Log HJT (antivirus bloquean PC)

Cleon · Mensaje por **Cleon** » 19 Ene 2006, 13:06

Log de HJT referente al comportamiento muy raro de mi PC mencionado en...

[url]http://foros.zonavirus.com/viewtopic.php?t=10221[/url]

------>

Logfile of HijackThis v1.99.1

Scan saved at 12:59:23, on 19/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\TCAUDIAG.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\WinSys.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\MSI\3D!Turbo Experience\3D!Turbo.exe

C:\Archivos de programa\Media Center Deluxe II\WinIRXHelper.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopOE.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopMail.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopDisplay.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Javi\CONFIG~1\Temp\Rar$EX00.969\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Archivos de programa\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Archivos de programa\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll

O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [VVSN] C:\Archivos de programa\VVSN\VVSN.exe

O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\system32\WinSys.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [BitComet Acceleration Patch] C:\Documents and Settings\All Users\Menú Inicio\Programas\BitComet Acceleration Patch\BitComet Acceleration Patch.lnk

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Global Startup: 3D!Turbo Experience.lnk = C:\Archivos de programa\MSI\3D!Turbo Experience\3D!Turbo.exe

O4 - Global Startup: WinIRXHelper.lnk = C:\Archivos de programa\Media Center Deluxe II\WinIRXHelper.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC0243CC-C2F1-44D2-A5E0-46E7EFA284A3}: NameServer = 192.168.1.1

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Mensaje por **msc hotline sat** » 19 Ene 2006, 13:25

Riene insrtalados dos antivirus !!!

Desinstale uno de los dos y tras reiniciar vea si persisten anomalías y nos unforma como respuesta de este Tema, gracias

saludos

ms, 19-1-2006

Cleon · Mensaje por **Cleon** » 19 Ene 2006, 13:37

Jejejejeje

Si, tengo dos antivirus ahora.

Lo instalé el pasado sábado cómo medida desesperada.

Pero eso es secundario, ocurrían los cuelgues antes también de instalar el NOD.

Por cierto, referente a tu mensaje en el otro hilo...

Me ha ocurrido con Norton 2005 y con Norton 2006

Perdón por no decirlo antes, pero salvo desde hace media semana aproximadamente nunca antes había hecho convivir dos antivirus al mismo tiempo.

Eso de la memoria...., me lo comentaron en Noviembre y me dejo mosquedao...¿sería posible que fuera un fallo físico/electrónico lo que causa éste problema?

¿no sería muy extraño que sólo ocurran (los cuelgues) con determinado tipo de software?

Bueno, de todos modos, probaré a volver a formatear e instalar directamente McAfee, antes me bajare el .dat más actual.

Otra cosa que no había dicho antes, tengo IP fija, por lo que supongo que el "agresor" me localizaría y cazaría de nuevo nada más conectarme a Internet para actualizar Windows ¿no?

Gracias de nuevo, seguiré informando.

¿Alguna anomalía más en el log?

Mensaje por **msc hotline sat** » 19 Ene 2006, 13:54

Nada malware conocido, pero atipicas por si quieres analizarlas hay varias que luego te las posteo OJO hay una que debes eliminar !!! mira el post siguiente !!!

Y efectivamente, en funcion de las aplicacioes se usasn unas u otras posiciones de memoria que pueden tener difucuyltad en refrescom tioempo de acceso, y demas parametros, especialmente dada la rapidez de tu equipo

Podrías probar con las de otro equipo similar...

Te indico las claves atipicias

saludos

ms, 19-1-2006

Mensaje por **msc hotline sat** » 19 Ene 2006, 14:06

Esta eliminala:

O4 - HKLM\..\Run: [VVSN] C:\Archivos de programa\VVSN\VVSN.exe

y estas analizalas a ver si las conoces. y obra en consecuencia:

O4 - HKCU\..\Run: [BitComet Acceleration Patch] C:\Documents and Settings\All Users\Menú Inicio\Programas\BitComet Acceleration Patch\BitComet Acceleration Patch.lnk

La siguiente nada, parece que es del NERO HOME:

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: 3D!Turbo Experience.lnk = C:\Archivos de programa\MSI\3D!Turbo Experience\3D!Turbo.exe

O4 - Global Startup: WinIRXHelper.lnk = C:\Archivos de programa\Media Center Deluxe II\WinIRXHelper.exe

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

Respecto a la primera clave, mira de enviarnos el fichero WSN.EXE a zonavirus@satinfo.es anexada a un mail en cuyo texto indiques RED WSN, para analizarlo e implemamtra su controi y eliminacion en el ELISTARA, pues es algo que no conocíamos todavía:

http://www.bleepingcomputer.com/forums/lofiversion/index.php/t38501.html

Tras ello, elimina el fichero

saludos

ms, 19-1-2006