Analisis del log

Estado
Cerrado para nuevas respuestas

jpherrera

Nuevo Miembro
Miembro
#1
Hola!

Necesito saber si el log que he logrado con el HT esta bien, o que debo hacer para que sea el de un PC normal y sin basuras.

Desde ya muchas gracias!

Jaco

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\jph\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.isearch.com/index.php?app=SE&af...ODQ6NTo5&Terms=

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_

O4 - HKLM\..\Run: [F-StopW] C:\Program Files\FSI\F-Prot\F-StopW.EXE

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - Global Startup: nettime.bat

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINNT\System32\webzone.dll

O9 - Extra 'Tools' menuitem: Add to R&estricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINNT\System32\webzone.dll

O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINNT\System32\webzone.dll

O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINNT\System32\webzone.dll

O9 - Extra button: Offline - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - C:\WINNT\System32\oline.dll

O10 - Broken Internet access because of LSP provider 'c:\winnt\system32\nutafun4.dll' missing

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://jcs.chat.dcn.yahoo.com/v45/yacscom.cab

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} -

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = desarrollo

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3D78D72-3113-4DEA-B563-874FA735F370}: NameServer = 192.168.10.92

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = desarrollo

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = desarrollo
 

alnitak

Ex-Admin
Miembro
#2
Tienes un problema con tu conexion:

O10 - Broken Internet access because of LSP provider 'c:\winnt\system32\nutafun4.dll' missing

La dll es legal pero por algúna razón falta así que intenta reinstalar el programa que la instala (¿MKS Toolkit?)

Si en cambio ya no necesitas el programa entonces repara el winsocket con el lspfix

Por otro lado revisa estas y dale a fix después de cerrar todos los navegadores.

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_

Por favor, para la proxima coloca el log completo incluyendo el encabezado para que salgan las versiones del sistema operativo(¿Windows 2000?), IExplorer y del mismo HijackThis ;)
 

jpherrera

Nuevo Miembro
Miembro
#3
Hola!

Antes que nada, alnitak gracias por responder. Segui los pasos que me recomendaste, y sigo teniendo un problema.

Algo me crea en Favoritos enlaces a:

Block Popups

Free Online Dating

Make Money

Personal Photos

Phentermine

Spyware Uninstall

Viagra

Work at Home

y a veces me aparece un ventana invitandome a jugar Streep Poker.

este es el ultimo log que realice, me parece que el 015 hay que borrarlo, lo hago en modo seguro y aparece nuevamente.

Espero respuesta, gracias!

Jaco

Logfile of HijackThis v1.98.2

Scan saved at 09:51:55 a.m., on 30/11/2004

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\jph\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.isearch.com/index.php?app=SE&af...ODQ6NTo5&Terms=

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINNT\System32\msacmx.dll

O4 - HKLM\..\Run: [F-StopW] C:\Program Files\FSI\F-Prot\F-StopW.EXE

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe

O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe

O4 - Global Startup: nettime.bat

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINNT\System32\webzone.dll

O9 - Extra 'Tools' menuitem: Add to R&estricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINNT\System32\webzone.dll

O9 - Extra button: Offline - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - C:\WINNT\System32\oline.dll

O15 - Trusted Zone: http://*.63.219.181.7

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://jcs.chat.dcn.yahoo.com/v45/yacscom.cab

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = desarrollo

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3D78D72-3113-4DEA-B563-874FA735F370}: NameServer = 192.168.10.92

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = desarrollo

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = desarrollo
 

alnitak

Ex-Admin
Miembro
#4
Entrando al sistema en modo seguro y con todos los navegadores cerrados revisa estas y dale a fix:

1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.isearch.com/index.php?app=SE&af...ODQ6NTo5&Terms=

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINNT\System32\msacmx.dll <<-- solo si no tienes flashget instalado porque el codigo es de FlashGet pero el nombre de la dll no se corresponde así que no se si es legal o no

O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe

O15 - Trusted Zone: http://*.63.219.181.7

Elimina el archivo dllhostxp.exe y si no usas flashget también el archivo C:\WINNT\System32\msacmx.dll que probablemente sea un trojan/agent
 

jpherrera

Nuevo Miembro
Miembro
#5
Hola!

Te cuento que logre borrar la basura que tenia, hice lo que me indicaste, lo que si tuve que meterme en el regedit para borrar manualmente donde figurara: msacmx.dll, dllhostxp.dll, dllhostxp.exe y 63.219.181.7; por que por mas que le pasara el TH cuando resetaba la PC volvia a saltar en el FProt el msacmx.dll y en el TH el msacmx.dll junto con el 015 con el *63.219.181.7

Ahora anda todo OK, este es el ultimo log:

Logfile of HijackThis v1.98.2

Scan saved at 06:30:42 p.m., on 30/11/2004

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\jph\Hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [F-StopW] C:\Program Files\FSI\F-Prot\F-StopW.EXE

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe

O4 - Global Startup: nettime.bat

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra button: Offline - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - C:\WINNT\System32\oline.dll

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://jcs.chat.dcn.yahoo.com/v45/yacscom.cab

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = desarrollo

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3D78D72-3113-4DEA-B563-874FA735F370}: NameServer = 192.168.10.92

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = desarrollo

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = desarrollo

Gracias Alnitak

Jaco
 
Estado
Cerrado para nuevas respuestas
Arriba Pie