Log de Hijack. Ultimo recurso (SOLUCIONADO)

[chevi]

Hola a todos !!

Soy nuevo por aquí, así que disculpen ante todo si hago algo incorrecto.

Recurro a uds. porque he intentado todo para solucionar el problema con mi PC.



Resulta que tengo una PC nueva con XP sp 2.

Desde hace un par de dias tengo problemas con el funcionamiento:

-al estar ejecutando un programa me sale el mensaje clasico "ha encontrado un error y debe cerrarse". Incluso el explorer me a tirado este problema, a veces diciendo que el sistema se ha recuperado de un error grave.

-la PC a veces se reinicia sola, y en otras no me carga el Windows

-otras veces no me lee los programas, o no me descomprime archivos, diciendo que estan corruptos.

-tambien me sale en otros momentos un pantalla azul diciendo que se han detectado errorres y procede al volcado de memoria.



Corri el panda antivirus con las actualizaciones pero no ha detectado nada.

El Adware y el Spyware (actualizados) me han borrado la primera vez unos spywares, pero luego no han detectado nada tampoco.

La verdad es que el Hijack es la unica solucion que me queda.



Acá dejo el log a ver si hay algo inusual:







----------------------------------------------------------



Logfile of HijackThis v1.98.2

Scan saved at 8:01:18, on 20/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\hijack this\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5B2B131E-1B84-4809-BF0F-0C00CEC41347}: NameServer = 200.40.220.245 200.40.30.245

O17 - HKLM\System\CS1\Services\Tcpip\..\{5B2B131E-1B84-4809-BF0F-0C00CEC41347}: NameServer = 200.40.220.245 200.40.30.245

O17 - HKLM\System\CS2\Services\Tcpip\..\{5B2B131E-1B84-4809-BF0F-0C00CEC41347}: NameServer = 200.40.220.245 200.40.30.245



--------------------------------------------------------------------









Bueno desde ya gracias !!

[msc hotline sat]

Este HJT es obsoleto...



Debe usar uno superior como el 1.99.1 :



http://www.hijackthis.de/downloads/hijackthis_199.zip



De lo contrario no se ven los servicios y otras lineas importantes.



De todas formas, en las lineas visibles del que ha posteado, no hay anomalias.



Descargue la nueva version, y tras ejecutarla, posteenos el log resultante, gracias



saludos



ms, 20-08-2007



Lance tambien estos AV ONLINE e indiquenos resultado:



[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]





y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:



testeo ONLINE de virus en memoria





[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]



ms.

[chevi]

Disculpen las molestias!



Ya revise la maquina con los enlaces que me dieron y no ha detectado nada.

La máquina se me sigue reiniciando al abrir windows, y el explorer a veces se me sigue colgando y tirando errores.



El log con el HijackThis nuevo (1.99) es el siguiente:



------------------------------------------------------------



Logfile of HijackThis v1.99.1

Scan saved at 16:22:46, on 20/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\hijack this\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE (file missing)





------------------------------------------------------



Gracias !

[msc hotline sat]

Pues ahí tienes la posible causa:



Parece que usas AVG y en cambio hay una ultima clave de Panda:



O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE (file missing)



No deben haber dos antivirus en un mismo ordenador, por los problemas de colisiones, como puyede ser el caso.



Desinstala totalmente uno de los dos, supongo que el Panda ya que solo veo este resto, y para ello:





http://www.pandasoftware.com/resources/sop/uninst_v1.0.0.2.zip





y tras ello nos cuenta el esultado, gracias



saludos



ms, 20-08-2007

[chevi]

Pues en realidad no se porque me aparecen, ya que estaban los dos desinstalados desde antes.

El AVG lo desinstale hace un par de dias, y el panda ya estaba desinstalado antes de publicar el primer log.



Voy a tratar de desinstalarlo con el link que me diste y borrar cualquier rastro del avg, a ver que sucede.



Saludos !

[chevi]

Bueno, ya ejecute el desinstalador del Panda. También boré toda referencia del AVG, pero los problemas persisten y aparecen en el log.



El nuevo log es:



--------------------------------------------------------



C:\WINDOWS\system32\wuauclt.exe

C:\hijack this\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE (file missing)



-------------------------------------------------------------



Una pregunta: ¿puede ser que sea por la tarjeta grafica o los controladores? (nvidia fx5200).



Gracias !

[msc hotline sat]

No creo, mas bien es porque persiste esta clave:



O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE (file missing)



Trate de renombrar el fichero que lanza, que puede estar oculto, cambiele la extension a .VIR, reinicie y tras ello elimine dicha clave como se indica en:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Tras ello mira si en el proximo reinicio ya no está, y en tal caso si ya no persiste el problema,.



saludos



ms, 20-08-2007

[chevi]

Lamento la demora, pero ya se solucionó el problema.



Parece que se me había estropeado la RAM y la tuve que cambiar. Ahora por suerte está solucionado.



Otra cosa, parece que tenia un trojano "trojan agent.FZK" o algo similar, que solo lo detecto un AVG actualizado (el Panda y los otros antivirus on line no lo detectaban).

No creo que tenga que ver con el problema de la RAM igual, pero bueno, se junto todo.



Gracias por el interés!!

[msc hotline sat]

A veces llueve sobre mojado !



Bueno, pues nos alegramos que se solucionara, y en consecuencia procedemos a cerrar el Tema



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 26-08-2007