log del hijacksthis

Estado
Cerrado para nuevas respuestas

ZEPEQUENHO

Nuevo Miembro
Miembro
#1
Hola, antes escribí pero no se donde fue a parar, mira yo tengo el mismo problema, mi Windows inicia con 42 procesos y ya puse MSCONFIG y saque todos los programas que no quiero en el inicio pero cuando miro os procesos, ahi están corriendo igual.Ademas parece que tengo un troyano que hace que envie menos bytes de los que recibo, por ejemplo:en este momento estoy enviando 1.806.152 y recibo 8.409.518 y de a ratos (segun el soporte de Adsl mi pc no hace ping) :(

Por todo esto me baje el hijacksthis e hice este log:

Logfile of HijackThis v1.98.2

Scan saved at 3:50:56, on 24/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\CA-80U\ADSL\Cn:)slTb.exe

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\WINDOWS\System32\rundll32.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HIJACKS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {57E65725-1CB7-ECF9-5C9C-1864505529F3} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\es-la\msntb.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.2001.0001\es-la\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Cn:)slTaskBar] C:\Archivos de programa\CA-80U\ADSL\Cn:)slTb.exe

O4 - HKLM\..\Run: [QD FastAndSafe] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /scheduler

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [mmtask] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: ConferenceRoom Java Client - http://conectados.ciudad.com.ar/java/cr.cab

O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{B39E1C90-2FAA-4245-A7C9-BBC211610BD4}: NameServer = 200.42.0.108 200.42.0.109

Logfile of HijackThis v1.98.2

Scan saved at 3:50:56, on 24/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Pero para mi no me dice nada porque no tengo idea de que dice.

Podria alguien leer y decirme que tengo?

GRACIAS!

MARU:rolleyes:
 

alnitak

Ex-Admin
Miembro
#2
Es normal que envies menos Bytes de los que recibes, sería mas bien sospechoso lo contrario.

Ten en cuenta que cada vez que abres una pagina Web o que realizas una descarga estás recibiendo mucho mas de lo que estás enviando.

En el HijackThis solo limpia estas:

O2 - BHO: (no name) - {57E65725-1CB7-ECF9-5C9C-1864505529F3} - (no file)

O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB

Todos los procesos que tienes corriendo paracen ser legales, para eliminar los que no quieras en en el arranque utiliza el Msconfig.
 

ZEPEQUENHO

Nuevo Miembro
Miembro
#3
Gracias! disculpa que lo escribi en cualquier lado, todavia no soy muy ducha en los foros, te agradezco que me hayas leido el log, ahora como lo borro? directamente del regedit? y otra y ultima pregunta, ya hice eso del msconfig y deshabilite los procesos de inicio de los programas que no quiero como el tray del modem pero ahora aparece por un segundo el icono y desaparece pero consulto el administrador y sigo viendo el proceso al igual que el del drag to disc y roxio.

Podrias decirme paso x paso como se quita el proceso?

Y una vez mas GRACIAS es realmente bueno lo que hacen, y muy rapido.

Y no te robo mas tiempo.

MARU
 

alnitak

Ex-Admin
Miembro
#4
Para limpiar las 2 entradas de arriba simplemente marca las casillas correspondientes en mismo HijackThis y después dale al boton Fix

Sobre los programas en el arranque del sistema desmarca las casillas correspondientes en la pestaña inicio del msconfig y acepta, después de reiniciar te saldrá un mensaje informandote que se está ejecutando el inicio selectivo, dile que no te vuelva a mostrar ese mensaje y acepta.

Si no estás segura de haber aceptado el inicio selectivo la ultima vez que lo has modificado entonces revisa en el mismo msconfig en la pestaña General que esté marcada la casilla de Inicio Selectivo.

Con el mismo HijackThis podrías remover las entradas de arranque, son todas las que empiezan por 04, osea estas:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Cn:)slTaskBar] C:\Archivos de programa\CA-80U\ADSL\Cn:)slTb.exe

O4 - HKLM\..\Run: [QD FastAndSafe] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /scheduler

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [mmtask] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

Se trataría de marcar las casillas de las que no quieres y después darle al boton fix, pero no te recomiendo hacerlo porque las estaría removiendo permanentemente(a pesar de que las podrías restaurar mediante el backups) y puesto que son entradas legales es mucho mejor hacerlo a través del msconfig, admeas algúnos programas o dispositivos podrian dejar de funcionar bien si remueves la entrada correspondiente y es mejor dejar abierta la posibilidad de rehabilitarlas posteriormente si surgen problemas volviendo a marcar la casilla correspondiente en el msconfig.
 

ZEPEQUENHO

Nuevo Miembro
Miembro
#5
MUUUUCHAS GRACIAS!!!!!!!y ya sabes, si venis por Bs As. me avisas y nos tomamos unas birras, ok? :D

MARU
 
Estado
Cerrado para nuevas respuestas
Arriba Pie