cOMO LEER HIJACKTHIS

Estado
Cerrado para nuevas respuestas

estodurapoco

Nuevo Miembro
Miembro
#1
hola, gracias por la ayuda prestada en las otras discuciones, quisiera saber donde puedo aprender a leer los logs de hijackthis porque me gustaría saber mas del tema, estoy estudiando ingenieria en sistemas y estas cosas me interesan

mientras tanto, necesito que me digan si mi compu no tiene virus o algo, aca esta el log:

Logfile of HijackThis v1.98.2

Scan saved at 08:36:32 p.m., on 21/08/04

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\KHOOKER.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\ptsnoop.exe

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BRIDGE.DLL

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [systray] C:\WINDOWS\SYSTEM\A.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKLM\..\RunOnce: [BrandClearStubs] RUNDLL32 IEDKCS32.DLL,BrandCleanInstallStubs >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS

O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o

O4 - HKLM\..\RunOnce: [A0C000001E872D116BF00006799C89] C:\WINDOWS\SYSTEM\MsiExec.exe /@ "A0C000001E872D116BF00006799C89"

O4 - HKCU\..\RunOnce: [^SetupICWDesktop] C:\ARCHIV~1\INTERN~1\Asistente para la conexión a Internet\icwconn1.exe /desktop

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/98ME/ClickYesToContinue/bridge-c1.cab

gracias a todos (especialmente a ericweb)

saludos

Marcos
 
A

Arwing

Guest
#3
Hola, tienes un troyano en tu sistema. Vamos a removerlo.

Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):

A.EXE

Ahora abre el Regedit y navega hasta la siguiente rama:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Y una vez ahí elimina las siguientes entradas del registro:

[systray] C:\WINDOWS\SYSTEM\A.EXE

Cierra el Regedit

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BRIDGE.DLL

O4 - HKLM\..\Run: [systray] C:\WINDOWS\SYSTEM\A.EXE

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/98ME/Clic...e/bridge-c1.cab

Y da click en el botón "Fix Checked"

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y bórralos:

C:\WINDOWS\DOWNLOADED PROGRAM FILES\BRIDGE.DLL

C:\WINDOWS\SYSTEM\A.EXE

Reinicia el sistema y listo.

Para aprender a leer logs del HijackThis puedes leer un tutorial que traducí y que está en: www.arwinianos.net/biblioteca/articulo/2/10

Saludos

Arwing
 

estodurapoco

Nuevo Miembro
Miembro
#4
hola, gracias por la ayuda, el problema es que no existe nada que se llame a.exe

ni en las tareas ni en el registro, hay un archivo que se llama systray.exe nada mas, y no se si lo tengo que eliminar

gracias y espero respuesta

Marcos
 
A

Arwing

Guest
#5
Entonces no hay problema. Debió haber dejado huella simplemente.

Respecto al systray.exe no lo borres ya que es parte del sistema. A menos que el archivo fuera infectado pero la verdad no lo creo.

Saludos

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie