Log Hijackthis (SOLUCIONADO)

alex20 · Mensaje por **alex20** » 30 Dic 2008, 23:04

El ordenador se queda con la pantalla azul y pone que se ha producido un error y que debo reiniciar debido a algun software, os dejo mi log a ver si veis algo raro:

Logfile of HijackThis v1.99.1

Scan saved at 23:00:45, on 30/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Veoh Networks\VeohWebPlayer\veohwebplayer.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Documents and Settings\computerman\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Archivos de programa\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VeohPlugin] "C:\Archivos de programa\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\bbtmetdg.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bbtmetdg.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=24931

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Mensaje por **msc hotline sat** » 31 Dic 2008, 06:40

Pues no sé si leiste lo indicado en :

https://foros.zonavirus.com/viewtopic.php?f=13&t=5148

y si ya has probado el ELISTARA, posteanos el informe resultante:

[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Aparte envianos este fichero para analizar:

c:\windows\system32\bbtmetdg.dll

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

y tras ello indicaremos como proceder.

saludos y FELIZ AÑO NUEVO

ms, 31-12-2008

alex20 · Mensaje por **alex20** » 31 Dic 2008, 13:33

Lo que ocurre es que cuando llevo un rato en el pc la pantalla se pone azul. Abajo sale un contador que va llegando a 100 en el que pone "volcado de memoria física" y despues se reinicia. En la pantalla pone que compruebe o elimine alguno de los softwares o hardwares nuevos instalados, ya borre casi todos los programas pero sigue saliendo :?

alex20 · Mensaje por **alex20** » 31 Dic 2008, 13:57

El elistart me reconoció y eliminó un troyano llamado buzus.ZGE, aqui os pongo el informe:

Wed Dec 31 13:43:38 2008

EliStartPage v17.71 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DLLHOSTS.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Wed Dec 31 13:46:12 2008

EliStartPage v17.71 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DLLHOSTS.EXE --> Eliminado Buzus.ZGE

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Dec 31 13:46:57 2008

EliStartPage v17.71 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\RECYCLER\S-1-5-21-725345543-879983540-1801674531-1003\Dc48\SETUP+PATCH.EXE --> Eliminado, Buzus.ZGE(dropper)

Nº Total de Directorios: 4109

Nº Total de Ficheros: 45724

Nº de Ficheros Analizados: 17589

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mensaje por **msc hotline sat** » 31 Dic 2008, 16:02

pUES MUY BIEN !

C:\WINDOWS\SYSTEM32\DLLHOSTS.EXE --> Eliminado Buzus.ZGE

Como que puede propagarse por pendrive, vacuna ordenador y pendrives con el ELIPEN:

Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:

~~[b]~~ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y, si tras ello, persisten aun anomalias, comentanoslas

saludos y FELIZ AÑO NUEVO

ms, 31-12-2008

alex20 · Mensaje por **alex20** » 31 Dic 2008, 19:18

Ya marcha todo genial. MUCHAS GRACIAS Y FELIZ AÑO 2009!!!!

Mensaje por **msc hotline sat** » 31 Dic 2008, 20:15

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos y FELIZ AÑO NUEVO !

ms, 31-12-2008

Log Hijackthis (SOLUCIONADO)

Log Hijackthis (SOLUCIONADO)

Re: Log Hijackthis

Re: Log Hijackthis

Re: Log Hijackthis

Re: Log Hijackthis

Re: Log Hijackthis

Re: Log Hijackthis