Jump to content
almendra

tengo problemas con uno de los navegadores y con borrar actividad de usuario

Recommended Posts

Gracias Caos , no se más que hacer con ese archivo temporal y ademas tengo una intrusión no definida, o sea dos problemas, saludos

 

 

No puedo bajar el unlocker proque me dice que esta siendo utilizado por otra persona, para mi que esto es un hackeo, saludos

Share this post


Link to post

Desde luego en tu GSI aparece algo extraño en la sección Run:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [79]

C:\Archivos de programa\C&E\OSD\osd.exe -> osd MFC Application

C:\WINDOWS\RTHDCPL.exe -> Realtek HD Audio Control Panel

C:\WINDOWS\SkyTel.exe -> Realtek Voice Manager

C:\WINDOWS\Alcmtr.exe -> Realtek Azalia Audio - Event Monitor

C:\Archivos de programa\Motorola\SMSERIAL\sm56hlpr.exe -> Application executable file

NBDriver : D:\NBDriver.exe

{02478D38-C3F9-4efb-9B51-7695ECA05670} :

C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll -> Yahoo! Single Instance for Mail

ThreadingModel : Apartment

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} :

{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} :

AppID : {39DCCEAF-C749-4390-9953-527CF916935C}

{5C255C8A-E604-49b4-9D64-90988571CECB} :

{9030D464-4C02-4ABF-8ECC-5164760863C6} :

{E33CF602-D945-461A-83F0-819F76A199F8} :

{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} :

:

:

DeviceClass : SYSTEM

DeviceName : Controlador BIOS de Microsoft System Management

DriverDate : 20010107000000.******+***

DriverProviderName : Microsoft

DriverVersion : 5.1.2600.5512

FriendlyName :

IsSigned : True

Location :

Manufacturer : (Dispositivos de sistema estándar)

Status : OK

:

:

Name : C$

Path : C:\WINDOWS\Temp\

Description : Bad file name or number

AllowMaximum : True

:

:

TCP<||||>svchost.exe||5.1.2600.5512 (xpsp.080413-2111)||5.1.2600.5512||Aplicación||C:\WINDOWS\system32\||14,0KB (14.336 bytes)||||2008/04/14 09:00:00||2008/04/14 09:00:00||2011/09/28 15:24:56||0||1||0||0||0||0||Microsoft® Windows® Operating System||Generic Host Process for Win32 Services||© Microsoft Corporation. All rights reserved.||4f2340f0bd5b6365c38e74dd391919a8||<||||>0.0.0.0<||||>135<||||>0.0.0.0<||||>6216<||||>LISTEN :

TCP<||||>avp.exe||12.0.0.374||12.0.0.374||Aplicación||C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2012\||198KB (202.296 bytes)||||2011/04/24 23:15:02||2011/04/24 23:15:02||2011/09/28 14:45:28||0||1||0||0||0||0||Kaspersky Anti-Virus||Kaspersky Anti-Virus||© 1997-2011 Kaspersky Lab ZAO.||2718dc27571bd1e37813f5759d2dc118||<||||>0.0.0.0<||||>1027<||||>0.0.0.0<||||>40990<||||>LISTEN :

TCP<||||>avp.exe||12.0.0.374||12.0.0.374||Aplicación||C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2012\||198KB (202.296 bytes)||||2011/04/24 23:15:02||2011/04/24 23:15:02||2011/09/28 14:45:28||0||1||0||0||0||0||Kaspersky Anti-Virus||Kaspersky Anti-Virus||© 1997-2011 Kaspersky Lab ZAO.||2718dc27571bd1e37813f5759d2dc118||<||||>0.0.0.0<||||>1110<||||>0.0.0.0<||||>45091<||||>LISTEN :

TCP<||||>alg.exe||5.1.2600.5512 (xpsp.080413-0852)||5.1.2600.5512||Aplicación||C:\WINDOWS\system32\||43,5KB (44.544 bytes)||||2008/04/14 09:00:00||2008/04/14 09:00:00||2011/09/28 15:24:39||0||1||0||0||0||0||Microsoft® Windows® Operating System||Application Layer Gateway Service||© Microsoft Corporation. All rights reserved.||764b7a1e6ae2d70416a7932f3b97ac99||<||||>127.0.0.1<||||>1031<||||>0.0.0.0<||||>39119<||||>LISTEN :

TCP<||||>firefox.exe||6.0.2||6.0.2||Aplicación||C:\Archivos de programa\Mozilla Firefox\||903KB (924.632 bytes)||||2011/08/03 15:22:55||2011/09/08 18:23:25||2011/09/28 15:23:55||0||1||0||0||0||0||Firefox||Firefox||©Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL 2.1 licenses, as applicable.||63346640e170b63970c093f720065dab||<||||>127.0.0.1<||||>1109<||||>127.0.0.1<||||>1111<||||>ESTAB :

TCP<||||>avp.exe||12.0.0.374||12.0.0.374||Aplicación||C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2012\||198KB (202.296 bytes)||||2011/04/24 23:15:02||2011/04/24 23:15:02||2011/09/28 14:45:28||0||1||0||0||0||0||Kaspersky Anti-Virus||Kaspersky Anti-Virus||© 1997-2011 Kaspersky Lab ZAO.||2718dc27571bd1e37813f5759d2dc118||<||||>127.0.0.1<||||>1110<||||>127.0.0.1<||||>1425<||||>ESTAB :

TCP<||||>firefox.exe||6.0.2||6.0.2||Aplicación||C:\Archivos de programa\Mozilla Firefox\||903KB (924.632 bytes)||||2011/08/03 15:22:55||2011/09/08 18:23:25||2011/09/28 15:23:55||0||1||0||0||0||0||Firefox||Firefox||©Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL 2.1 licenses, as applicable.||63346640e170b63970c093f720065dab||<||||>127.0.0.1<||||>1111<||||>127.0.0.1<||||>1109<||||>ESTAB :

TCP<||||>firefox.exe||6.0.2||6.0.2||Aplicación||C:\Archivos de programa\Mozilla Firefox\||903KB (924.632 bytes)||||2011/08/03 15:22:55||2011/09/08 18:23:25||2011/09/28 15:23:55||0||1||0||0||0||0||Firefox||Firefox||©Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL 2.1 licenses, as applicable.||63346640e170b63970c093f720065dab||<||||>127.0.0.1<||||>1112<||||>127.0.0.1<||||>1113<||||>ESTAB :

TCP<||||>firefox.exe||6.0.2||6.0.2||Aplicación||C:\Archivos de programa\Mozilla Firefox\||903KB (924.632 bytes)||||2011/08/03 15:22:55||2011/09/08 18:23:25||2011/09/28 15:23:55||0||1||0||0||0||0||Firefox||Firefox||©Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL 2.1 licenses, as applicable.||63346640e170b63970c093f720065dab||<||||>127.0.0.1<||||>1113<||||>127.0.0.1<||||>1112<||||>ESTAB :

TCP<||||>wmiprvse.exe||5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)||5.1.2600.5755||Aplicación||C:\WINDOWS\system32\wbem\||223KB (227.840 bytes)||||2011/08/02 17:51:07||2009/02/06 07:10:02||2011/09/28 15:24:00||0||1||0||0||0||0||Microsoft® Windows® Operating System||WMI||© Microsoft Corporation. All rights reserved.||798a9e6828997eef4517ada8a2259831||<||||>127.0.0.1<||||>1425<||||>127.0.0.1<||||>1110<||||>ESTAB :

TCP<||||>avp.exe||12.0.0.374||12.0.0.374||Aplicación||C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2012\||198KB (202.296 bytes)||||2011/04/24 23:15:02||2011/04/24 23:15:02||2011/09/28 14:45:28||0||1||0||0||0||0||Kaspersky Anti-Virus||Kaspersky Anti-Virus||© 1997-2011 Kaspersky Lab ZAO.||2718dc27571bd1e37813f5759d2dc118||<||||>186.22.213.121<||||>1426<||||>200.123.197.178<||||>80<||||>ESTAB :

UDP<||||>lsass.exe||5.1.2600.5512 (xpsp.080413-2113)||5.1.2600.5512||Aplicación||C:\WINDOWS\system32\||13,0KB (13.312 bytes)||||2008/04/14 09:00:00||2008/04/14 09:00:00||2011/09/28 15:24:55||0||1||0||0||0||0||Microsoft® Windows® Operating System||LSA Shell (Export Version)||© Microsoft Corporation. All rights reserved.||671aca589da3733fac878a751c5bf0ed||<||||>*<||||>*<||||> :

UDP<||||>svchost.exe||5.1.2600.5512 (xpsp.080413-2111)||5.1.2600.5512||Aplicación||C:\WINDOWS\system32\||14,0KB (14.336 bytes)||||2008/04/14 09:00:00||2008/04/14 09:00:00||2011/09/28 15:25:10||0||1||0||0||0||0||Microsoft® Windows® Operating System||Generic Host Process for Win32 Services||© Microsoft Corporation. All rights reserved.||4f2340f0bd5b6365c38e74dd391919a8||<||||>*<||||>*<||||> :

UDP<||||>WINWORD.EXE||12.0.6545.5000||12.0.6545.5000||Aplicación||C:\Archivos de programa\Microsoft Office\Office12\||399KB (408.936 bytes)||||2010/08/13 13:04:34||2010/08/13 13:04:34||2011/09/28 15:14:38||0||1||0||0||0||0||2007 Microsoft Office system||Microsoft Office Word||© 2006 Microsoft Corporation. All rights reserved.||81df1d2312ce980b844a6bc0863fe40f||<||||>*<||||>*<||||> :

UDP<||||>svchost.exe||5.1.2600.5512 (xpsp.080413-2111)||5.1.2600.5512||Aplicación||C:\WINDOWS\system32\||14,0KB (14.336 bytes)||||2008/04/14 09:00:00||2008/04/14 09:00:00||2011/09/28 15:25:12||0||1||0||0||0||0||Microsoft® Windows® Operating System||Generic Host Process for Win32 Services||© Microsoft Corporation. All rights reserved.||4f2340f0bd5b6365c38e74dd391919a8||<||||>*<||||>*<||||> :

:

:

# Copyright © 1993-1999 Microsoft Corp. :

# :

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows. :

# Este archivo contiene las asignaciones de las direcciones IP a los nombres de :

# host. Cada entrada debe permanecer en una línea individual. La dirección IP :

# debe ponerse en la primera columna, seguida del nombre de host correspondiente. :

# La dirección IP y el nombre de host deben separarse con al menos un espacio. :

# También pueden insertarse comentarios (como éste) en líneas individuales :

# o a continuación del nombre de equipo indicándolos con el símbolo "#" :

# Por ejemplo: :

# 102.54.94.97 rhino.acme.com # servidor origen :

# 38.25.63.10 x.acme.com # host cliente x :

127.0.0.1 localhost :

:

:

Files :

:

:

Sub : GetRegistryforGSI

Error : 52

Source : GetSystemInfo

HelpFile :

:

:

7aa85ceab0bd18b9be21131ec6570634 :

:

 

Todo es imposible que esté dentro de esa sección, al máximo las 8 primeras líneas, pero no todo lo demás ... o bien tienes el registro de Windows dañado, o el GSI se ha vuelto al loco al generar el informe ...

 

Esto también me parece sospechoso: NBDriver : D:\NBDriver.exe

 

Saludos.

Share this post


Link to post
Desde luego en tu GSI aparece algo extraño en la sección Run:

Todo es imposible que esté dentro de esa sección, al máximo las 8 primeras líneas, pero no todo lo demás ... o bien tienes el registro de Windows dañado, o el GSI se ha vuelto al loco al generar el informe ...

 

Esto también me parece sospechoso: NBDriver : D:\NBDriver.exe

 

Saludos.

 

 

Gracias por contester, harland, no puedo ni siquiera mandarlo al laboratorio ya que no lo puedo comprimir alli ni cargarlo, de lo que me has puesto deduzco que es el informe que envié, pero soy nula para los ordenadores, asi que no entiendo mucho,s aludos

Share this post


Link to post

Postea tu combofix log:

 

Descargalo de aqu: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Antes de guardar, por favor renómbralo a 123.exe para parar al malware y que no pueda deshabilitarlo.

 

Ahora, por favor, asegúrate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar

manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.

 

Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.

Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto

puede causar problemas en el equipo. La exploración/escaneado puede tomar bastante tiempo para completarse, esto es normal.

 

Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es

normal y apareceran en cuanto la exploración haya terminado.

 

Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estará situado en

c:\combofix.txt, por favor, adjúntalo en tu siguiente post.

 

Saludos.

Share this post


Link to post
Gracias , el f8 es tambien en la notebook? saludos

Sí.

Cuando empiece a iniciarse el ordenador (pantalla negra y letras blancas) pulsa el botón F8 repetidamente hasta que te salga un menú.

Con la flecha elige Modo seguro. Luego cuando termine de arrancar eliminas ese fichero

 

Share this post


Link to post
Postea tu combofix log:

 

Descargalo de aqu: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Antes de guardar, por favor renómbralo a 123.exe para parar al malware y que no pueda deshabilitarlo.

 

Ahora, por favor, asegúrate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar

manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.

 

Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.

Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto

puede causar problemas en el equipo. La exploración/escaneado puede tomar bastante tiempo para completarse, esto es normal.

 

Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es

normal y apareceran en cuanto la exploración haya terminado.

 

Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estará situado en

c:\combofix.txt, por favor, adjúntalo en tu siguiente post.

 

Saludos.

 

Hola harlan hice lo que me dijiste de f8 y aparentemente lo he eliminado al archivo, ahora con esto que me dices puedo analizar la intrusion.WIN.NETAP? no definido?

Gracias por su ayuda, saludos.

 

Share this post


Link to post
Sí.

Cuando empiece a iniciarse el ordenador (pantalla negra y letras blancas) pulsa el botón F8 repetidamente hasta que te salga un menú.

Con la flecha elige Modo seguro. Luego cuando termine de arrancar eliminas ese fichero

 

Gracias RadarpSP, saludos.

 

Share this post


Link to post
Realiza las instrucciones par generar el registro del combofix, como te indiqué antes.

 

Saludos.

 

hola buenas noches, el archivo ahora es

perflib_perdata9f9dat se ha generado hace un rato y dice que actua sobre el sistema operativo,. las acciones que me has dicho, no las sé hacer ya que noh sé suspender el antivirus y activarlo manualmente, tampoco renombrar el archivo, esto estña cada vez peor, saludos.

Share this post


Link to post

Ese archivo no es mailicioso, no debes borrarlo ... y no podrás borrarlo porque lo mantiene bloqueado y en uso algún programa o algún servicio del sistema operativo.

 

No es tan difícil: ve al icono de Kaspersky en la barra de tareas, pulsa el botón derecho del ratón sobre él y elige: Salir, y acepta. Con esto ya tienes tu Kaspersky deshabilitado, para correr el combofix.

 

Renombrar un archivo: pulsa el botón derecho del ratón sobre el archivo a renombrar, en el menú que te aparece -> Cambiar nombre ...

 

Saludos.

Share this post


Link to post

y que es INTRUSION.WIN.NETAP.buffer-overflow.exploit

me figura en informe ¿sera un hackeo?,saludos.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.