• Este sitio usa cookies. Para continuar usando este sitio, se debe aceptar nuestro uso de cookies. Más información.

Necesito ayuda con el HijackThis

Estado
Cerrado para nuevas respuestas

Kenni

Nuevo Miembro
Miembro
#1
Hola a todos!!

El otro dia detecte que el archivo svchost me estaba dando problemas.Mire información en internet y descubri que era un gusano.

He leido ya mil cosas y aun así no consigo eliminarlo.No soy una experta informatica pero intento defenderme.He probado todo aquello que he podido,y la solucion que me parece mas efectiva es el programa HijackThis v1.98.2.Pero yo no se leer el log,asi que os pido ayuda para eliminar el troyano.Por favor,estoy desesperada ya...

Gracias.

Aqui os imprimo mi archivo de log por si fuera de utilidad:

Logfile of HijackThis v1.98.2

Scan saved at 16:08:51, on 27/11/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Bluetooth Software\bin\btwdins.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\niSvcLoc.exe

C:\WINDOWS\System32\nvsvc32.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\RUNDLL32.EXE

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\System32\taskmgr.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {2CAC80B8-6BD7-5DD7-52A7-7A146740F52C} - C:\DOCUME~1\Admin\DATOSD~1\MAILKNOB\Flag Does.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\McAfee.com\Agent\mcupdate.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{352363D1-BBBE-4158-8400-CCEBCFFED78D}: NameServer = 194.224.52.4,194.224.52.6

O17 - HKLM\System\CCS\Services\Tcpip\..\{99D209B5-217D-47AA-9808-45C5375939FC}: NameServer = 194.224.52.4,194.224.52.6

O17 - HKLM\System\CS1\Services\Tcpip\..\{352363D1-BBBE-4158-8400-CCEBCFFED78D}: NameServer = 194.224.52.4,194.224.52.6

O17 - HKLM\System\CS2\Services\Tcpip\..\{352363D1-BBBE-4158-8400-CCEBCFFED78D}: NameServer = 194.224.52.4,194.224.52.6
 

josmacpas

Nuevo Miembro
Miembro
#2
yo tengo cinco procesos abiertos en mi pc de svchost.exe pero pertencen a las conexiones de tu pc, creo que si las eliminas dejaras de tener acceso a internet, lleva cuidado con este proceso y configuralo con tu firewall para tener las entradas y salidas justas, pero no lo elimines pues ahogaras tu conexion, es parte de tu conexion. :D instalate un firewall como outpost y configura las reglas para svchost y no tendras problemas.
 

Kenni

Nuevo Miembro
Miembro
#3
Por lo que dices no es perjudicial.Pero no me fio.La cosa es que ningún antivirus me ha detectado nada raro,pero todo esto me empezo al abrir un fichero de internet.De ahi mi mosqueo.

De todas formas muchas gracias.
 
A

Arwing

Guest
#4
Hola,

Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:Manual pasos a seguir para el uso HijackThis

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

O2 - BHO: (no name) - {2CAC80B8-6BD7-5DD7-52A7-7A146740F52C} - C:\DOCUME~1\Admin\DATOSD~1\MAILKNOB\Flag Does.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

Y da click en el botón "Fix Checked"

Descarga el programa Disk Cleaner y úsalo para borrar todos los archivos temporales de tu computadora.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y carpetas y bórralos:

C:\DOCUME~1\Admin\DATOSD~1\MAILKNOB\

Reinicia el sistema y prueba que tal te va ahora.

Saludos

Arwing
 

Kenni

Nuevo Miembro
Miembro
#5
Hola!!!

Gracias por ayudarme,pero no he conseguido eliminar los procesos.Siguen saliendome 4 procesos svchost y cuando intento cerrar uno de ellos me sale la ventanita que salia con el blaster diciendo que en 1 minuto el sistema se reinicia.

He tomado la decision radical de formatear el disco duro.Me quitare quebraderos de cabeza.Muchas gracias por ayudarme.Adios!!!!
 
A

Arwing

Guest
#7
JA XD creo que se me pasó decirte que el proceso svchost.exe es legítimo en Windows 2000 y XP (y algún otro :eek:). Claro, el proceso es de Windows si está en la carpeta C:\Windows\System32\, espero que aún no hayas formateado.

Arwing
 

AngeduCiel

Ex- Mod
Miembro
#8
Procesos de Windows

Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es también un archivo legítimo de Windows XP, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. No borre este archivo
y como puedes ver tu svchost.exe lo tienes en..

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe
....system 32!!! :D

Existen virus que crean un archivo con es mismo nombre pero en diferente ubicacion o con algúna variante en el nombre(como los qu están en el primer link), pero en este caso es totalmente LEGAL.

Asi que hagas lo que hagas ese proceso seguira en tu computadora.

Saludos :burla:navidad
 
Estado
Cerrado para nuevas respuestas