Hijack This

Estado
Cerrado para nuevas respuestas

Agomh

Nuevo Miembro
Miembro
#1
Hola, es mi primer mensag en el foro Resolvi algúnos problemas con ayudas que se prestaron aquí a otros y decidi registrarme.

El caso es que tengo la sospecha de estar infectado con varios troyanos .. o gusanos.. no se. El ordenador me va muy lento.. algúnas paginas no se me abren...

Voy a pegar aquí lo que sale en el hijack this a ver si alguien me puede echar una mano y me comenta que es lo que está mal...

Logfile of HijackThis v1.98.2

Scan saved at 18:45:51, on 09/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\NORTON~1\NORTON~4\GHOSTS~2.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Archivos de programa\Norton SystemWorks\Password Manager\AcctMgr.exe

C:\WINDOWS\System32\lssrv.exe

C:\WINDOWS\System32\wvsvc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\Iexplore.exe

C:\Documents and Settings\Monica\Mis documentos\Mis archivos recibidos\HijackThis.exe

C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [AcctMgr] C:\Archivos de programa\Norton SystemWorks\Password Manager\AcctMgr.exe /startup

O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.0\THGuard.exe"

O4 - HKLM\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe

O4 - HKLM\..\Run: [Win32 NVIDIA Driver] MSPMSPSU.EXE

O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe

O4 - HKLM\..\Run: [Starting up] wvsvc.exe

O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe

O4 - HKLM\..\RunServices: [Win32 NVIDIA Driver] MSPMSPSU.EXE

O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe

O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe

O4 - HKCU\..\Run: [Win32 NVIDIA Driver] MSPMSPSU.EXE

O4 - HKCU\..\Run: [Starting up] wvsvc.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O15 - Trusted Zone: http://*.windowsupdate.com

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Jameijbb.dll

Bueno , a ver si alguien me comenta algo, gracias por la atencion

Si ta la cosa muy chunga no importa la intencion cuenta jeje
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola,

Desde el Panel Control > agregar/remover programas desinstala si existen:

Active Alert

Internet Optimizar

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Entra al administrador de tareas: <Ctrl>+<Alt>+<Supr> y termina cualquiera de los siguientes procesos si existen:

C:\WINDOWS\System32\lssrv.exe

C:\WINDOWS\System32\wvsvc.exe

Ejecuta el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O4 - HKLM\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe

O4 - HKLM\..\Run: [Win32 NVIDIA Driver] MSPMSPSU.EXE

O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe

O4 - HKLM\..\Run: [Starting up] wvsvc.exe

O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe

O4 - HKLM\..\RunServices: [Win32 NVIDIA Driver] MSPMSPSU.EXE

O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe

O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe

O4 - HKCU\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe

O4 - HKCU\..\Run: [Win32 NVIDIA Driver] MSPMSPSU.EXE

O4 - HKCU\..\Run: [Starting up] wvsvc.exe

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Jameijbb.dll



Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema), hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:

Disk Cleaner

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:

C:\WINDOWS\System32\lssrv.exe

C:\WINDOWS\System32\wvsvc.exe

C:\WINDOWS\System32\Jameijbb.dll

MSPMSPSU.EXE

svhost.exe < no te confundas con svchost.exe

Reinicia normalmente y reactiva la opción de restaurar el sistema.

Actualiza tu sistema a través del Windows Update

Postea otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

Agomh

Nuevo Miembro
Miembro
#3
Muchisimas gracias, de verdad

He hecho todo eso y la pagina de Windows update se me ha abierto rápido y se han echo las actualizaciones perfectamente rápido y sin problemas como antes que tardaba un siglo y luego se trababa...

Aquí te pongo el log del Hijack This que me ha salido ahora , después de hacerlo todo incluidas las actualizaciones:

Logfile of HijackThis v1.98.2

Scan saved at 23:07:43, on 09/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\NORTON~1\NORTON~4\GHOSTS~2.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Archivos de programa\Norton SystemWorks\Password Manager\AcctMgr.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Monica\Mis documentos\Mis archivos recibidos\HijackThis.exe

C:\WINDOWS\System32\wuauclt.exe

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [AcctMgr] C:\Archivos de programa\Norton SystemWorks\Password Manager\AcctMgr.exe /startup

O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.0\THGuard.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O15 - Trusted Zone: http://*.windowsupdate.com

:confused: *Una pregunta. En la carpeta de c:\windows\system32\ si me aparecia el Svhost.exe pero me llamó la atención que también aparecia el svcxhost.exe que creo que era un virus o algo asi, no? eso me ha dejado confuso y te preguntaria si debo borrarlo o que hacer....

Bueno mil gracias otra vez, si crees que debo hacer algo más... o que ya esta todo correcto me lo comentas vale?

Muchisimas Gracias otra vez
 

alnitak

Ex-Admin
Miembro
#4
Tu log está limpio.

El svcxhost.exe es un Worm así que borralo, pero no está activo así que no tienes que preocuparte, solo procura no repicarlo y eliminalo.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie