Malware istsvc - hijackthis

Estado
Cerrado para nuevas respuestas.

Autos

Nuevo Miembro
Miembro
Buenos días.

En uno de los ordenadores de la empresa se nos ha instalado malware y no hay forma de quitarlo ni con el ad-ware. Os dejamos el log de hijackthis a ver si nos podéis ayudar. Gracias.

Logfile of HijackThis v1.99.0

Scan saved at 12:04:58, on 24/01/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE

C:\Program Files\Rmltz\Dilne.exe

C:\Archivos de programa\ISTsvc\istsvc.exe

C:\WINNT\asfxpsxg.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Maria1\Mis documentos\HijackThis\HijackThiswww.trucoswindows.net]trucoswindows.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Xprqyzha] C:\Program Files\Rmltz\Dilne.exe

O4 - HKLM\..\Run: [IST Service] C:\Archivos de programa\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [¢ª¸ï0/4»}¥ Uw‡5_C:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINNT\asfxpsxg.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://download.35mb.com/images/applet/applet_y.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS1\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS2\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Panda Process Protection Service - Unknown - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\pavsrv50.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Panda IManager Service - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe
 

krek

Nuevo Miembro
Miembro
buenas...

espero no equivocarme... haz lo siguiente:

cierra todos los exploradores...

ejecuta el hijackthis, dale a do a system scan

marca las casillas de las siguientes lineas y dale a fix cheked:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Xprqyzha] C:\Program Files\Rmltz\Dilne.exe

O4 - HKLM\..\Run: [IST Service] C:\Archivos de programa\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [¢ª¸ï0/4»}¥ Uw‡5_C:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINNT\asfxpsxg.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/cont...s/AvDetInst.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://download.35mb.com/images/applet/applet_y.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS1\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS2\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

una vez realizado esto y dado al boton fix chequed... seguimos haciendo lo siguiente...

vete a inicio ejecutar escribe "msconfig", en la pestaña inicio desmarca (si estan) los siguientes procesos:

C:\Program Files\Rmltz\Dilne.exe

C:\Archivos de programa\ISTsvc\istsvc.exe

C:\WINNT\asfxpsxg.exe

ahora vete a la pestaña general de la ventanita del msconfig... y marca la casilla de inicio selectivo...

Reinicia el sistema, asegurate que tienes activado el ver los archivos ocultos y de sistema... vete a lso siguiente directorios y elimina:

C:\Program Files\ y eliminas Rmltz (la carpeta)

C:\Archivos de programa\ y eliminas ISTsvc (la carpeta)

C:\WINNT\ y elimnas el archivo asfxpsxg.exe

vacia la papelera de reciclaje.

ejecuta el hijackthis vuelve a darle a "do a system scan and save a log file " y peganoslo!

saludos!
 

Autos

Nuevo Miembro
Miembro
Hola!!

Ya he hecho la parte del hijackthis y al poner msconfig en inicio ejecutar, me dice que no se puede encontrar el archivo ya lo ponga entre comas o sin ellas. No se como meterme.

gracias.
 

alnitak

Ex-Admin
Miembro
Hola Autos

Como entenderás este es un foro abierto y por lo tanto cada quien puede dar su opinion, pero habemos solamente 2 usuarios moderando el foro de Seguridad:

Arwing y yo

Otros moderadores de otros foros también están capacitados para leer logs (Angelducel, etc.)

Te aconsejo a ti y a los demas esperar en cada caso la opinion de un moderador antes de empezar a eliminar entradas porque los demas usuarios a pesar de tener buenas intenciones pueden cometer errores....

Por favor, en el HJT restaura estas entradas si has llegado a eliminarlas:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O17 - HKLM\System\CCS\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS1\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS2\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

Despuéstoma otro log y copialo aquí para decirte como resolver tu problema
 

Autos

Nuevo Miembro
Miembro
Hola alnikat: Ningún problema. ahora ya entiendo lo que me quiso decir, que el anteiror nick no era moderador y podia estar equivocado. Ya restauré lo que me dices y esto me sale

Logfile of HijackThis v1.99.0

Scan saved at 18:12:45, on 24/01/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE

C:\WINNT\asfxpsxg.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINNT\system32\ntvdm.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\ISTsvc\istsvc.exe

C:\Documents and Settings\Maria1\Mis documentos\HijackThis\HijackThiswww.trucoswindows.net]trucoswindows.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [IST Service] C:\Archivos de programa\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [¢ª¸ï0/4»}¥ Uw‡5_C:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINNT\asfxpsxg.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS1\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS2\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Panda Process Protection Service - Unknown - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\pavsrv50.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Panda IManager Service - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe
 

alnitak

Ex-Admin
Miembro
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respáldalo salvándolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegúrate que esté marcada la casilla todos y sálvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina estas entradas:

[IST Service] C:\Archivos de programa\ISTsvc\istsvc.exe

[¢ª¸ï0/4»

}¥ Uw‡¬5 _C:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINNT\asfxpsxg.exe

Ya puedes cerrar el editor de registro.

Elimina estos archivos si existen:

C:\WINNT\asfxpsxg.exe

Elimina estas carpetas y todo su contenido si existen:

C:\Archivos de programa\ISTsvc\

Reinicia normalmente y postea otro log.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

Autos

Nuevo Miembro
Miembro
Ya esta. Ahi va de nuevo

Logfile of HijackThis v1.99.0

Scan saved at 19:05:54, on 24/01/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Documents and Settings\Maria1\Mis documentos\HijackThis\HijackThiswww.trucoswindows.net]trucoswindows.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS1\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS2\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Panda Process Protection Service - Unknown - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\pavsrv50.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Panda IManager Service - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe
 

krek

Nuevo Miembro
Miembro
a mi me gustaría ayudaros ya que veo que os veis "superados" ante tanta avalancha de logs... por eso me gustaría tener mas información acerca del hijackthis y acerca de las entradas... cuales eliminar cuales no...

pero bueno seguire investigando por mi cuenta, perdon por las molestias.

y si teneis cualquier tipo de ayuda que me pueda ilustrar con este programa no dudeis en mandarmela.

saludos, krek
 

AngeduCiel

Ex- Mod
Miembro
a mi me gustaría ayudaros ya que veo que os veis "superados" ante tanta avalancha de logs... por eso me gustaría tener mas información acerca del hijackthis y acerca de las entradas... cuales eliminar cuales no...
La primera vez que conteste un log (no fue aquí) cometi algúnas equivocaciones ya que mande al usuario a desactivar la opción de Restaurar Sistema y tenia Windows 98 xDD y ademas le dije eliminara las 017 y con eso se iba a quedar sin conexión xDD pero me corrijieron y al final el user logro solucionar su problema.

No soy un experto con el HijackThis, pero lo mucho o poco que sé practicamente lo he aprendido Gracias a Alnitak y Arwing, pues cuando no tenia que hacer me la pasaba observando de que forma contestaban los diferentes logs que les mandaban y aun me falta aprender mucho...

Saludos
 

krek

Nuevo Miembro
Miembro
O17 - HKLM\System\CCS\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS1\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.51

O17 - HKLM\System\CS2\Services\Tcpip\..\{41C08141-321F-4077-9B4D-E116C0EED437}: NameServer = 62.42.230.24,62.42.63.
jejeej cro que yo también le mande quitar las 017 xP jajajajaja

en fin fuera de bromas... seguire observando a estos dos autenticos maestros y espero algún dia poder lelgar a la suela de sus zapatos pues entonces estaré orgulloso del trabajo realizado ( y el esfuerzo ;-) )

saludos a todos ! xDD
 

alnitak

Ex-Admin
Miembro
Agrega esta pagina a tus favoritos:

http://computercops.biz/CLSID.html

Es la mas actualizada que hay para revisar las entradas 02 y 03 (simplemente coloca el codigo y dale a search)

Si una entrada 02 o 03 sale como X y si no sale es muy probable que sea un bho o una toolbar maliciosa, si sale como L es legal y si sale como O está en estudio (casi siempre es maliciosa)

Las entradas 01 son las entradas agregada al archivo hosts que se encuentra en C:\WINDOWS\system32\drivers\etc\

Este archivo maneja las redirecciones locales de la DNS, tiene prioridad sobre las DNS de tu ISP y puede ser empleado para bien por algún programa tipo Tweak XP para bloquear paginas maliciosas y redireccionar esas paginas a otra o para mal por muchos malwares para redireccionar paginas de antivirus a otra pagina.

Las entradas 04 son los procesos que se inician con Windows, ya en eso hay que tener experiencia para saber que es cada cosa y en caso de dudas existe google.

En ocasiones saldrán entradas 06, son restricciones impuestas al sistema casi siempre por algún malware o en raros casos por algún programa legal como Spybot.

Las 07 son restricciones del editor de registro, a no ser que el user las haya impuesto (casi nunca) hay que mandarlas a remover

Las 08 y 09 on entradas extra en el menu contextual del IExplorer y botones extra respectivamente. Ya aquí hay que saber reconocer que es malo y que es bueno, obviamente la googletoolbar no es mala porque es uno mismo el que la instala, así que no vuelvas a mandarla a remover :)

Las 010 son siempre malas y son problemas e el winsock, el HJT casi nunca las logra arreglar, hay que emplear el lspfix

http://www.snapfiles.com/get/lspfix.html

o en el caso sean provocadas por un programa legal, desinstalar ese programa que está dando problemas

...........................

Me he aburrido de escribir, las demas ve aprendiendo tu mismo que lo mas bonito de esto es precisamente ir aprendiendo cada día algo nuevo sobre como funciona nuestro sistema ;)
 

krek

Nuevo Miembro
Miembro
gracias alnitak por tus explicaciones!!!

eh estado ojeando todo lo que me has comentado, y he tomado buena nota, ahora tendré que familiarizarme con el resto.

(que conste que tengo el tutorial del hijackthis de estos foros... y tus comentarios al lado del icono del hijackthis en el escritorio para echarle siempre un ojo)

seguiré observando!! lo dicho muchas gracias y a seguir analizando logs... pro cierto respondes a ellos con una rapidez suprema!!! se nota que has visto ya unos cuantos y te salen solos jejeje

saludos! krek
 

alnitak

Ex-Admin
Miembro
Je, con el tiempo uno aprende a reconocer las cosas sin necesidad de buscar nada, después de revisar unos 1000 logs nada mas con un vistazo ya sabrás que es cada cosa xDD

Ademas me he hecho una formato de respuesta "estandar" en Word y nada mas es rellenar los espacios xDD
 
Estado
Cerrado para nuevas respuestas.
Arriba Pie