hijackthis.log analisis

Antes que todo, quiero felicitarlos por el buen foro en el que ustedes participan, he estado mirando algúnas discuciones, y me alegra saber que nosotros que estamos empezando en esto no estamos tan desamparados.

de ante mano quiero agradecer si me pueden ayudar.

He tenido algúnos problemas con mi PC, y un amigo me ha estado ayudando, hemos logrado dejarlo mas o menos operativo, instalando Adaware, Officescan, y el hijackthis, sin embargo el no está seguro de que todo ande bien, y me sugirió recurrir a gente con mas experiencia en el tema y que les posteara el siguiente log a ver si notan algo raro,

Logfile of HijackThis v1.98.2

Scan saved at 09:33:09 a.m., on 11/08/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\PCCWIN97.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\OFCDOG.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\PCTVOICE.EXE

C:\WINDOWS\SYSTEM\KEYHOOK.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\AHEAD\INCD\INCD.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\MAPISP32.EXE

\\CST2001\CTICST\EWORK\UEWORK.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-cti

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\SYSTEM\keyhook.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [OfficeScan95] "C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\pccwin97.exe" -HideWindow

O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [OfficeScan95] "C:\ARCHIVOS DE PROGRAMA\OFFICESCAN 95\pccwin97.exe"

O4 - Startup: CstCti.pif = C:\CSTCTI.BAT

O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0905cdbe249215...RdxIE601_es.cab

Esto no sé que es, en algúna página me salió de resultado que era un keylogger, si lo conoces déjalo ahí, pero si no entonces borralo: C:\WINDOWS\SYSTEM\KEYHOOK.EXE

Si fuera algo que no conoces entonces sigue los pasos para quitarlo donde se le menciona, sino sólo ignóralo.

Nota: Para poder ver archivos y carpetas ocultas en XP tenemos que abrir: MI PC>>menú herramientas>>opciones de carpeta>>pestaña Ver>>marcar las casillas de Mostrar todos los archivos y carpetas ocultas y Mostrar el contenido de las carpetas de sistema.

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

Termina estos procesos:

KEYHOOK.EXE

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y de existir elimina cualquiera de las siguientes entradas

[SiS Windows KeyHook] C:\WINDOWS\SYSTEM\keyhook.exe

Desactiva la opción de restaurar el sistema, para hacerlo:

Tecla Ctrl + tecla de pausa>>pestaña restaurar el sistema>>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

o

Inicio>>Control Panel>>Sistema>>pestaña restaurar el sistema>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

Si todavia no lo has hecho crea una nueva carpeta y salva en ella el hijackThis para que te guarde ahí los respaldos.

NOTA: Si algo sale mal y quieres meter el backup deberás después correr el hijackThis>>boton Config>>pestaña backups, marca la entrada a restaurar y clic sobre restore

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix. (las que todavía estén presentes)

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\SYSTEM\keyhook.exe

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0905cdbe249215...RdxIE601_es.cab <-- esto si eliminalo de todos modos.

Reinicia en modo seguro

Elimina también estos archivos:

C:\WINDOWS\SYSTEM\keyhook.exe

Elimina los archivos temporales

En general está muy bien. Excepto por lo de keyhook que no sé que es y Google no me arroja algo claro. También cabe mencionar que podrías desinstalar el Loadqm.exe que no sirve para nada y te puedes quitar ese proceso de encima. Para desinstalarlo visita: Consejos antes de pegar su log de HijackThis

Saludos

Arwing

Tu sistema está limpio, solo revisa esta entrada:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0905cdbe249215...RdxIE601_es.cab

y dale a fix

Si hay un keylogger que utiliza el nombre keyhook.exe pero no se guarda en la carpeta de sistem así que en este caso no se trata del keylogger y tu sistema está limpio de bichos.

Gracias por aclararmelo.

Arwing

Gracias a ambos por su tiempo.

no alcance a ver el post de Alnitak, así es que hice lo que me dijo Arwig, hasta ahora anda todo bién, el sistema se ha portado estable.

quisiera hacerles otra pregunta.

Por donde puedo comenzar a aprender sobre estos temas, me refiero a un sistema estructurado, es decir, no sé por ejemplo si estoy usando windows, debo empezar por la configuración del sistema de archivos, o configurar el acceso a la red.

no quisiera tomar un poquito de todo y que se me arme un tremendo plato de spagettis informatico XDDDDD.

Nuevamente gracias

Bueno, yo creo que con que vayas leyendo manuales y trucos puedes empezar a entender cómo funciona tu Windows. Ya hay material en esta web, y además de todo lo que puedes encontrar en Internet. También podrías consultar/comprar un libro que hable de Windows, por lo general son muy buenos (y muy caros ).

Si no preguntale a Jbex que se pone a leer de esto XD.

Arwing