nuevo con HIJACKTHIS

[chacoina]

Hola a todos los foristas,



Hace unos días me instalaron el HijackThis y me hablaron de esta web y su foro. Ya estoy teniendo problemas con el PC porque me da muchos errores y hay programas que no hay forma de abrir si no reseteo. Aquí va el log que he guardado hace un rato por ver si alguien ve algo raro.



Por otro lado, mi antivirus, el NOD 32 me avisa de la existencia de un troyano: "Win32/Small.EO Troyano" que dice está en "C:\windows\system32\.exe". No sé si tendrá algo que ver con lo que dije más arriba.



Aquí va el log y espero alguien me pueda echar una gran mano.



Un saludote y buenas noches.

Chacoina







Logfile of HijackThis v1.97.7

Scan saved at 21:37:53, on 21/07/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\WFXSVC.EXE

C:\Archivos de programa\WinFax\WFXMOD32.EXE

C:\Archivos de programa\WinFax\WFXMOD32.EXE

C:\ARCHIV~1\WinFax\WFXSWTCH.exe

C:\WINDOWS\System32\wfxsnt40.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe

C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\wuamk032.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

C:\Documents and Settings\Toni\Escritorio\SISTEMAS DE SEGURIDAD DE CHIMO\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - %7b53707962-6F74-2D53-2644-206D7942484F%7d - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WFXSwtch] C:\ARCHIV~1\WinFax\WFXSWTCH.exe

O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [PCTVRemote] C:\Archivos de programa\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [StatusClient] C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [svshost32] svshost32.exe

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe

O4 - HKLM\..\RunServices: [svshost32] svshost32.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe

O4 - HKCU\..\Run: [svshost32] svshost32.exe

O4 - HKCU\..\RunServices: [svshost32] svshost32.exe

O4 - Startup: Registration-PCTV.lnk = C:\Archivos de programa\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O10 - Broken Internet access because of LSP provider 'imon.dll' missing

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D6045574-059E-4549-ACC6-8F7AF16F423E}: NameServer = 80.58.61.250 80.58.61.254

[msc hotline sat]

Ante todo, antes de copiarnos el log debe seguir las normas qye se indican al respecto, y eliminar los virus y spywares que detectan kas utilidades disponibles al respecto, bien actualizadas:



https://foros.zonavirus.com/viewtopic.php?t=5148



(y si tiene algun problema, indiquenoslo)



Para su caso, pruebe lanzar el ELITRIIP.EXE:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp







Una vez ya no detecte este SVSHOST.EXE, propio del Ranky, actualice la version del HJT, ya que esta que usa es muy antigua y ya no es compatible, y si sigue teniendo anomalias, indiquelas y postee nuevo log, como respuesta de este Tema



http://www.hijackthis.de/downloads/hijackthis_199.zip



saludos



ms, 22-07-2005