Log de HijackThis

Estado
Cerrado para nuevas respuestas

juamaz

Nuevo Miembro
Miembro
#1
Buenas Alnitak, Arwing y a todos los foreros.

Bueno este es mi primer post en este foro y después de haberme leido casi todos los post debo decir que la ayuda que prestan es formidable. En breve seré capaz de leer bien un log.

El log de mi máquina lo pondré otro dia pero ahora el que debe ser revisado por un experto es el de mi hermano que tiene seguro más de una sección para borrar.

Lo pego íntegro y pido disculpas porque figuran procesos como VNC, netmeeting y quizas MSN ya que en el momento de capturar el log estabamos conectados por varios de estos programas.

En negrita marco lo que a mi modo de ver debe ser borrado y con 5 guiones en donde tengo dudas de que es así de paso me decís si he acertado en algo ok?

Logfile of HijackThis v1.98.2

Scan saved at 19:43:00, on 21/09/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe ----- será el spool de la impresora?

C:\ARCHIVOS DE PROGRAMA\HIDE FILES AND FOLDERS\HideFilesAndFoldersA.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\wuauclt.exe ----- será de Windows update?

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\ACD Systems\ImageFox\ImageFox.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\rsvp.exe

C:\Archivos de programa\NetMeeting\conf.exe

C:\WINDOWS\System32\rundll32.exe

C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\ALFREDO\Mis documentos\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll -----

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: ImageFox.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: Chica10 - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\System32\Chica10 (file missing)

O9 - Extra button: Todo Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\mcm-1000coches\local.htm (file missing)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab ------

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} http://akamai.downloadv3.com/binaries/IA/dtc32_ES_XP.cab -----

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab -----

O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} - http://www.dialerzona.com/cuadruple.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} http://www.chicasmodelos.com/ruboskizo2.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10a0591f0170c0...RdxIE601_es.cab -----

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} - http://www.grupomarineda.net/auto/DialerData.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289}http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} (IntPagomaster Class) - http://www.webcamenvivo.com/xxx/pagomast.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - file://C:\IberoDialerHTML.cab

O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab -----

O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom2.cab -----

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab -----

O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_ES_XP.cab -----

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...323/mcfscan.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab

O21 - SSODL: System - {E295633B-F3B9-49BC-9636-F33E237EAF5A} - (no file)

Bueno pues gracias por adelantado.
 

alnitak

Ex-Admin
Miembro
#2
En mi opinion son estas:

R3 - Default URLSearchHook is missing

O9 - Extra button: Chica10 - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\System32\Chica10 (file missing)

O9 - Extra button: Todo Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\mcm-1000coches\local.htm (file missing)

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} http://akamai.downloadv3.com/binaries/IA/dtc32_ES_XP.cab -----

O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} - http://www.dialerzona.com/cuadruple.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} http://www.chicasmodelos.com/ruboskizo2.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10a0591f0170c0...RdxIE601_es.cab ----

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} - http://www.grupomarineda.net/auto/DialerData.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289}http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} (IntPagomaster Class) - http://www.webcamenvivo.com/xxx/pagomast.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - file://C:\IberoDialerHTML.cab

O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab

O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.sponsoradulto.com/SysWebTelecom2.cab -----

O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_ES_XP.cab -----

y no estoy seguro sobre esta:

O21 - SSODL: System - {E295633B-F3B9-49BC-9636-F33E237EAF5A} - (no file)

Pero el hijackThis no muestra las que le son conocidas y ese codigo: E295633B-F3B9-49BC-9636-F33E237EAF5A no sale ni en google por lo tanto es muy probable que sea ilegal (probable pero de ninguna manera seguro)

Sobre el C:\WINDOWS\System32\wuauclt.exe es el proceso que maneja las actualizioenes automaticas en Windows ME y XP y sobre el C:\WINDOWS\system32\spoolsv.exe es el proceso que maneja las colas de impresión, puesto que están en las carpetas correctas son archivos legales, algúnos malwares utilizan los mismos nombres pero en otras carpetas.

Esta entrada:

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

es la actualización automatica del realplayer, es legal pero algo fastidiosa, en mi sistema la remuevo.

y esta otra:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10a0591f0170c0...RdxIE601_es.cab -----

tambien es de realplayer pero no sale en todas las instalaciones y hasta la fecha no se bien que es lo que hace por lo tanto acostumbro mandarla a remover sin que esto haya caudado nunca algún problema al menos que yo sepa. Si no quieres arriesgarte puedes dejarla.

Esta otra:

O4 - Global Startup: ImageFox.lnk = ?

No se que es pero parece ser perfectamente legal.

Yo diría que si has acertado B)
 

juamaz

Nuevo Miembro
Miembro
#3
Gracias Alnitak por tu contestación y me alegro de que efectivamente no he fallado mucho. Además de las secciones O16 de las que tenia dudas pues hubiera dejado sin remover las 4 de messenger y la de real player. Asi que removeremos las que nos has indicado.

Mis preguntas ahora son:

1ª Esta entrada:

R3 - Default URLSearchHook is missing

Es como si no hiciera nada no?

2ª Estas entradas:

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

Son de Google ok. ¿ Son, según un manual de Hijackthis traducido por tu colega Arwing, nuevos items que aparecen en el menu contextual en Internet?

3ª la última es:

Es posible que todas las entradas que en tu post anterior mencionas para remover causaran una ralentización de internet?

Por último te comento que la entrada:

O4 - Global Startup: ImageFox.lnk = ?

Efectivamente es legal. Corresponde a un modulo del programa ACDSee 4.0 para visualización de imagenes.

Pues bien de nuevo gracias. Eres un crack.
 

alnitak

Ex-Admin
Miembro
#4
Esta entrada:

R3 - Default URLSearchHook is missing

indica que falta el archivo. Probablemente se deba a que el archivo era ilegal y algún programa antispyware o antivirus que has pasado lo ha removido pero como pasa muchas veces sin editar la entrada del registro.

Los programa legales que utilizan las R3 siempre colocan sus nombres, por ejemplo el Copernic.

Las otras 4:

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

Son de la Googletoolbar, al hacer clic derecho sobre una web desde el iexplorer te saldrá un menu contextual que incluye esas entradas:

Instantanea del cache de la pagina.

Paginas similares

Paginas vinculadas

.......................

Puesto que es un programa legal y que solo está presente si uno mismo lo instala no hace falta tocar nada.

Si ya no quieres la barra de google desinstalala desde el panel control.

Es imposible que las entradas que te he mandado a remover en este caso hagan tu navegacion mas lenta, si es posible que un error a la hora de remover entradas la haga mas lenta y hasta que dañe la conexión o el mismo sistema operativo hasta el punto que ya no reinicie, por eso hay que andarse con sumo cuidado
 

juamaz

Nuevo Miembro
Miembro
#5
Bueno las entradas que me comentaste han sido borradas.

Lo de la conexión lenta debe ser porque el proveedor de mi hermano que es Auna-Supercable con el tema de la duplicación de ancho de banda están fastidiando a mas de uno. El tiene net300 y los test de velocidad de telefonica le están dando valores de 70 kbts, 100 kbts de bajada etc, cuando lo normal hasta hace poco eran unos 310 320 kbts.

Bueno pues a esperar que lo arreglen todo.

Si quieres cierra tema y de nuevo gracias.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie