log hijackthis

[veronika]

Aqui os pongo todo el log, a ver si me podeis ayudar. me da el error al entrar en windows, pero en principio todo funciona correctamente





Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\AVTC\PavSrv51.exe

C:\Archivos de programa\Panda Software\AVTC\AVENGINE.EXE

C:\Archivos de programa\Panda Software\AVTC\PSKMsSvc.exe

C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\AVTC\ClShield.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Panda Software\AVTC\SRVLOAD.EXE

C:\Archivos de programa\Panda Software\AVTC\WebProxy.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

d:\Documents and Settings\Administrador\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intra.indi.gva.es:7777

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intra.indi.gva.es:7777

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por SINFO

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://intra.indi.gva.es:7777/explorer/ie6/conproxy6.ins

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [Config Loader] scvhost.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\AVTC\ClShield.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RichMedia] C:\WINDOWS\system32\Rundll32.exe "C:\WINDOWS\DOWNLO~1\hbhelper.dll",WaitWindows

O4 - HKLM\..\RunServices: [Config Loader] scvhost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://intra.indi.gva.es:7777

O16 - DPF: {038318E8-0C2D-4DF5-A7AF-B4FB373F501E} (HBHelper.HBActivex) - http://download.henbang.net/download/updatelist/helper.cab

O16 - DPF: {0a454840-7232-11d5-b63d-00c04faedb18} - http://intra.indi.gva.es:7777/exe_winfo/jinit11814.exe

O16 - DPF: {50644223-3A07-4220-8634-D82FA74726DF} (InternautaAX Control) - http://eformacion.gva.es/sites/internauta/ubi/InternautaAX.cab

O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - http://formacionivap.gva.es/gcivap/Portal/resources/msddsc.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://atenea.ha.gva.es:1443/hdfi/java_applets/capicom.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = indi.gva.es

O17 - HKLM\Software\..\Telephony: DomainName = indi.gva.es

O17 - HKLM\System\CCS\Services\Tcpip\..\{5360A391-79ED-4B2F-955A-B5A66953AB00}: NameServer = 192.168.132.21,192.168.134.34

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = indi.gva.es

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = indi.gva.es

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe

O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software - C:\Archivos de programa\Panda Software\AVTC\PavSrv51.exe

O23 - Service: Panda AntiSpam Engine (PMShellSrv) - PANDA SOFTWARE - C:\Archivos de programa\Panda Software\AVTC\PSKMsSvc.exe

O23 - Service: Panda IManager Service (PsImSvc) - Panda Software Internacional - C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe

[AcX]

El log esta incompleto, falta la cabezera donde nos indican el sistema operativo...versiones...IE...



copia el log completo y vuelve a postearlo :wink:

[maura63]

A primera vista tienes entradas de virus, seguramente por falta de parches.



Descarga y pasas esta utilidad



http://www.zonavirus.com/descargas/elitriip.asp



No obstante peganos el log completo para mas certeza.



Saludos

maura63

[maura63]

Antes de eliminar algo



Antivirus On-line:



https://www.virustotal.com/es/





Haz un scaneo del Pc y dinos si detecta algo.



Saludos

maura63

[veronika]

Logfile of HijackThis v1.99.1

Scan saved at 9:37:25, on 12/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

[maura63]

Haz lo que te comente antes, pasa el antivirus online y de no detectar nada te indicaremos que eliminar.



Saludos

maura63

[veronika]

he pasado el antivirus y no ha encontrado nada

[maura63]

Elimina las dos que te marco marcando y pulsando en FIX.



El resto no las conozco, son de aplicaciones tuyas y de tu proveedor de internet??????????????





O4 - HKLM\..\Run: [Config Loader] scvhost.exe - [color=red]ELIMINAR[/color]



O4 - HKLM\..\Run: [RichMedia] C:\WINDOWS\system32\Rundll32.exe "C:\WINDOWS\DOWNLO~1\hbhelper.dll",WaitWindows -



O4 - HKLM\..\RunServices: [Config Loader] scvhost.exe - [color=red]ELIMINAR[/color]



O16 - DPF: {038318E8-0C2D-4DF5-A7AF-B4FB373F501E} (HBHelper.HBActivex) - http://download.henbang.net/download/updatelist/helper.cab -

O16 - DPF: {0a454840-7232-11d5-b63d-00c04faedb18} - http://intra.indi.gva.es:7777/exe_winfo/jinit11814.exe -

O16 - DPF: {50644223-3A07-4220-8634-D82FA74726DF} (InternautaAX Control) - http://eformacion.gva.es/sites/internauta/ubi/InternautaAX.cab -

O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - http://formacionivap.gva.es/gcivap/Portal/resources/msddsc.cab -

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://atenea.ha.gva.es:1443/hdfi/java_applets/capicom.cab -

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = indi.gva.es -

O17 - HKLM\Software\..\Telephony: DomainName = indi.gva.es -

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = indi.gva.es -

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = indi.gva.es -



Elimina solo esas marcadas en rojo el resto tu sabras si conoces de algo.



Saludos

maura63

[maura63]

Por el log que has enviando en otro post y que se ha cerrado, Sigues con



O4 - HKLM\..\Run: [Config Loader] scvhost.exe

GAOBOT.AE or GAOBOT.AO WORMS!





Saludos

maura63

[msc hotline sat]

Mejor en este caso, al haber un virus GAOBOT pululando, lanza el ELITRIIP , para eliminar claves acompañantes y ficheros correspondientes:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



saludos



ms, 17-5-2006



Nota: Veo que ya se dijo que lo ejecutaras en un principio. Si fue asi y no se eliminó, posteanos el C:\infosat.txt.



Siempre que hay bicho pululando deben utilizarse utilidades, no eliminarlo directamente del logm pues lo mas normal es que no se logre, por persistir rutinas en mmeoria y fiocheros o claves complementarias que lo regeneran. ms.