Foro de Spyware - Ver Mensaje Individual - MediaGatewayX... y qué más? (Finalizado)

Tema: MediaGatewayX... y qué más? (Finalizado)

Ver Mensaje Individual

post #8 (permalink)

02/02/06, 10:43:45

darkaats

Usuario

Registrado: ene 2006

Ubicación: Argentina

Mensajes: 15

Re: MediaGatewayX... y qué más?

GPastor, antes que nada te agradezco por tu paciencia.

Esto es lo que hice:

F8 >
Ejecuté Ad-Aware SE actualizado: 16 Dataminer eliminados. >

Ejecuté VX2: System Status=Clean >

Ejecuté VX2Finder y este es el Log:

Log for VX2.BetterInternet File Finder (msg126)

Files Found---

Additional Files---

Keys Under Notify---
crypt32chain
cryptnet
cscdll
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
wlballoon

Guardian Key--- is called:

Nota: no entiendo ni jota sobre este log ni qué debo hacer en él, ya que el manual no lo dice. Voy a revisar en algún post del foro.

* Pase el Spybot S&D y encontré una entrada DROPER más un mensaje de advertencia que dice: "Error durante el análisis!
Winpup32 (Ungültiger Datentyp für ")". Lo volví a pasar y dijo que el sistema estaba limpio aunque el mensaje de advertencia aparece igual. >

Ejecuté el Kill2Me:
1. Puso el siguiente mensaje: No signs of an infection were found en your system, you may not be infected. Continue anyway. SI
2. Literalmente avisó que la infección había sido removida si alguna vez estuvo presente.
3. Aparecí en el Explorador de Windows\Mis Documentos (?) >

Ejecuté el HijackThis - Misc - Open Host File Manager. Solo está el localhost. >

Nota: el hecho de borrar entradas "similares" como dice en el manual, resulta un término ambiguo para un neófito como yo. Una sola letra en el nombre de un archivo marca la diferencia entre el día y la noche, así que eliminé aquello que me pareció antes de cometer un desastre. Por lo demás, admito que antes me comí una parte del manual (entradas Host en el HijackThis).

Ahora voy a reiniciar, se ejecutará el A-Squared y voy a pegar el nuevo log del HijackThis aquí abajo:

************************************************** ************************************************** ************************************************** ****
Logfile of HijackThis v1.99.1
Scan saved at 11:52:48 a.m., on 02/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\WinPoET\WrOS.EXE
C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe
C:\Archivos de programa\WinPoET\winpppoverethernet.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\a-squared\a2guard.exe
C:\WINDOWS\System32\devldr32.exe
C:\Archivos de programa\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://v4.windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = PC DURINGER
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 209.237.241.30 www.cracksearch.ws
O1 - Hosts: 147.45.35.153 www.freeserials.com
O1 - Hosts: 195.140.141.53 www.eurowarez.net
O1 - Hosts: 65.75.187.161 www.warezddls.com
O1 - Hosts: 64.71.180.8 64.71.180.8
O1 - Hosts: 82.179.162.5 www.crackportal.com
O1 - Hosts: 70.58.145.81 www.s2kboard.org
O1 - Hosts: 64.233.171.19 mail.google.com
O1 - Hosts: 216.109.118.227 ar.f604.mail.yahoo.com
O1 - Hosts: 216.109.127.60 login.yahoo.com
O1 - Hosts: 195.224.49.192 www.loopmasters.com
O1 - Hosts: 194.150.224.32 www.reasonfreaks.com
O1 - Hosts: 204.71.191.200 lb.bcentral.com
O1 - Hosts: 65.54.134.158 groups.msn.com
O1 - Hosts: 65.54.179.238 accountservices.msn.com
O1 - Hosts: 65.54.183.198 login.passport.com
O1 - Hosts: 65.54.183.195 login.passport.net
O1 - Hosts: 65.110.44.101 www.emule.us
O1 - Hosts: 82.223.187.44 www.adslzone.net
O1 - Hosts: 69.44.154.89 forum.emule-project.net
O1 - Hosts: 66.96.219.117 www.kreativsounds.com
O1 - Hosts: 66.152.98.202 comunidadreason.com
O1 - Hosts: 66.152.98.202 www.comunidadreason.com
O1 - Hosts: 62.81.185.58 www.laorejadigital.com
O1 - Hosts: 82.194.71.75 www.abcdatos.com
O1 - Hosts: 82.194.71.75 buscador.abcdatos.com
O1 - Hosts: 67.18.82.114 www.hostrentable.com
O1 - Hosts: 82.179.162.35 keygen.us
O1 - Hosts: 83.98.158.164 crackzplanet.com
O1 - Hosts: 195.161.113.90 www.crackz.ws
O1 - Hosts: 72.36.176.236 72.36.176.236
O1 - Hosts: 154.37.1.166 php.crack.cd
O1 - Hosts: 80.91.91.254 configurarequipos.com
O1 - Hosts: 64.215.170.193 www.pandasoftware.es
O1 - Hosts: 72.246.48.10 www.symantec.com
O1 - Hosts: 200.16.99.25 www.nic.ar
O1 - Hosts: 217.115.203.20 www.tawapunco.tk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [a-squared] "C:\Archivos de programa\a-squared\a2guard.exe"
O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Bajar web con LeechGet - file://C:\Archivos de programa\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://C:\Archivos de programa\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Descargar usando LeechGet - file://C:\Archivos de programa\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\ARCHIV~1\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\ARCHIV~1\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O9 - Extra button: Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Advanced Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET\WrOS.EXE

************************************************** ************************************************** ************************************************** ****

Otra cosa: por qué puede ser que en algún log de esta batería de programas aparezca como cabecera y cierre la referencia a Tweak Master (acelerador de DNS) cuando hace tiempo que lo desinstalé?

PD. Espero que ahora sí esté bien, pues entiendo que no es liviano para nadie estar analizando logs.

PPD. No. No está bien. No pude enviar este mensaje a la primera ya que se cayó la conexión. El Trojan Remover tiene conflictos con el A2Guard y tuve que cerrar este último para poder ejecutarlo: todo limpio pero me cambia la página de inicio a Windows Update...