Log WinXP

Estado
Cerrado para nuevas respuestas

adryan

Nuevo Miembro
Miembro
#1
Hola, pues bueno, me e pasado a Windows XP, y resulta que yo huelo a la legua que tengo cosas malas, así que aquí dejo mi logfile, el win2000 ya me sabia que preocesoso eran malo pero ahora no toy tan seguro

Logfile of HijackThis v1.98.1

Scan saved at 20:29:17, on 04/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Insertar CODE, HTML o PHP:
Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\archivos de programa\asus\Probe\AsusProb.exe

C:\Program Files\Windows SyncroAd\WinSync.exe

C:\WINDOWS\System32\PDSched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Windows SyncroAd\SyncroAd.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Ordenador\Escritorio\eMule\eMule.exe

C:\DOCUME~1\ORDENA~1\CONFIG~1\Temp\Rar$EX00.484\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.elmundo.es/[/url]

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ASUS Probe] c:\archivos de programa\asus\Probe\AsusProb.exe

O4 - HKLM\..\Run: [win update] wapdate.exe

O4 - HKLM\..\Run: [Microsoft media services] Iassd.exe

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe

O4 - HKLM\..\Run: [jsxmr] C:\WINDOWS\jsxmr.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Archivos de programa\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\Run: [bklnbsseiip] C:\WINDOWS\System32\qmpypt.exe

O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe

O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe

O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe

O4 - HKLM\..\Run: [Windows Service Pack2] win43.exe

O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe

O4 - HKLM\..\RunServices: [win update] wapdate.exe

O4 - HKLM\..\RunServices: [Microsoft media services] Iassd.exe

O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe

O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe

O4 - HKLM\..\RunServices: [Windows Service Pack2] win43.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [win update] wapdate.exe

O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe

O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Web Rebates - file://C:\Archivos de programa\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - [url]http://public.windupdates.com/get_file.php?bt=ie&p=91d3fe30d014b3f8a3e72d324941f64a47b80c0e7095dfce02cdb7bcf5cae259389c62a452bd83eac9ee8288f84b7f902faf9eec7e21a306b9fd:02f2efe9d3385b47fa638947cb1648aa[/url]

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096908439311[/url]
Por Favor, dadme algúna recomendaciones para empezar bien desde el principio.
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Sería mas rápido decirte lo que NO ES un malware je

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina cada uno estos procesos:

Msbb.exe

wapdate.exe

Iassd.exe

SyncroAd.exe

WinSync.exe

jsxmr.exe

WebRebates0.exe

WebRebates1.exe

qmpypt.exe

conscorr.exe

PDSched.exe

lsrv.exe

win43.exe

Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que esos procesos ya no estén.

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina estas entradas:

[Msbb.exe] Msbb.exe

[win update] wapdate.exe

[Microsoft media services] Iassd.exe

[Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

[msbb] c:\temp\msbb.exe

[jsxmr] C:\WINDOWS\jsxmr.exe

[WebRebates0] "C:\Archivos de programa\Web_Rebates\WebRebates0.exe"

[bklnbsseiip] C:\WINDOWS\System32\qmpypt.exe

[conscorr] C:\WINDOWS\conscorr.exe

[Microsoft DirectX] PDSched.exe

[Microsoft Services] lsrv.exe

[Windows Service Pack2] win43.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina estas entradas:

[Msbb.exe] Msbb.exe

[win update] wapdate.exe

[Microsoft media services] Iassd.exe

[Microsoft DirectX] PDSched.exe

[Microsoft Services] lsrv.exe

[Windows Service Pack2] win43.exe

Cada usuario dispone de un área en el registro de la forma HKEY_LOCAL_USERS\. Por cada usuario(ósea sigue todas las instrucciones hasta el final con el usuario que estás usando y después vuelves a entrar al sistema en modo seguro desde cada cuenta de usuario que exista en tu sistema) sigue las siguientes instrucciones para editar el registro.:

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\

En el panel derecho elimina estas entradas:

[Msbb.exe] Msbb.exe

[win update] wapdate.exe

[Microsoft Services] lsrv.exe

[Microsoft DirectX] PDSched.exe

Ya puedes cerrar el editor de registro.

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll

O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe

O4 - HKLM\..\Run: [win update] wapdate.exe

O4 - HKLM\..\Run: [Microsoft media services] Iassd.exe

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe

O4 - HKLM\..\Run: [jsxmr] C:\WINDOWS\jsxmr.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Archivos de programa\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\Run: [bklnbsseiip] C:\WINDOWS\System32\qmpypt.exe

O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe

O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe

O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe

O4 - HKLM\..\Run: [Windows Service Pack2] win43.exe

O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe

O4 - HKLM\..\RunServices: [win update] wapdate.exe

O4 - HKLM\..\RunServices: [Microsoft media services] Iassd.exe

O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe

O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe

O4 - HKLM\..\RunServices: [Windows Service Pack2] win43.exe

O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe

O4 - HKCU\..\Run: [win update] wapdate.exe

O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe

O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe

O8 - Extra context menu item: Web Rebates - file://C:\Archivos de programa\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie& amp;p=91d3fe30d014b3f8a3e72d324941f64a47b80c0e7095dfce02cdb7bcf5cae259389c62a452

bd83eac9ee8288f84b7f902faf9eec7e21a306b9fd:02f2efe9d3385b47fa638947cb1648aa

Elimina estos archivos:

C:\WINDOWS\localNRD.dll

C:\WINDOWS\2_0_1browserhelper2.dll

Msbb.exe

wapdate.exe

Iassd.exe

SyncroAd.exe

WinSync.exe

jsxmr.exe

qmpypt.exe

conscorr.exe

PDSched.exe

lsrv.exe

win43.exe

Elimina esta carpeta y todo su contenido:

C:\Archivos de programa\Web_Rebates\

Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie