Error en el hijackthis

Estado
Cerrado para nuevas respuestas

demiannn

Nuevo Miembro
Miembro
#1
Pos eso mismo er pc de mi casa va lentisimo tarda mogollon en abrir las web (uso mozilla firefox) y quise pasar el hijackthis y al ejecutarlo se cierra solo y no puedo postear el log para saber si estoy infectado, e pasado el spyware, spybot y algún programa mas, el antivirus no reporta ningún virus, aver si podemos solucionar esto un saludo.
 

alnitak

Ex-Admin
Miembro
#2
Intenta cambiarle el nombre, renómbralo por ejemplo como abc.exe, después reinicia en modo seguro y ejecútalo. Si es algún malware que mata el proceso hijackthis.exe entonces te funcionará al renómbralo, si en cambio es algún malware que lo mata por ventanas deberás abrir el administrador de tareas y terminar cualquier proceso extraño antes de ejecutarlo y si no puedes abrir tampoco el administrador de tareas entonces bájate algún visualizador de procesos alternativo, por ejemplo el WinTasks
 

demiannn

Nuevo Miembro
Miembro
#3
Bueno renombre el archivo entre en modo seguro, lo carga y cuando ta x terminar se cierra solo, baje el programa que mas dicho, lo instale lo ejecuto y también carga y se cierra, te digo los procesos que tengo corriendo en estos momentos.

taskmgr.exe D3mian 5.068 kb

nvsvc32.exe SYSTEM 2.644 kb

Ymsgr_tray.exe D3mian 4.588 kb

IEXPLORE.EXE D3mian 18.184 kb (este lo quiero matar y vuelve a salir )

rundll32.exe D3mian 2.384 kb

msnmsgr.exe Demian 9.696 kb

rundll32.exe D3mian 3.456 kb

jusched.exe D3mian 2.588 kb

qttask.exe D3mian 6.812 kb

explorer.exe D3mian 20.080 kb

mirc.exe D3mian 4.032 kb

spoolsv.exe SYSTEM 6.204 kb

svchot.exe SERVICIO LOCAL 5.788 kb

logonui.exe SYSTEM 1.176 kb

svchost.exe servicio de red 4.424 kb

svchost.exe SYSTEM 25.716 kb

svchost.exe SYSTEM 5.836 kb

lsass.exe SYSTEM 7.348 kb

services.exe SYSTEM 3.596 kb

winlogon.exe SYSTEM 740 kb

csrss.exe SYSTEM 4.080 kb

firefox.exe D3mian 31.268 kb

smss.exe SYSTEM 422 kb

System SYSTEM 228 kb

proceso inactivo d..... SYSTEM 20 kb

bueno eso es todo, aver si mexas un cable y gracias x ayudarme.
 

alnitak

Ex-Admin
Miembro
#4
Todos los nombres que me colocas son de procesos legales, todavia el mismo nombre de un proceso legal es usado muchas veces por algún malware pero en otra carpeta.

IEXPLORE.EXE es el ejecutable del Internet Explorer si está en la carpeta C:\Archivos de programa\Internet Explorer\ si está en otra carpeta es un malware.

Ya que puedes abrir el HijackThis y dices que se cierra cuando va a terminar intenta entonces tomar el otro log, el de arranque:

Lo ejecutas >> boton config >> Misc tools >> marca la casilla "List empty sections" >> Generate StartupList log

Si no veo un log se me hace muy dificil ayudarte porque ya se trataría de adivinar.
 

demiannn

Nuevo Miembro
Miembro
#5
Bueno mañana te mandare el log ese que me has pedido (no te lo mando ahora porque no se como hacerlo ;) ) mira e buscado el IEXPLORER.EXE sale la ruta que me dices tú y salen dos rutas mas (que no se si borrarlas) el buscador de Windows encotro esto IEXPLORE.EXE-07A56490.pf y otro que tiene una aplicacion los borro.

Muchas gracias por la paciencia y por ayudarme.
 

alnitak

Ex-Admin
Miembro
#6
El IEXPLORE.EXE-07A56490.pf imagino que estará en la carpeta C:\WINDOWS\Prefetch\ puedes borrar todo el contenido de esa carpeta y es mas, es buena costumbre hacerlo una vez por semana.

Del otro que has encontrado no me dices la ubicacion, pero si está en una carpeta que empieza por $ no lo toques porque es parte de algúna actualización.

En fin, ojala mañana me coloques el log para ver las cosas un poco mas claras y para tomarlo solo haz lo siguiente:

Ejecuta el HijackThis

Haz clic sobre el boton "Config" que es el ultimo abajo a la derecha

has clic sobre la pestaña "Misc Tools" que es la ultima arriba a la derecha

marca la casilla de: " List empty sections(complete)"

Clic sobre el boton "Generate StartupList log"
 

demiannn

Nuevo Miembro
Miembro
#7
Bueno mira la ruta del otro IEXPLORER.exe es esta c:\windows\softwaredistribution\download .

Aqui el log de lo que me pediste espero que sirva :

StartupList report, 14/10/2004, 14:30:02

StartupList version: 1.52.2

Started from : C:\hijak\abcd.EXE

Detected: Windows XP (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 (6.00.2600.0000)

* Using default options

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\WINDOWS\System32\javaw.exe

C:\mIRC\mirc.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\hijak\abcd.exe

hecking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

nwiz = nwiz.exe /install

Openwares LiveUpdate = C:\Program Files\LiveUpdate\LiveUpdate.exe

QuickTime Task = "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

SunJavaUpdateSched = C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

Each Meal = C:\ARCHIV~1\GLOBAL~1\Shim army.exe

winupdt = RUNDLL32.EXE c:\windows\ftwain.dll,_mainRD

saap = c:\windows\180solutions\saap.exe

requester = "C:\WINDOWS\System32\requester.5.exe"

boob rdr body up = C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Anti Move Boob Rdr\Test Tray.exe

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MsnMsgr = "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

Yahoo! Pager = C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

Enumerating Browser Helper Objects:

(no name) - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll - {02478D38-C3F9-4efb-9B51-7695ECA05670}

(no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\ARCHIV~1\GlueAxis\Bias surf.exe - {692C5EF4-DB50-CCAD-B4B9-0A1F2850EA6C}

Enumerating Task Scheduler jobs:

B378FCAD91776B75.job

Enumerating Download Program Files:

[Checkers Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\msgrchkr.dll

CODEBASE = http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab

[QuickTime Object]

InProcServer32 = C:\Archivos de programa\QuickTime\QTPlugin.ocx

CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[{0594AF7E-573B-40DF-8165-E47AB2EAEFE8}]

CODEBASE = http://akamai.downloadv3.com/binaries/P2EC..._1014_ES_XP.cab

[{093F9CF8-0DE1-491C-95D5-5EC257BD4CA3}]

CODEBASE = http://akamai.downloadv3.com/binaries/IA/dtc32_ES_XP.cab

[Minesweeper Flags Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\minesweeper.dll

CODEBASE = http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

[{469C7080-8EC8-43A6-AD97-45848113743C}]

CODEBASE = http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

[{50AD557E-3426-41FD-AFDD-2AF39BB1C387}]

InProcServer32 = C:\WINDOWS\System32\LiveService_5.dll

CODEBASE = http://akamai.downloadv3.com/binaries/Live...ice_5_ES_XP.cab

[PremiumHTML Class]

InProcServer32 = C:\WINDOWS\DOWNLO~1\IBEROD~1.DLL

[MessengerStatsClient Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll

CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

[YAddBook Class]

InProcServer32 = C:\ARCHIV~1\Yahoo!\Common\yaddbook.dll

CODEBASE = http://us.dl1.yimg.com/download.yahoo.com/...utocomplete.cab

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[FlashXControl Object]

InProcServer32 = C:\WINDOWS\System32\FlashAX\FlashAX.ocx

CODEBASE = https://jackpotcity.microgaming.com/jackpotcity/FlashAX.cab

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

Windows NT checkdisk command:

BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':

PendingFileRenameOperations: C:\DOCUME~1\ALLUSE~1.WIN\DATOSD~1\ANTIMO~1\bold upload mess||C:\DOCUME~1\ALLUSE~1.WIN\DATOSD~1\ANTIMO~1\inside fast.exe|||\

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

End of report, 6.689 bytes

Report generated in 0,150 seconds

Eso es todo, espero que te sirva y gracias x la paciencia :D .
 

alnitak

Ex-Admin
Miembro
#8
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola,

Bajate loop removerel ejecútalo y reinicia

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Elimina esta carpeta:

c:\windows\180solutions\

Elimina este archico:

c:\windows\ftwain.dll

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina esta entrada:

[winupdt] RUNDLL32.EXE c:\windows\ftwain.dll,_mainRD

Reinicia y ahora intenta tomar un log normal con el Hijackthis o posteame otro log de inicio

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

demiannn

Nuevo Miembro
Miembro
#9
Hola disculpa que no pude hacerlo antes, te comento la carpeta esa que pones c:\windows\180solutions\saap.exe no esta, no existe ni mostrando los archivos ocultos ni buscandolo con el buscador de windows, que sera?¿ :s :s :s bueno sigo esto lo he borrado sin problemas [winupdt] RUNDLL32.EXE c:\windows\ftwain.dll,_mainRD y reiniciado como has dicho aranco el hijackthis y lo mismo se cierra cuando esta x terminar :( :( :( te posteo otro log de inicio (veraz en el log que sale la ruta esa c:\windows\180solution\saap.exe )

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\requester.5.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\hijak\abcd.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

nwiz = nwiz.exe /install

Openwares LiveUpdate = C:\Program Files\LiveUpdate\LiveUpdate.exe

QuickTime Task = "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

SunJavaUpdateSched = C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

saap = c:\windows\180solutions\saap.exe

requester = "C:\WINDOWS\System32\requester.5.exe"

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MsnMsgr = "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

Yahoo! Pager = C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll - {02478D38-C3F9-4efb-9B51-7695ECA05670}

(no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Download Program Files:

[Checkers Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\msgrchkr.dll

CODEBASE = http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab

[QuickTime Object]

InProcServer32 = C:\Archivos de programa\QuickTime\QTPlugin.ocx

CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[{0594AF7E-573B-40DF-8165-E47AB2EAEFE8}]

CODEBASE = http://akamai.downloadv3.com/binaries/P2EC..._1014_ES_XP.cab

[{093F9CF8-0DE1-491C-95D5-5EC257BD4CA3}]

CODEBASE = http://akamai.downloadv3.com/binaries/IA/dtc32_ES_XP.cab

[Minesweeper Flags Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\minesweeper.dll

CODEBASE = http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

[{469C7080-8EC8-43A6-AD97-45848113743C}]

CODEBASE = http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

[{50AD557E-3426-41FD-AFDD-2AF39BB1C387}]

InProcServer32 = C:\WINDOWS\System32\LiveService_5.dll

CODEBASE = http://akamai.downloadv3.com/binaries/Live...ice_5_ES_XP.cab

[PremiumHTML Class]

InProcServer32 = C:\WINDOWS\DOWNLO~1\IBEROD~1.DLL

[MessengerStatsClient Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll

CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

[YAddBook Class]

InProcServer32 = C:\ARCHIV~1\Yahoo!\Common\yaddbook.dll

CODEBASE = http://us.dl1.yimg.com/download.yahoo.com/...utocomplete.cab

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[FlashXControl Object]

InProcServer32 = C:\WINDOWS\System32\FlashAX\FlashAX.ocx

CODEBASE = https://jackpotcity.microgaming.com/jackpotcity/FlashAX.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

End of report, 5.811 bytes

Report generated in 0,061 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only

Eso es todo, espero que te ayude un poco mas y si no, depende de lo que me digas formateare el disco y se acabaron los problemas.

Enga un saludo y muchas gracias.
 
A

Arwing

Guest
#10
¿Has desactivado la opción de Restaurar el Sistema?

Desactivar restaurar sistema

Si la carpeta ya no está es posible que sólo quede su entrada en el registro.

Entra en el Registro y ve a la siguiente ruta

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Y elimina las siguientes entradas:

saap = c:\windows\180solutions\saap.exe

requester = "C:\WINDOWS\System32\requester.5.exe"

Ahora borra el archivo requester.5.exe

Después ve a la carpeta C:\WINDOWS\Downloaded Program Files\ y trata de ubicar un archivo que diga:

[PremiumHTML Class]

InProcServer32 = C:\WINDOWS\DOWNLO~1\IBEROD~1.DLL

Inténtalo y nos dices que tal va ahora.

Arwing
 

alnitak

Ex-Admin
Miembro
#11
Bueno, voy a ampliar un poco la respuesta de arwing porque me paece que quedan mas cosas por hacer

Reinicia en modo seguro

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina esta entrada:

saap = c:\windows\180solutions\saap.exe

no se de que va esta otra:

requester = "C:\WINDOWS\System32\requester.5.exe"

si no te suena eliminala tambien

Ahora en el panel izquierdo colapsa todas las ramas y selecciona Mi PC, después dale al menú edicion > buscar > busca y elimina todas las entradas para los siguiente valores:

0594AF7E-573B-40DF-8165-E47AB2EAEFE8

093F9CF8-0DE1-491C-95D5-5EC257BD4CA3

469C7080-8EC8-43A6-AD97-45848113743C

50AD557E-3426-41FD-AFDD-2AF39BB1C387

Cierra el editor de registro

Sigue las instrucciones de esta pagina:

Cómo registrar una DLL en Windows XP

y deregistra estas dll: (usando el comando Regsvr32 [/u] [/s] <nombre del fichero> )

C:\WINDOWS\Downloaded Program Files\IBEROD~1.DLL ve tu el nombre exacto

C:\WINDOWS\System32\LiveService_5.dll

Remueve estos archivos:

C:\WINDOWS\Downloaded Program Files\IBEROD~1.DLL ve tu el nombre exacto

C:\WINDOWS\System32\LiveService_5.dll

Escaneate con Ad Aware ultima versión y actualizado.

Toma otro log a ver y dinos si tu sistema sigue lento
 
Estado
Cerrado para nuevas respuestas
Arriba Pie