Discussion:
Win32:Cycbot [Trj]??? o qué pasa??
(demasiado antiguo para responder)
Eva
2010-10-20 22:45:04 UTC
Permalink
¡Hola! Hace unos días estuve leyendo el grupo para ver cómo iban las
cosas mientras pensaba que era una suerte no tener problemas de
virus...y voilá!!!: aquí estoy pidiendo un cable al siempre presente
c.b. (un saludo!!!).

Hoy veo que se ralentiza el funcionamiento del portátil, empieza a
hacer cosas raras abriendo ventanas que yo no he pedido y buscando
información en internet, pincho un enlace y se abre otro rarísimo que
no tiene nada que ver con la búsqueda inicial. He podido rescatar
éste:

http://clk.relestar.com/feed/click/?t=1287613264.327&x=dU1oclBVCbzguiI8XrGXcvwmfTvRYY-XQqfaVNcGb0oNotjTwVCMrEju-9yVE8x1MDRxKQvGs7YEiUWySEfXpvJqoLNzwMPEtjoMQKtLlvZrPXDdoW2h5ID88hlXegIKqkRwWbV6x1KWppArXsiArOm-GufxA2XskL21Ymoy39cqJNfVNeqU-VClCjvgHPKixl0Yc60R_DXSnlhevxPBQ36NFO6BxF6SLIRTnSQ40kw920nKDJ4jge698O7oPVn4F2Qskc9JSLsZhikcLdPKk7S_jPr1WtjmUUhZou_jXHea4Ze5mTB6C1-RO3JUbOu011QGuDZN8csxtxTS2zfzFQ

Un par de veces me ha avisado el antivirus de un troyano al abrir una
web (buscaba cosas sobre Munich, mira tú qué peligroso!!).
Utilizaba en ese momento Google Chrome. He probado con IE y también
sucede. Ahora rescato el log:

20/10/2010 17:28:57 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0)
File was successfully moved to chest...
20/10/2010 17:34:38 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0)
File was successfully moved to chest...
20/10/2010 17:55:46 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0)
File was successfully moved to chest...
20/10/2010 21:58:59 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0)
File was successfully moved to chest...
21/10/2010 0:00:21 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0)
File was successfully moved to chest...

He echado un ojo por internet y veo que existe un Win32 cybot...¿es el
mismo?.

He pensado qué he hecho de raro o especial hoy: salvo conectarme por
primera vez con jazztel (router nuevo y esas cosas) he bajado un
programa de softonic para hablar por tfno. a través del ordenador.
Tengo un portátil ACER ASPIRE 5670 con Windows XP, antivirus AVAST
que, en 2 años, no ha dejado colarse nada. He hecho un scan completo y
no reporta nada.
Gracias anticipadas por vuestra opinión.
Abrazos.
Eva
c.b.
2010-10-21 08:42:18 UTC
Permalink
El Wed, 20 Oct 2010 15:45:04 -0700, Eva escribió:

[...]
Hoy veo que se ralentiza el funcionamiento del portátil, empieza a hacer
cosas raras abriendo ventanas que yo no he pedido y buscando información
en internet, pincho un enlace y se abre otro rarísimo que no tiene nada
hxxp://clk.relestar.com/feed/click/?
t=1287613264.327&x=dU1oclBVCbzguiI8XrGXcvwmfTvRYY-
XQqfaVNcGb0oNotjTwVCMrEju-9yVE8x1MDRxKQvGs7YEiUWySEfXpvJqoLNzwMPEtjoMQKtLlvZrPXDdoW2h5ID88hlXegIKqkRwWbV6x1KWppArXsiArOm-
GufxA2XskL21Ymoy39cqJNfVNeqU-
VClCjvgHPKixl0Yc60R_DXSnlhevxPBQ36NFO6BxF6SLIRTnSQ40kw920nKDJ4jge698O7oPVn4F2Qskc9JSLsZhikcLdPKk7S_jPr1WtjmUUhZou_jXHea4Ze5mTB6C1-
RO3JUbOu011QGuDZN8csxtxTS2zfzFQ
Un par de veces me ha avisado el antivirus de un troyano al abrir una
web (buscaba cosas sobre Munich, mira tú qué peligroso!!). Utilizaba en
ese momento Google Chrome. He probado con IE y también sucede. Ahora
20/10/2010 17:28:57 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0) File was
successfully moved to chest... 20/10/2010 17:34:38 C:\Documents and
Settings\Eva\Datos de programa \Microsoft\Windows\shell.exe [L]
Win32:Cycbot [Trj] (0) File was successfully moved to chest...
20/10/2010 17:55:46 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0) File was
successfully moved to chest... 20/10/2010 21:58:59 C:\Documents and
Settings\Eva\Datos de programa \Microsoft\Windows\shell.exe [L]
Win32:Cycbot [Trj] (0) File was successfully moved to chest...
21/10/2010 0:00:21 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0) File was
successfully moved to chest...
He pensado qué he hecho de raro o especial hoy: salvo conectarme por
primera vez con jazztel (router nuevo y esas cosas) he bajado un
programa de softonic para hablar por tfno. a través del ordenador. Tengo
un portátil ACER ASPIRE 5670 con Windows XP, antivirus AVAST que, en 2
años, no ha dejado colarse nada. He hecho un scan completo y no reporta
nada.
Hola Eva, tiempo sin leerte ;))
¿De que programa es el log que adjuntas y que define al "malware" como
Win32:Cycbot?
Si es ese el problema, se trataría de un "FakeAlert": se pillan navegando
por paginas infectadas (código embebido y esas cosas). Si el antivirus no
logra eliminarlo, prueba a limpiar todos los archivos temporales y a
vaciar la caché de los navegadores que uses. Hazlo arrancando en modo
seguro. Si aun así sigues con el problema, danos nuevos datos de los logs
que te aparezcan; pero tranquila que el problema se soluciona.
Best regards
c.b.
Eva
2010-10-22 17:54:26 UTC
Permalink
Hola c.b.:
Sí que hacía tiempo, sí!!!
Gracias por la respuesta pronta. He seguido tus instrucciones y,
aparentemente, he podido
solventarlo. A cambio, no podía conectarme a internet ni con Chrome ni
con IE. Me salía error 102.
Lo he buscado en internet y lo he solventado. Parece que ahora todo
marcha bien...y por fin he podido
probar la velocidad superior de Jazztel (recién instalado, como
comenté).
De todos modos te respondo: el log que he colgado es del AVAST. Hoy lo
he pasado otra vez, y volvía
a salir el mismo Troyano.
En modo a prueba de fallos, he vuelto a pasar el Antivirus y además he
desactivado restaurar sistema.
Ahora el antivirus ya no lo detecta, así que entiendo que lo que sea,
ya no está.
Espero que esté resuelto. Ya os contaré.
Abrazos y gracias!.
Eva
ese momento Google Chrome. He probado con IE y también sucede. Ahora
20/10/2010 17:28:57        C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0) File was
successfully moved to chest... 20/10/2010 17:34:38 C:\Documents and
Settings\Eva\Datos de programa \Microsoft\Windows\shell.exe [L]
Win32:Cycbot [Trj] (0) File was successfully moved to chest...
20/10/2010 17:55:46        C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0) File was
successfully moved to chest... 20/10/2010 21:58:59 C:\Documents and
Settings\Eva\Datos de programa \Microsoft\Windows\shell.exe [L]
Win32:Cycbot [Trj] (0) File was successfully moved to chest...
21/10/2010 0:00:21 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0) File was
successfully moved to chest...
He pensado qué he hecho de raro o especial hoy: salvo conectarme por
primera vez con jazztel (router nuevo y esas cosas) he bajado un
programa de softonic para hablar por tfno. a través del ordenador. Tengo
un portátil ACER ASPIRE 5670 con Windows XP, antivirus AVAST que, en 2
años, no ha dejado colarse nada. He hecho un scan completo y no reporta
nada.
Hola Eva, tiempo sin leerte  ;))
¿De que programa es el log que adjuntas y que define al "malware" como
Win32:Cycbot?
Si es ese el problema, se trataría de un "FakeAlert": se pillan navegando
por paginas infectadas (código embebido y esas cosas). Si el antivirus no
logra eliminarlo, prueba a limpiar todos los archivos temporales y a
vaciar la caché de los navegadores que uses. Hazlo arrancando en modo
seguro. Si aun así sigues con el problema, danos nuevos datos de los logs
que te aparezcan; pero tranquila que el problema se soluciona.
Best regards
c.b.
c.b.
2010-10-23 10:07:14 UTC
Permalink
Post by Eva
De todos modos te respondo: el log que he colgado es del AVAST. Hoy lo
he pasado otra vez, y volvía
a salir el mismo Troyano.
En modo a prueba de fallos, he vuelto a pasar el Antivirus y además he
desactivado restaurar sistema.
Ahora el antivirus ya no lo detecta, así que entiendo que lo que sea, ya
no está.
Espero que esté resuelto. Ya os contaré. Abrazos y gracias!.
Por lo que dices, se diría que ya está resuelto.
Pero no achaques esos problemas a un cambio de proveedor de
Internet. Todas las IP's son escaneadas rigurosamente, en busca de
vulnerabilidades
y puertos peligrosos abiertos, por los "chicos malos".
Suerte y queda fatal eso de decir, en este grupo, hasta la próxima :(

Best regards
c.b.
noSign
2010-10-22 08:47:45 UTC
Permalink
Hola Eva
Puedes pasar un log con el HijackThis?

saludos
noSign



"Eva" <***@gmail.com> wrote in message news:b2293c1e-e0ea-4948-9846-***@c10g2000yqh.googlegroups.com...
¡Hola! Hace unos días estuve leyendo el grupo para ver cómo iban las
cosas mientras pensaba que era una suerte no tener problemas de
virus...y voilá!!!: aquí estoy pidiendo un cable al siempre presente
c.b. (un saludo!!!).

Hoy veo que se ralentiza el funcionamiento del portátil, empieza a
hacer cosas raras abriendo ventanas que yo no he pedido y buscando
información en internet, pincho un enlace y se abre otro rarísimo que
no tiene nada que ver con la búsqueda inicial. He podido rescatar
éste:

http://clk.relestar.com/feed/click/?t=1287613264.327&x=dU1oclBVCbzguiI8XrGXcvwmfTvRYY-XQqfaVNcGb0oNotjTwVCMrEju-9yVE8x1MDRxKQvGs7YEiUWySEfXpvJqoLNzwMPEtjoMQKtLlvZrPXDdoW2h5ID88hlXegIKqkRwWbV6x1KWppArXsiArOm-GufxA2XskL21Ymoy39cqJNfVNeqU-VClCjvgHPKixl0Yc60R_DXSnlhevxPBQ36NFO6BxF6SLIRTnSQ40kw920nKDJ4jge698O7oPVn4F2Qskc9JSLsZhikcLdPKk7S_jPr1WtjmUUhZou_jXHea4Ze5mTB6C1-RO3JUbOu011QGuDZN8csxtxTS2zfzFQ

Un par de veces me ha avisado el antivirus de un troyano al abrir una
web (buscaba cosas sobre Munich, mira tú qué peligroso!!).
Utilizaba en ese momento Google Chrome. He probado con IE y también
sucede. Ahora rescato el log:

20/10/2010 17:28:57 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0)
File was successfully moved to chest...
20/10/2010 17:34:38 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0)
File was successfully moved to chest...
20/10/2010 17:55:46 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0)
File was successfully moved to chest...
20/10/2010 21:58:59 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0)
File was successfully moved to chest...
21/10/2010 0:00:21 C:\Documents and Settings\Eva\Datos de programa
\Microsoft\Windows\shell.exe [L] Win32:Cycbot [Trj] (0)
File was successfully moved to chest...

He echado un ojo por internet y veo que existe un Win32 cybot...¿es el
mismo?.

He pensado qué he hecho de raro o especial hoy: salvo conectarme por
primera vez con jazztel (router nuevo y esas cosas) he bajado un
programa de softonic para hablar por tfno. a través del ordenador.
Tengo un portátil ACER ASPIRE 5670 con Windows XP, antivirus AVAST
que, en 2 años, no ha dejado colarse nada. He hecho un scan completo y
no reporta nada.
Gracias anticipadas por vuestra opinión.
Abrazos.
Eva
Eva
2010-10-22 17:56:23 UTC
Permalink
Hola noSign!
Paso el Hijack porque nunca está de más. Si ves/véis algo que no os
gusta, escucho.
Gracias!!!.
Abrazos.
Eva

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.pucuy.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = http=127.0.0.1:50370
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Vínculos
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no
file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa
\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-
CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier
\5.6.5612.1312\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-
BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-
EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie
\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP
\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP
\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade
\PCMService.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology
\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower
\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering
Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology
\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology
\admtray.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe
bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes
\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa
\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime
\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes
\iTunesHelper.exe"
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt
\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [avast5] C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe /
nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live
\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat
7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google
\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Eva
\Configuración local\Datos de programa\Google\Update
\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Skype] "D:\Skype\\Phone\Skype.exe" /nosplash /
minimized
O4 - HKCU\..\Run: [VoipCheapCom] "D:\VoipCheapCom\VoipCheapCom.exe" -
nosplash -minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de
programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa
\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver -
res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos
de programa\Google\Google Toolbar\Component
\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O16 - DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} (UploadListView
Class) - http://picasaweb.google.es/s/v/56.18/uploader2.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView
Class) - http://picasaweb.google.es/s/v/54.20/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload
Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)
- http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145782076898
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo
Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert
Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -
http://www.crtvg.es/camweb/camera.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} -
http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de
programa\Archivos comunes\Apple\Mobile Device Support\bin
\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS
\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de
programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Archivos de
programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Archivos de
programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer
\Empowering Technology\admServ.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:
\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc)
- Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV
\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown
owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:
\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel
Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google
Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos
de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Archivos de programa\Archivos comunes\InstallShield
\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:
\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun
Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:
\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NMSAccess32 - Unknown owner - C:\WINDOWS
\system32\NMSAccess32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) -
Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin
\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown
owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
(file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental)
(rpcapd) - Unknown owner - C:\Archivos de programa\WinPcap\rpcapd.exe
(file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) -
Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin
\S24EvMon.exe

--
End of file - 9508 bytes
Post by c.b.
Hola Eva
Puedes pasar un log con el HijackThis?
saludos
noSign
¡Hola! Hace unos días estuve leyendo el grupo para ver cómo iban las
cosas mientras pensaba que era una suerte no tener problemas de
virus...y voilá!!!: aquí estoy pidiendo un cable al siempre presente
c.b. (un saludo!!!).
noSign
2010-10-26 13:34:13 UTC
Permalink
Hola Eva , aunque tarde.


Has tenido instalado un sniffer como el WinPcap , igual lo probastes tu.


borra esto.:
ProxyServer = http=127.0.0.1:50370

Un saludo
noSign



"Eva" <***@gmail.com> wrote in message news:b20209dd-a706-43f5-8873-***@l14g2000yqb.googlegroups.com...
Hola noSign!
Paso el Hijack porque nunca está de más. Si ves/véis algo que no os
gusta, escucho.
Gracias!!!.
Abrazos.
Eva

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.pucuy.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = http=127.0.0.1:50370
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Vínculos
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no
file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa
\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-
CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier
\5.6.5612.1312\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-
BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-
EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie
\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP
\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP
\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade
\PCMService.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology
\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower
\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering
Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology
\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology
\admtray.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe
bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes
\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa
\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime
\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes
\iTunesHelper.exe"
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt
\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [avast5] C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe /
nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live
\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat
7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google
\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Eva
\Configuración local\Datos de programa\Google\Update
\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Skype] "D:\Skype\\Phone\Skype.exe" /nosplash /
minimized
O4 - HKCU\..\Run: [VoipCheapCom] "D:\VoipCheapCom\VoipCheapCom.exe" -
nosplash -minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de
programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa
\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver -
res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos
de programa\Google\Google Toolbar\Component
\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O16 - DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} (UploadListView
Class) - http://picasaweb.google.es/s/v/56.18/uploader2.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView
Class) - http://picasaweb.google.es/s/v/54.20/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload
Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)
- http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145782076898
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo
Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert
Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -
http://www.crtvg.es/camweb/camera.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} -
http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de
programa\Archivos comunes\Apple\Mobile Device Support\bin
\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS
\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de
programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Archivos de
programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Archivos de
programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer
\Empowering Technology\admServ.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:
\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc)
- Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV
\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown
owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:
\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel
Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google
Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos
de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Archivos de programa\Archivos comunes\InstallShield
\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:
\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun
Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:
\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NMSAccess32 - Unknown owner - C:\WINDOWS
\system32\NMSAccess32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) -
Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin
\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown
owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
(file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental)
(rpcapd) - Unknown owner - C:\Archivos de programa\WinPcap\rpcapd.exe
(file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) -
Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin
\S24EvMon.exe

--
End of file - 9508 bytes

Loading...