problemas al apagar (SOLUCIONADO)

crisritina · Mensaje por **crisritina** » 09 Jul 2006, 15:43

Hola otra vez, ayer tuve un pequeño-gran problema con un troyano que creo que solucioné con vuestra ayuda, pero tengo problemas al apagar el ordenador y al cambiar de usuario, a veces se queda colgado y tengo que apagar "a la brava", tengo miedo que me hayan quedado restos malignos por ahí-aunque ni el McAfee, ni el Ewido, ni el Adware, ni el Spyboot, ven nada raro-, por eso me atrevo a postearos el infome del Hijackthis para ver si veis algo raro. Gracias

Logfile of HijackThis v1.99.1
Scan saved at 15:36:43, on 09/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\GEARSec.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\apps\ABoard\AOSD.exe
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Archivos de programa\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar5.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar5.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Archivos de programa\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Archivos de programa\Archivos comunes\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Archivos de programa\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar5.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar5.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar5.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar5.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar5.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - file://C:\DRIVERS\snapsys\HDDDiag\bin\npseatools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53E8A58D-7711-4324-9F77-8CB36458AE3B}: NameServer = 80.58.61.250,80.58.61.254
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 09 Jul 2006, 20:59

Lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

Y tras reiniciar, nos comenta el resultado, gracias

saludos
ms, 9-7-2006

crisritina · Mensaje por **crisritina** » 10 Jul 2006, 16:56

Buenas tardes,

Ya he eliminado las dos lineas que me comentate y sigue igual, ayer a la noche no me hacian ni caso los botones de reiniciar ni de apagar,y otra vez " a la brava"; ahora he actualizado unas cosas de Microsoft y me ha intentado reiniciar el mismo y lo mismo bloqueado, lo curioso es que si enciendo el ordenador-tarda un montón en aparecer los iconos de ZA y de la conexión -y apago o reinicio pronto si funciona.

Ahora pienso que, hace unos días actualice el Zone Alarm y me dió algun problemilla, bueno tanto que a veces no se carga y tengo que volver a encender el ordenador..., será este el origen de mis problemas

Creo que quizas deberia haber puesto la pregunta en otro apartado y no el de Hijackthis, pero pensé que el problema era ese intrusillo de hace unos días..., si quereis cambiarla de lugar...

Un saludo y gracias

Mensaje por **msc hotline sat** » 10 Jul 2006, 19:53

Lo que queremos es solucionar el caso !

Desinstale el Zone Alarm, y si asi le va bien ya sabremos que esta aplicacion estaba relacionada con el problema

Tras ello vuelvalo a instalar y si se habia solucionado y sigue bien, estupendo, estaba dañado, pero si con ello vuelve a las andadas, es que colisiona con alguna aplicacion o el sistema operativo no la soporta por alguna deficiencia. En tal caso nos lo dice y le indicaríamos como REPARAR el sistema.

Si desinstalado el ZA persiste el problema, probariamos de REPARAR directamente.

Si con todo ello no lograramos nuestro objetivo, le pediaríamos que nos enviara el log del HJT pero arrancando en modo seguro, por si hubiera un Rootkit que nos ocultara claves, ficheros y procesos maliciosos, pero eso en ultimo caso, ya que si no hay otro sintoma. no es propio de ello. Deberían haber mas cosas, iconos al lado del reloj, popups, y otras anomalias en general

saludos

ms, 10-7-2006

crisritina · Mensaje por **crisritina** » 10 Jul 2006, 21:38

Bueno pues, parece que va a ser la nueva actualización del ZA el responsable de que no se apague el ordenador el solito. Lo he desinstalado y lo he vuelto a instalar, pero eso sí de momento la versión anterior, y parece que va bien, incluso no me había dado cuenta pero no hacia ni la musiquilla esa que hace al encender, apagar, etc.´

Ahora lo voy a dejar un ratillo encendido porque sobretodo me daba problemas cuando estaba un rato con el encendido, y ya os contaré, y la última actualización..., no sé que hacer si probar a ver si funciona o...

Gracias.

Un saludo y espero quese hayan portado los chicos del coro!!!

Mensaje por **msc hotline sat** » 10 Jul 2006, 21:48

No eran solo chicos, estos eran monitores y excelentes ! pero habian ademas 10 francesas de 15-18 años ... que nos tenian despiertos hasta las 3 y las 4 DE LA MADRUGADA ...!!! Pero todo muy bien , gracias !

Y esta version del ZA igual colisiona con alguna aplicacion residente que tienes...

Es lo que pasa a veces con los residentes

Pero si te va con la anterior, mas vale viejo conocido que ...

saludos

ms, 10-7-2006

crisritina · Mensaje por **crisritina** » 11 Jul 2006, 16:36

Buenas tardes,

Bueno.., yo creo que confirmado esa nueva versión del ZA era la culpable, ahora ya va todo perfecto.

Muchas gracias y...espero tardar en volver por aquí...., bueno al menos con problemas.

Un saludo y me alegro de que todo haya ido perfecto!.

Mensaje por **msc hotline sat** » 11 Jul 2006, 17:03

Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 11-7-2006