Log File

Estado
Cerrado para nuevas respuestas

adryan

Nuevo Miembro
Miembro
Hola vamos a ver, no se manejar muy bien el hijackthis, entonces os voya apreguntar una cosa.

Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2

Scan saved at 10:02:05, on 15/09/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

c:\winnt\system32\os2\FireDaemon.EXE

C:\Archivos de programa\Eset\nod32krn.exe

c:\winnt\system32\os2\lsass.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\archivos de programa\ASUS\Probe\AsusProb.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINNT\system32\RUNDLL32.EXE

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\AVERTV2K\QuickTV.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrador\Escritorio\eMule\emule.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.elmundo.es/[/url]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\system32\bridge.dll

O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINNT\system32\apuc.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ASUS Probe] c:\archivos de programa\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [System] system32.exe

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\system32\bridge.dll",Load

O4 - HKLM\..\Run: [Windows Security] winmon.exe

O4 - HKLM\..\RunServices: [System] system32.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVERTV2K\QuickTV.exe

O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe
A ver el primer parrafo lo entiendo.

El segundo si no me equvioc es lo uqe te sale dando a ctr-shift-esc.

Pero el tercer parrafo no tengo ni idea, si me podéis ayudar.

P.D: Si ves algún virus avisadme .
 

dk01

Ex-Admin
Miembro
Hola adryan.

La verdad sospechoso. Igualmente voy a mover tu mensaje al foro de seguridad (la próxima vez postea tu log allí).

Saludos.
 

adryan

Nuevo Miembro
Miembro
ok, gracias, aunke ya los abia eliminado porque después pase el adware y el nod32 y no se cual pero me los eliminaron
 

alnitak

Ex-Admin
Miembro
Yo te sugiero que coloques otro log porque también veo algúnos procesos muy sospechosos, porbablemente troyanos, y los antivirus no siempre remueven los troyanos.

Ejemplos:

O4 - HKLM\..\Run: [System] system32.exe

O4 - HKLM\..\Run: [Windows Security] winmon.exe

O4 - HKLM\..\RunServices: [System] system32.exe
 

adryan

Nuevo Miembro
Miembro
Nuevo HijackThis

Nuevo HijackThis dijo:
Logfile of HijackThis v1.98.2

Scan saved at 17:14:02, on 15/09/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

c:\winnt\system32\os2\FireDaemon.EXE

c:\winnt\system32\os2\lsass.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINNT\system32\nvsvc32.exe

C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\archivos de programa\ASUS\Probe\AsusProb.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINNT\system32\RUNDLL32.EXE

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINNT\system32\ctfmon.exe

C:\Archivos de programa\AVERTV2K\QuickTV.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrador\Escritorio\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ASUS Probe] c:\archivos de programa\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [System] system32.exe

O4 - HKLM\..\Run: [Windows Security] winmon.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\RunServices: [System] system32.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVERTV2K\QuickTV.exe

O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/
Ademas veo otra cosa sospechosa que no entiendo.

Imagen Perdida/Rota

Xq hay dos lsass, y que yo sepa solo me conectoa internet con el explorer y con el emule yo los demas no se pa que son.
 

alnitak

Ex-Admin
Miembro
El otro es este: c:\winnt\system32\os2\lsass.exe

Te suena de algo esa carpeta ?

c:\winnt\system32\os2\

Desde esa misma carpeta se está ejecutando este otro proceso:

c:\winnt\system32\os2\FireDaemon.EXE

Yo no se que son pero me parece improbable que algún programa legal use los mismos nombres de archivos de sistema para ejecutarse.

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina cada uno estos procesos:

c:\winnt\system32\os2\FireDaemon.EXE

c:\winnt\system32\os2\lsass.exe

system32.exe

winmon.exe

Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que esos procesos ya no estén.

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina estas entradas:

[System] system32.exe

[Windows Security] winmon.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina esta entrada:

[System] system32.exe

Cierra el editor de registro.

Averigua que son los otros 2 procesos y posteame el log del startuplist que tomas con el hijackthis desde config >> misc tools > marca la casilla list empty sections (complete) y dale a generate startuplist.
 

adryan

Nuevo Miembro
Miembro
hola, alnitak, muchas gracias por toda la ayuda, aunke tal vez no este todo solucionado creo que voy progresando.

Los archivos eran troyanos, algúnos se instalaban con el mirc firedaemon, y otros eran también troyanos, lo que tuve que hacer era iniciar en modo seguro, debido a que los archivos no se dejaban terminar,

los de la carpeta C:\winnnt\system32\os existian y los encontres, la carpeta era oculta y solo pude borrar su contenido ya que nmo abia forma de encontrar la carpeta.

Los de winmon y system32 no los e localizado, me extrala que lago que se inicie no exista pero bueno....

Aquí tienes el logfile, si encuentras algo maligno dimelo.

Insertar CODE, HTML o PHP:
StartupList report, 15/09/2004, 23:56:53

StartupList version: 1.52.2

Started from : C:\HijackThis.EXE

Detected: Windows 2000 SP4 (WinNT 5.00.2195)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

* Including empty and uninteresting sections

==================================================

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\archivos de programa\ASUS\Probe\AsusProb.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINNT\system32\RUNDLL32.EXE

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINNT\system32\ctfmon.exe

C:\Archivos de programa\AVERTV2K\QuickTV.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio]

*No files*

Shell folders AltStartup:

*Folder not found*

User shell folders Startup:

*Folder not found*

User shell folders AltStartup:

*Folder not found*

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

QuickTV.lnk = C:\Archivos de programa\AVERTV2K\QuickTV.exe

TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe

Shell folders Common AltStartup:

*Folder not found*

User shell folders Common Startup:

*Folder not found*

User shell folders Alternate Common Startup:

*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINNT\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon

NvCplDaemon = RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

nwiz = nwiz.exe /install

Smapp = C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

ASUS Probe = c:\archivos de programa\ASUS\Probe\AsusProb.exe

RemoteControl = "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

InCD = C:\Archivos de programa\Ahead\InCD\InCD.exe

HPDJ Taskbar Utility = C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

nod32kui = "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

Windows Security = winmon.exe

BDMCon = C:\Archivos de programa\Softwin\BitDefender Standard Edition\\bdmcon.exe

System = system32.exe

RunDLL = rundll32.exe "C:\WINNT\system32\bridge.dll",Load

outpost_uninst = C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\_uninstop.exe /u

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

System = system32.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

NvMediaCenter = RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit

MsnMsgr = "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

ctfmon.exe = ctfmon.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]

*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

File association entry for .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:

HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:

HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:

HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:

HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:

HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINNT\system32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:

HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINNT\WIN.INI:

load=*INI section not found*

run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=(NINGUNO)

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Task Scheduler jobs:

At33.job

--------------------------------------------------

Enumerating Download Program Files:

[{33564D57-0000-0010-8000-00AA00389B71}]

CODEBASE = [url]http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB[/url]

[Update Class]

InProcServer32 = C:\WINNT\system32\iuctl.dll

CODEBASE = [url]http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38239.2416203704[/url]

[Shockwave Flash Object]

InProcServer32 = C:\WINNT\system32\macromed\flash\Flash.ocx

CODEBASE = [url]http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINNT\System32\rnr20.dll

NameSpace #2: C:\WINNT\System32\winrnr.dll

Protocol #1: imon.dll (file MISSING)

Protocol #2: imon.dll (file MISSING)

Protocol #3: imon.dll (file MISSING)

Protocol #4: imon.dll (file MISSING)

Protocol #5: imon.dll (file MISSING)

Protocol #6: C:\WINNT\system32\msafd.dll

Protocol #7: C:\WINNT\system32\msafd.dll

Protocol #8: C:\WINNT\system32\msafd.dll

Protocol #9: C:\WINNT\system32\rsvpsp.dll

Protocol #10: C:\WINNT\system32\rsvpsp.dll

Protocol #11: C:\WINNT\system32\msafd.dll

Protocol #12: C:\WINNT\system32\msafd.dll

Protocol #13: C:\WINNT\system32\msafd.dll

Protocol #14: C:\WINNT\system32\msafd.dll

Protocol #15: C:\WINNT\system32\msafd.dll

Protocol #16: C:\WINNT\system32\msafd.dll

Protocol #17: C:\WINNT\system32\msafd.dll

Protocol #18: C:\WINNT\system32\msafd.dll

Protocol #19: imon.dll (file MISSING)

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

Windows NT checkdisk command:

BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':

PendingFileRenameOperations: *Registry value not found*

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll

WebCheck: C:\WINNT\system32\webcheck.dll

SysTray: stobject.dll

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 14.883 bytes

Report generated in 0,031 seconds

Command line options:

   /verbose  - to add additional info on each section

   /complete - to include empty sections and unsuspicious data

   /full     - to include several rarely-important sections

   /force9x  - to include Win9x-only startups even if running on WinNT

   /forcent  - to include WinNT-only startups even if running on Win9x

   /forceall - to include all Win9x and WinNT startups, regardless of platform

   /history  - to list versión history only
Caxo logfile, supongo que era esto lo que me decias.

M U X A S G R A C I A S
 

alnitak

Ex-Admin
Miembro
Ya no hay ningún proceso sospechoso pero tenemos todavia algúnas entradas del registro que no queremos dejar:

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

............................................................

Windows Security = winmon.exe

System = system32.exe

RunDLL = rundll32.exe "C:\WINNT\system32\bridge.dll",Load

outpost_uninst = C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\_uninstop.exe /u

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

System = system32.exe

Remueve esas entradas después de respaldar el registro.

Esta:

RunDLL = rundll32.exe "C:\WINNT\system32\bridge.dll",Load

es de uno de los adwares que te he nombrado arriba, es altamente probable que el Ad Aware ya haya eliminado el archivo: C:\WINNT\system32\bridge.dll pero asegurate que ya no esté.

Esta otra:

outpost_uninst = C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\_uninstop.exe

es creada al remover Outpost Firewall pero debería desaparecer al reiniciar, en algúnos casos no se elimina y no hace nada malo pero estorba, así que si después de reiniciar sigue presente eliminala. ;)
 

adryan

Nuevo Miembro
Miembro
ok, dicho y echo, ya no me da ningún error ni nada al reinicar y to ok.

Muchas gracias, ahora solo una duda.

Para que son/que son

mobsync.exe

ctfmon.exe

mdm.exe

Xq lo e buscao pero me suena todo a chino.

Gracias
 
Estado
Cerrado para nuevas respuestas
Arriba Pie