BHO aparece otra vez

Estado
Cerrado para nuevas respuestas

ZEPEQUENHO

Nuevo Miembro
Miembro
#1
:confused: Hola, en el HIJACKTHIS aparecen 4 entradas de BHO no file...no name, las intenté borrar con el MODO PRUEBA DE FALLOS y el RESTAURAR SISTEMA DESACTIVADO, con el SPYBOOT con aviso de cambios de REGEDIT e inmunizacion, no hay caso, reinicio y vuelven a estar, hay otra cosa que hace que estos Object aparezcan otra vez?q onda con el CONFERENCE ROOM JAVA? lo borro tambien? y también me llaman la atención esos HK1 que dicen algo de YAHOO, yo no tengo como predeterminada esa pagina ni nada que ver, no debería iniciar con Windows no?

Por favor diganme que estoy haciendo mal!!

GRACIAS!!!! aca va mi log HIJACKTHIS

Logfile of HijackThis v1.98.2

Scan saved at 3:32:47, on 06/10/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\CA-80U\ADSL\Cn:)slTb.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\HIJACKS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {57E65725-1CB7-ECF9-5C9C-1864505529F3} - (no file)

O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\es-la\msntb.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\es-la\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Cn:)slTaskBar] C:\Archivos de programa\CA-80U\ADSL\Cn:)slTb.exe

O4 - HKLM\..\Run: [QD FastAndSafe] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /scheduler

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: ConferenceRoom Java Client -

O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} -

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B39E1C90-2FAA-4245-A7C9-BBC211610BD4}: NameServer = 200.42.0.108 200.42.0.109
 

alnitak

Ex-Admin
Miembro
#2
No debes borrarlos solo porque dicen no file.

Este:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

Es del Adobe Acrobat Reader y por lo tanto no lo borres.

Este:

O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)

Es de la MSN toolbar, tampoco lo tienes que borrar.

Este otro:

O2 - BHO: (no name) - {57E65725-1CB7-ECF9-5C9C-1864505529F3} - (no file)

Es un código desconocido, por lo tanto este es el único que deberías marcar para después darle a fix, aunque al ser un codigo desconocido existe una pequeña posibilidad que sea legal, igual marcalo y marca también estas otras entradas:

O16 - DPF: ConferenceRoom Java Client -

O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} -

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

Inmediatamente después elimina los archivos temporales y reinicia, después postea otro log.

Las entradas de yahoo las coloca el yahoo messenger si aceptas durante la instalación meter yahoo como buscador predeterminado.
 

ZEPEQUENHO

Nuevo Miembro
Miembro
#3
Aca otra vez, este es el log después de fixear con el HIJACKTHIS, saque el restaurar sitema antes de hacerlo y luego reinicio y ahi ESTAN!Sabés, me estoy poniendo paranoica porque estuve leyendo sobre el proceso SMSS.EXE y el CSRSS.EXE que dicen que son gusanos de un virus que se activa el 25 de diciembre de todos los aos, intente detener los procesos y me dice que no puedo porque es parte del sistema y esta activo.No sera ese proceso que me genera los BHO y el DSO EXPLOIT que tampoco lo puedo sacar, siempre lo ve el SPYBOT pero dice que lo arreglo y nada, otra vez esta, lo hice en MODO PRUEBA DE FALLOS como al HIJACKTHIS y sin restaurar sistema y nada, el NORTON no ve el DSO EXPLOIT, y el SPYWEERE cada vez que reinicio encuentra el Com.com.cockie, el AD AdVis y Passport cockie.No se...debo alojarlos finalmente y darles la bienvenida porque no se van!

Este es el log de ahora

Logfile of HijackThis v1.98.2

Scan saved at 0:00:24, on 07/10/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\CA-80U\ADSL\Cn:)slTb.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\HIJACKS\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: (no name) - {57E65725-1CB7-ECF9-5C9C-1864505529F3} - (no file)

O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\es-la\msntb.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\es-la\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Cn:)slTaskBar] C:\Archivos de programa\CA-80U\ADSL\Cn:)slTb.exe

O4 - HKLM\..\Run: [QD FastAndSafe] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /scheduler

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: ConferenceRoom Java Client -

O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} -

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} -

Esto lo encontre, no sabia que tengo un programa que se llama asi, DR WATSON, a menos que sea del NORTON, miralo please, yo no tengo una contraseña que sea "YOYO"

Microsoft ® DrWtsn32

Copyright © 1985-2001 Microsoft Corp. Reservados todos los derechos.

Excepción de aplicación ocurrida:

Aplicación: C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE (pid=1768)

Fecha y hora: 06/10/2004 a las 02:29:04.531

Número de excepción: c0000005 (infracción de acceso)

*----> Información del sistema <----*

Nombre de equipo:

Nombre de usuario: ŸŸ

Id. de sesión de terminal: 0

Número de procesadores: 1

Versión de Windows : 5.1

*----> Lista de tareas <----*

0 System Process

4 System

564 smss.exe

656 csrss.exe

680 winlogon.exe

724 services.exe

736 lsass.exe

880 svchost.exe

980 svchost.exe

1020 svchost.exe

1060 svchost.exe

1096 svchost.exe

1308 LEXBCES.EXE

1536 mdm.exe

1568 navapsvc.exe

1748 SMAgent.exe

1768 NOPDB.EXE

260 alg.exe

856 logonui.exe

1820 wuauclt.exe

2580 drwtsn32.exe

*----> Lista de módulos <----*

(0000000000400000 - 000000000042b000: C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

(0000000000ae0000 - 0000000000af7000: C:\Archivos de programa\Norton SystemWorks\Norton Utilities\Speed Disk\VolumeS.dll

(0000000000c00000 - 0000000000c99000: C:\Archivos de programa\Norton SystemWorks\Norton Utilities\Speed Disk\sdntdrv.dll

(0000000000ce0000 - 0000000000d06000: C:\Archivos de programa\Norton SystemWorks\Norton Utilities\Speed Disk\SDOptions.dll

(0000000001060000 - 000000000112c000: C:\Archivos de programa\Norton SystemWorks\Norton Utilities\Speed Disk\SdEng.dll

(0000000001140000 - 000000000115a000: C:\Archivos de programa\Norton SystemWorks\Norton Utilities\Speed Disk\SDResults.dll

(0000000010000000 - 000000001000c000: C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\SDException.dll

(0000000020000000 - 00000000202d6000: C:\WINDOWS\system32\xpsp2res.dll

(0000000058c30000 - 0000000058cc7000: C:\WINDOWS\system32\comctl32.dll

(000000005b150000 - 000000005b188000: C:\WINDOWS\system32\UxTheme.dll

(000000005b480000 - 000000005b487000: C:\WINDOWS\system32\umdmxfrm.dll

(000000005cf60000 - 000000005cf86000: C:\WINDOWS\system32\ShimEng.dll

(000000005d160000 - 000000005d167000: C:\WINDOWS\system32\serwvdrv.dll

(000000006bd00000 - 000000006bd0d000: C:\WINDOWS\system32\SYNCOR11.DLL

(000000006fdb0000 - 000000006ff7a000: C:\WINDOWS\AppPatch\AcGenral.DLL

(0000000071a20000 - 0000000071a28000: C:\WINDOWS\system32\WS2HELP.dll

(0000000071a30000 - 0000000071a47000: C:\WINDOWS\system32\WS2_32.dll

(0000000071b90000 - 0000000071ba3000: C:\WINDOWS\system32\SAMLIB.dll

(0000000076030000 - 0000000076095000: C:\WINDOWS\system32\MSVCP60.dll

(0000000076630000 - 00000000766e4000: C:\WINDOWS\system32\USERENV.dll

(0000000076980000 - 0000000076a31000: C:\WINDOWS\system32\SXS.DLL

(0000000076b00000 - 0000000076b2e000: C:\WINDOWS\system32\WINMM.dll

(0000000076f20000 - 0000000076f4d000: C:\WINDOWS\system32\WLDAP32.dll

(0000000076f90000 - 000000007700f000: C:\WINDOWS\system32\CLBCATQ.DLL

(0000000077010000 - 00000000770e0000: C:\WINDOWS\system32\COMRes.dll

(00000000770f0000 - 000000007717c000: C:\WINDOWS\system32\OLEAUT32.dll

(00000000773a0000 - 00000000774a2000: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll

(00000000774b0000 - 00000000775ec000: C:\WINDOWS\system32\ole32.dll

(0000000077660000 - 0000000077681000: C:\WINDOWS\system32\NTMARTA.DLL

(0000000077b10000 - 0000000077b32000: C:\WINDOWS\system32\Apphelp.dll

(0000000077bb0000 - 0000000077bc5000: C:\WINDOWS\system32\MSACM32.dll

(0000000077bd0000 - 0000000077bd8000: C:\WINDOWS\system32\VERSION.dll

(0000000077be0000 - 0000000077c38000: C:\WINDOWS\system32\MSVCRT.dll

(0000000077d10000 - 0000000077da0000: C:\WINDOWS\system32\USER32.dll

(0000000077da0000 - 0000000077e4c000: C:\WINDOWS\system32\ADVAPI32.dll

(0000000077e50000 - 0000000077ee1000: C:\WINDOWS\system32\RPCRT4.dll

(0000000077ef0000 - 0000000077f36000: C:\WINDOWS\system32\GDI32.dll

(0000000077f40000 - 0000000077fb6000: C:\WINDOWS\system32\SHLWAPI.dll

(000000007c800000 - 000000007c901000: C:\WINDOWS\system32\kernel32.dll

(000000007c910000 - 000000007c9c6000: C:\WINDOWS\system32\ntdll.dll

(000000007c9d0000 - 000000007d1ee000: C:\WINDOWS\system32\SHELL32.dll

(000000007d1f0000 - 000000007d4a2000: C:\WINDOWS\system32\msi.dll

*----> Estado para identificador de subproceso 0x9fc <----*

eax=00000000 ebx=00000000 ecx=000002a0 edx=00917680 esi=00917670 edi=00000000

eip=7c928fea esp=01a1eddc ebp=01a1ee50 iopl=0 nv up ei pl zr na po nc

cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246

*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\WINDOWS\system32\ntdll.dll -

función: ntdll!RtlpWaitForCriticalSection

Error 0x80070057

ERROR -> 7c928fea ff4010 inc dword ptr [eax+0x10] ds:0023:00000010=?

Error 0x80070057

*----> Seguimiento regresivo de pila <----*

WARNING: Stack unwind information not available. Following frames may be wrong.

*** WARNING: Unable to verify checksum for C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE -

*** WARNING: Unable to verify checksum for C:\Archivos de programa\Norton SystemWorks\Norton Utilities\Speed Disk\sdntdrv.dll

*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\Archivos de programa\Norton SystemWorks\Norton Utilities\Speed Disk\sdntdrv.dll -

*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\WINDOWS\system32\MSVCRT.dll -

*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\WINDOWS\system32\kernel32.dll -

ChildEBP RetAddr Args to Child

01a1ee50 7c91104b 00917670 004038fd 00917670 ntdll!RtlpWaitForCriticalSection+0x5b

01a1ee70 00418b7b ffffffff 00000000 014e0658 ntdll!RtlEnterCriticalSection+0x46

01a1efc0 00419c24 0016b8ec 445f3a43 75616665 NOPDB+0x18b7b

01a1f01c 00c0ce6a 00917520 00000004 00917520 NOPDB+0x19c24

01a1f060 00c01852 00000004 00919210 000009fc sdntdrv!SaveResourceHandle+0xba5a

01a1f074 00c0535a 00000004 00000000 014e0658 sdntdrv!SaveResourceHandle+0x442

01a1ff58 00c05004 804f1dd8 00000000 01a1ff4c sdntdrv!SaveResourceHandle+0x3f4a

01a1ff80 77c0a3b0 00919210 00000000 00e0f500 sdntdrv!SaveResourceHandle+0x3bf4

01a1ffb4 7c80b50b 014e05c8 00000000 00e0f500 MSVCRT!endthreadex+0xa9

01a1ffec 00000000 77c0a341 014e05c8 00000000 kernel32!GetModuleFileNameA+0x1b4

*----> Muestra de pilas sin procesar <----*

0000000001a1eddc 00 00 00 00 58 06 4e 01 - c8 05 4e 01 00 00 00 00 ....X.N...N.....

0000000001a1edec 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1edfc 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1ee0c 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1ee1c 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1ee2c 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1ee3c 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1ee4c a0 02 00 00 70 ee a1 01 - 4b 10 91 7c 70 76 91 00 ....p...K..|pv..

0000000001a1ee5c fd 38 40 00 70 76 91 00 - a0 ef a1 01 00 00 00 00 .8@.pv..........

0000000001a1ee6c 01 00 00 00 c0 ef a1 01 - 7b 8b 41 00 ff ff ff ff ........{.A.....

0000000001a1ee7c 00 00 00 00 58 06 4e 01 - c8 05 4e 01 00 00 00 00 ....X.N...N.....

0000000001a1ee8c 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1ee9c 00 00 00 00 00 00 00 00 - 20 76 91 00 00 00 00 00 ........ v......

0000000001a1eeac 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1eebc 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1eecc 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1eedc 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

0000000001a1eeec 00 00 00 00 00 00 00 00 - 5c 66 c1 00 64 92 91 00 ........\f..d...

0000000001a1eefc 24 ef a1 01 65 ec c0 00 - 10 92 91 00 00 00 00 00 $...e...........

0000000001a1ef0c 5c 66 c1 00 64 92 91 00 - 40 ef a1 01 24 75 91 00 \f..d...@...$u..
 
A

Arwing

Guest
#4
SMSS.EXE y CSRSS.EXE son procesos normales en tu windows, así que no los termines. Dr. Watson también es una aplicación de diagnóstico de Windows, pero no creo que tenga que ver con el problema.

Vuelve a hacer lo que dice Alnitak pero hazlo en Modo a Prueba de Fallos.

Si persiste el problema entonces con el HijackThis ve a Config >> Misc Tools >> Generate StartupList y pégalo aquí para ver si hay algo que se está escapando.

Arwing
 

ZEPEQUENHO

Nuevo Miembro
Miembro
#5
:confused: Ok, gracias , ahora lo hago, pero eso del DR.WATSON me llama la atención porque dice contraseña YOYO y yo no tengo esa contraseña, y todo ese listado salio a esa hora de la madrugada sdin que yo hiciera nada, es un intento de hackear mi machine o estoy REALMENTE PARANOICA? :coolioju:
 

ZEPEQUENHO

Nuevo Miembro
Miembro
#6
:coolioju: Perdon pero debo agregar algo...saben que es lo que me hace pensar eso? que hay un archivo que se llama NTMARTA, y excepto mi mamá y mi flia NADIE sabe que ese es mi segundo nombre, com es que aparece ahi?
 

alnitak

Ex-Admin
Miembro
#7
Jeje.

Si tienes problemas con el DSO Exploit puedes usar esta herramienta:

http://www.nsclean.com/dsostop.html

Francamente no te aconsejo que lo hagas, el DSO Exploit es mas un mito que una realidad, de hecho creo que spybot sea el unico que lo reporta.

Sobre los BHO, no todos los BHO son malos, algúnos son mas bien parte integral de programas legales y si removidos estos programas dejan de funcionar bien.

Tienes una lista de BHO y toolbars aquí:

http://computercops.biz/CLSID.html

Puedes buscarlos por el codigo, los X BHO son malos y los L BHO son buenos, los que no salen suelen ser malos y recien salidos del horno de los malwares.

Para remover un BHO no se necesita desactivar la opción de restaurar el sistema ni reiniciar el sistema en modo seguro, con cerrar todos los exploradores, chekar las casillas y darle a fix es suficiente, pero si los procesos que los instalan no son removidos tambien, el BHO se volverá a instalar en el siguiente reinicio. En el caso de tu sistema no veo ningún proceso de ningún malware corriendo por lo tanto intenta chekar la casilla del unico BHO que no reconzco:

O2 - BHO: (no name) - {57E65725-1CB7-ECF9-5C9C-1864505529F3} - (no file)

cierra todos los navegadores y dale a fix. inmediatamente después elimina los archivos temporales tanto de sistema como de internet. Si al reiniciar vuelve a estar presente ese mismo BHO entonces postea el otro log que te ha nombrado Arwing.
 

alnitak

Ex-Admin
Miembro
#8
hay un archivo que se llama NTMARTA, y excepto mi mamá y mi flia NADIE sabe que ese es mi segundo nombre, com es que aparece ahi?
jeje, el ntmarta.dll es un archivo de Windows, por cierto espero que te llames Marta y no ntmarta.dll porque vamos que sería un nombre poco comun :(

Bueno, lo dicho, en tu sistema no veo ningún malware corriendo, con la excepción de ese BHO que tampoco es mayor cosa no veo ninguna razon para preocuparte.
 

ZEPEQUENHO

Nuevo Miembro
Miembro
#9
GRACIAS CHICOS!

chekeare lo que me indicaron, ahora eso (mi segundo nombre) no lo anden divulgando por ahi PLEASE!!!! :eek:

MARU
 
Estado
Cerrado para nuevas respuestas
Arriba Pie