leer-hijackthis (TERMINADO)

LLUISK6K · Mensaje por **LLUISK6K** » 15 Ene 2006, 14:46

hola a tod@s.

mi nombre es...LLUIS DE BARCELONA, soy nuevo y espero poder ayudaros en lo que pueda.

bueno mi pregunta es la siguiente:

me podeis decir que es lo que puedoo no puedo borrar de este log ???

y....porque??

MUCHAS GRACIAS.

LLUIS

-----------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 14:46:06, on 15/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\crypserv.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Archivos de programa\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Chameleon Clock\ChamClock.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Windows\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Avant Browser\avant.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\User01\CONFIG~1\Temp\Rar$EX00.375\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.wikipedia.org/wiki/Portada

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O2 - BHO: (no name) - {BA5F3EE1-2769-A25C-B4E0-81983C033F09} - blank (file missing)

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [HomeAlarm] C:\Archivos de programa\Chameleon Clock\ChamClock.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O8 - Extra context menu item: Abrir todos los vínculos de esta página... - C:\Archivos de programa\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Añadir a la lista negra de anuncios - C:\Archivos de programa\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Bloquear todas las imágenes del mismo servidor - C:\Archivos de programa\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Buscar - C:\Archivos de programa\Avant Browser\Search.htm

O8 - Extra context menu item: Destacar - C:\Archivos de programa\Avant Browser\Highlight.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O12 - Plugin for .UVR: C:\Archivos de programa\Internet Explorer\Plugins\NPUPano.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120136584984

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125524670335

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D96EA116-9F8A-45DC-914A-722E39ACA683}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\Windows\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 15 Ene 2006, 19:22

Ante todo indicarte que el HJT solo debe postearse cuando persiste algun problema cuando se han agotado los recursos de antivirus y antispywaresm como ta se indica en:

https://foros.zonavirus.com/viewtopic.php?t=5148

En tu log conviene eliminar estas claves:

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: (no name) - {BA5F3EE1-2769-A25C-B4E0-81983C033F09} - blank (file missing)

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)çç

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

y ello es porque son claves que llaman a oprocesos inexistentes (NO FILE), lo cual puede ser debido a una eliminacion de ficheros de una aplicacion, cirica o no, sin restaurar las claves correspondientres, o a claves que no llaman a ficheros, lo cuial es muy sospechoso de virus, ocultando los nombres de las aplicaciones y llamandolas desde las clases de dichas claves.

Eliminalasm reinicia y nos informas del resultado, a ver si persisten los problemas que te han llevado a postear el log, recordando que estos los has de indicar a priori siempre para saber cual es el problema y buscar en consecuencia

saludos

ms, 15-1-2006

LLUISK6K · Mensaje por **LLUISK6K** » 16 Ene 2006, 12:14

gracias por tu ayuda.

tienes razon y me olvide de darte una explicacion del porque puse este ...post.

es que tengo problemas con unos gusanos que han entrado en mi disco, como.... ""wmplayer.exe"" y ""svchost.exe"" son terribles.

estoy investigando en ello.

GRACIAS.

LLUIS

Mensaje por **msc hotline sat** » 16 Ene 2006, 13:10

No te confundas !!!

El WMPLAYER.EXE sí qiue puede ser el gusano de uno de los miles de Gaobot conocidos:

http://www.vsantivirus.com/gaobot-ct.htm

pero el SVCHOST.EXE, lanzado desde la carpeta de sistema, es del sistema operativo, ya que es el lanzador de tareas, y puede haber mas de uno en proceso, normalmente 3 o 4, tareas que puedes ser normales o viricas, claro, pero el SVCHOST no tiene culpa de ello,

Ahora bien, si fuera kanzado desde otra carpetampor ejemplo desde c:\Windows en lugar de desde C:\windows\system32 o tuviera el nombre cambiado, por ejemplo SVCHOST o VSCHOST. o SVHOSTS entonces sí que podría ser otro gusano.

Pero todo esto debes detectarlo y eliminarlo en modo seguro con los antivirus. Puedes mirar si tienes algo de ello lanzando un antivirus ONLINE:

https://www.eset.es/analisis-online/

ysaludos

ms, 16-1-2006

LLUISK6K · Mensaje por **LLUISK6K** » 16 Ene 2006, 14:50

ADMINISTRADOR...gracias por tu amabilidad.

yo tengo el..""wmplayer.exe"" no se exactamente como eliminarlo. me hago un lio (disculpa).

estoy bajando el programa este que me enviastes.

lhttp://www.microsoft.com/en/us/default.aspxdownloads/thankyou.aspx?familyId=75A08528-5E99-4BE0-8E97-F1C9789611EB&displayLang=en&oRef=http%3a%2f%2fwww.vsantivirus.com%2fvulms04-012.htm

es este amigo mio??

tambien estoy pasando el antivirus que me enviastes.

https://www.eset.es/analisis-online/

espero que lo este haciendo bien.

el gusano..."wmplayer.exe" no me deja abrir el..reproductor windows....es un desastre inclusive creo que me ha afectado al...nero-platinum, que tengo.

.

GRACIAS POR TU AMABILIDAD.

YA TE CONTARE.

SALUDOS DESDE CALELLA DE LA COSTA.

SISTEMA OPERATIVO

MICROSOFT WINDOWS XP-PROFESIONAL

SERVICE PACK 2

PENTIUM (R) 4 CPU 2.80 GHZ

2.80 GHZ 512 MB DE RAM

CORTAFUEGOS...ZONA ALARM

ANTIVIRUS...AVAST

Mensaje por **msc hotline sat** » 16 Ene 2006, 16:58

a ver, el gusano wmplayer.exe no es el windowsmedia player, sino un Gavobot que se instala con este nombre de fichero en la carpeta de sistema

Mira la documnentacion del link que te he indicado, y si lo tuvieras, el antivirus ONLINE te lo detectaría.

Informanos del resultado, feaxias

saludos

ms, 16-1-2006

LLUISK6K · Mensaje por **LLUISK6K** » 16 Ene 2006, 17:41

hola amigo mio...gracias de nuevo por tu interes.

he pasado el antivirus que me enviastes y no ha encontrado nada de nada...(que raro)

el..."wmplayer.exe"" lo encontre dentro de la carpeta de...

windows media player.

en un foro vi que dijeron que lo ...eliminara. lo elimine pero...

vuelve...joooooooooo... :evil: ..estoy seguro que eso debe afectar al reproductor de media player.al ponerlo en marcha...no se conecta. lo quite de mi disco duro y lo volvi a ...configurar, el nuevo...REPRODUCTOR WINDOWS MEDIA PLAYER 10...me recomiendas este reproductor amigo mio?

baje....lo que me distes y no se configura.

""lhttp://www.microsoft.com/en/us/default.aspxdownloads/thankyou.aspx?familyId=75A08528-5E99-4BE0-8E97-F1C9789611EB&displayLang=en&oRef=http%3a%2f%2fwww.vsantivirus.com%2fvulms04-012.htm ""

no entiendo nada.

disculpa mi poca experiencia.

GRACIAS...LLUIS

Mensaje por **msc hotline sat** » 16 Ene 2006, 18:03

No hombre, no !

EL WMPLATER.EXE gusano ya te diogo que se instala en la carpèta de sistema, no en la de windows media player que es la aplicacion normal y corriente !!!

Si has borrado el exe de la aplicacion, o lo vuelves a copiar o la desinstalas y la vuelves a instalar, sino claro que no te funcionará...

El gusano usa un fichero con el mismo nombre, pero no tiene nada que ver con el de la aplicacion, NO TE CONFUNDAS, que es lo que pretenden.

saludos

ms, 16-1-2006

LLUISK6K · Mensaje por **LLUISK6K** » 16 Ene 2006, 18:13

no te preocupes mas .

GRACIAS DE TODOS MODOS.

no me aclaro.

LLUIS

Mensaje por **msc hotline sat** » 16 Ene 2006, 18:19

Tranquilo, sin nervios, jaz lo que quería hacer y cientanos el resulyado, y si no te detecta virus, a paseo !:

[quote]tambien estoy pasando el antivirus que me enviastes.

https://www.eset.es/analisis-online/

espero que lo este haciendo bien.[/quote]

saludos

ms, 16-1-2006

LLUISK6K · Mensaje por **LLUISK6K** » 16 Ene 2006, 18:27

GRACIAS .

AH!! otra cosa....quiero colaborar con la pagina pero.....donde esta la publicidad que tengo que pulsar??

jejeej...disculpa que soy torpe.

LLUIS

Mensaje por **msc hotline sat** » 16 Ene 2006, 18:52

Pues pulsa en los recuadros de publicoidad que ceras en todas las paginas.

Y espero respuesta si encuentras algo con el ONLINE

saludos

ms, 16-1-2006

LLUISK6K · Mensaje por **LLUISK6K** » 16 Ene 2006, 19:00

gracias por tu informacion.

no el....""on line""...no ha encontrdo ...nada.el nuevo reproductor media player 10....no se pone en marcha...jooo...que nervios.

es igual amigo mio...solo me va el....videolan...bsplayer... ya esta bien.

SALUDOS Y REPITO..GRACIAS

Mensaje por **msc hotline sat** » 16 Ene 2006, 19:06

Virus no tienes entonces, y lo que has hecho ha sido ser tú el virus, y borrar lo que no debias...

Lo habias entendido mal, el fichero que has borrado no estaba en la carpeta de sistema que es donde lo pone el virus en cuestion,. y en otra carpeta, es otra cosa ...

Mira si aun lo tienes en la papelera de reciclaje, lo recuperas y lo restauras de donde lo borraste

Sino habrás de desinstalar y volver a instalar la aplicacion.

SALUDOS

MS, 16-1-2006

LLUISK6K · Mensaje por **LLUISK6K** » 16 Ene 2006, 19:17

jajajajaaj...tienes razon, seguro que yo soy el virus.

me meto donde no me llaman......lo siento.

ah!!...no esta en la papelera.ninada....que petardo que soy.

oye amigo mio....que es lo que tengo que volver a... instalar??

""Sino habrás de desinstalar y volver a instalar la aplicacion. "

hy!!..no se.

GRACIAS.

al final nos haremos buenos amigos....jajajaja.

si soy pesado dimelo.

LLUIS

Mensaje por **msc hotline sat** » 16 Ene 2006, 19:29

Pero, has mirado si lo tienes en la papelera ???

Veo que vas a lo dificil y la cuestion es econtrar soluciones faciles paea los grandes problemas !!

Hasta aqui hemos llegado. Practica y asesorate bien antes de tomar decisiones equivocadas. Y lee bien, que una letra cambiada en un fichero como SVCHOST SCVHOST VSCHOST es normal o virus, asi como su ubicacion en una u otra carpeta, aun con el mismo nombre, todo ello son picarescas y trucos utilizados por los coders para dosgrazar, disimular y en definitiva engañar al usuario, y piensa que son gamberros pero no tontos !

Por nuestra parte damos por termonado el Tema y lo cerramos

saluidos

ms, 16-1-2006

leer-hijackthis (TERMINADO)

leer-hijackthis (TERMINADO)

GRACIAS

SALUDOS

gusano

GUSANO

GUSANO

GUASANO

GUSANO