe O23 - Service: Servidor de directorio Sun ONE 5.2 (4760) (slapd-4760) - Propietario desconocido - c:\4760\Netscape\server5/bin/slapd/server/ns-slapd.exe O23 - Service: Servicio de agente SoundMAX (Servicio de agente SoundMAX (predeterminado)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Gestor de servicios de NMC (svc_mgr) - Propietario desconocido - c:\4760\bin\svc_mgr.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe O23 - Service: Sincronización NMC Pbx/Ldap (SyncLdapPbx) - Propietario desconocido - c:\4760\bin\SyncLdapPbx.exe O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Propietario desconocido - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Telnet (TlntSvr) - Propietario desconocido - C:\WINDOWS\System32\tlntsvr.exe O23 - Service: Cliché instantáneo de volumen (VSS) - Propietario desconocido - C:\WINDOWS\System32\vssvc.exe O23 - Service: wampapache - Apache Software Foundation - c:\wamp\apache2\bin\httpd.exe O23 - Service: wampmysqld - Propietario desconocido - c:\wamp\mysql\bin\mysqld-nt.exe O23 - Service: Servidor VNC (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe O23 - Service: Tarjeta de rendimiento WMI (WmiApSrv) - Propietario desconocido - C:\WINDOWS\System32\wbem\wmiapsrv.exe -- Fin del archivo - 12430 bytes


¡Adiós!
--
sfc.olympe-network.com
0
Respuesta 14 / 18
Regis59 Mensajes publicados 21143 Fecha de registro   Estado Colaborador de seguridad Última intervención   1 349
 
Hola

¿Es una PC de escritorio, verdad?

¤Reinicia HijackThis, marca las casillas frente a estas líneas y luego haz clic en "fix checked":

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (sin nombre) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (sin archivo)

O2 - BHO: (sin nombre) - {C8C729FD-9C9F-4D53-A419-EC5101ED52AF} - C:\WINDOWS\system32\geede.dll (archivo faltante)

Cierra HijackThis.

A+
0
Respuesta 15 / 18
CurLy64 Mensajes publicados 71 Estado Miembro 4
 
Hola Regis,

Sí, es un PC de escritorio, voy a arreglar todo eso, gracias :)
--
sfc.olympe-network.com
0
Respuesta 16 / 18
Regis59 Mensajes publicados 21143 Fecha de registro   Estado Colaborador de seguridad Última intervención   1 349
 
Ok,

¿Cómo van tus problemas?

a+
0
Respuesta 17 / 18
CurLy64 Mensajes publicados 71 Estado Miembro 4
 
No hay más, gracias a tu ayuda :)

Muchas gracias :)

--
sfc.olympe-network.com
0
Respuesta 18 / 18
Regis59 Mensajes publicados 21143 Fecha de registro   Estado Colaborador de seguridad Última intervención   1 349
 
De nada,

Buenas noches
0