Log de Hijackthis para analizar (CERRADO)

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 20:50

Le he hechado un vistazo al Log y he visto algo sospechoso pero no se si es normal o no, miradlo y me comentais. El problema es que me carga la página de inicio y alguna otra pero el google y la gran mayoría me comenta que no puede abrirla mediante mensaje. Os cuelgo el log y os digo que es lo que creo que pueda ser.

Logfile of HijackThis v1.99.1

Scan saved at 21:14:54, on 20/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe

C:\ARCHIV~1\MICROS~4\wcescomm.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\ARCHIV~1\MICROS~4\rapimgr.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe

C:\ARCHIV~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE

C:\ARCHIV~1\Symbian\Shared\SYMBIA~1\SCBAL.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\pc\CONFIG~1\Temp\Rar$EX00.485\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ovc.catastro.minhac.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Archivos de programa\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PowerBar] "C:\Archivos de programa\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\ARCHIV~1\MICROS~4\wcescomm.exe"

O4 - HKCU\..\Run: [mRouterConfig] "C:\Archivos de programa\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe"

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9C3C1A2E-2F68-44FE-AC56-83B0282E681E}: NameServer = 62.81.0.33,62.81.16.131

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Los archivos ssv.dll no tengo ni idea de que son, el qttask.exe creo que es del quicktime porq lo tengo instalado pero se asemeja a un parásito, el ctfmon.exe es raro, raro, el 08 - para descargar link usando bitcomet no se si es correcto que esté así, en los 09 - vuelve el ssv.dll yaparece el INetRepl.dll que tampoco me gusta, el 017 - y el 021 - creo que bien, el IDriverT.exe tampoco se si es malicioso.

MrKogoyo · Mensaje por **MrKogoyo** » 21 Feb 2007, 21:01

El ssv.dll, es un archivo legitimo de java asi que no es virico

El qttask, efectivamente es de QuickTime

El ctfmon, es un proceso del sistema, asi que no te preocupes

Ademas pasa esta herramienta en [url=http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp]~~[b]~~MODO SEGURO[/b][/url]

~~[b]~~ElistarA:[/b]

http://www.zonavirus.com/descargas/elistara.asp

Una vez terminada la ~~[b]~~EXPLORACIÓN[/b], Posteanos el ~~[b]~~CONTENIDO[/b] de C:/~~[b]~~InfoSat.txt[/b]

Comenta los resultados...

~~[b]~~Slds. !!

Mr.K.[/b]

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:06

Muchas gracias puebo eso y posteo lo que me comentas

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:16

Una cosilla, cuando apago el ordenata me sale una ventana con lo de finalizar programa ahora, no lanzo ninguna aplicación excepto IE, bueno y los demás procesos que se ejecutan automaticamente con la puesta en marcha del PC. En este pone Finalizando programa CardReaderLookupWindow. No se si tiene algo que ver con el problema.

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:19

Otra cosilla con el modo seguro y ejecutando la Eli, me dice que si quiero limpiar el fichero Host, supongo que debo darle que si, es que es la primera vez que uso esta aplicación

Mensaje por **lucl** » 21 Feb 2007, 21:21

Hola , si a todo y despues a explorar cuando te salga el cuadro, saludos

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:34

ya va por 7 archivos infectados y borrados

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:37

ya ha terminado con los 7 archivos infectados y borrados, ahora que le doy a salir y reinicio normal y se supone que debe de ir ya bien?

Nuker · Mensaje por **Nuker** » 21 Feb 2007, 21:38

Posteanos el log...y luego reinicias

Lo encuentras de esta manera:

C:\infoSat.txt copia contenido y pegalo aqui.

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:39

por cierto mola de gordo tu firma.

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:43

Wed Feb 21 20:36:54 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 21 20:37:18 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\BitComet\UNINST.EXE --> Eliminado, Beginto

C:\Archivos de programa\HP\Digital Imaging\{A1062847-0846-427A-92A1-BB8251A91E91}\MIGRATE.DLL --> Eliminado, RXBar

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert

C:\Archivos de programa\Sony Ericsson\Mobile4\InstSupport\SCRUNTIMESETUPXX.EXE --> AutoExtraible

C:\Archivos de programa\Symbian\Shared\SymbianConnectRunTime\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\David\3GP_Converter034\finishing\MESSAGEBOX.EXE --> Eliminado, PWS-WoW

C:\Documents and Settings\pc\Mis documentos\David\3GP_Converter034\finishing\SHUTDOWN.EXE --> Eliminado, PWS-WoW

C:\Documents and Settings\pc\Mis documentos\Downloads\BITCOMET.EXE --> Eliminado, Beginto

Wed Feb 21 20:42:33 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Sony Ericsson\Mobile4\InstSupport\SCRUNTIMESETUPXX.EXE --> AutoExtraible

C:\Archivos de programa\Symbian\Shared\SymbianConnectRunTime\UNINSTALL.EXE --> AutoExtraible

Me ha eliminado el conertidor de 3gp, y demás cosas que tenía para las pdas y eso.

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:43

Wed Feb 21 20:36:54 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 21 20:37:18 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\BitComet\UNINST.EXE --> Eliminado, Beginto

C:\Archivos de programa\HP\Digital Imaging\{A1062847-0846-427A-92A1-BB8251A91E91}\MIGRATE.DLL --> Eliminado, RXBar

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert

C:\Archivos de programa\Sony Ericsson\Mobile4\InstSupport\SCRUNTIMESETUPXX.EXE --> AutoExtraible

C:\Archivos de programa\Symbian\Shared\SymbianConnectRunTime\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\David\3GP_Converter034\finishing\MESSAGEBOX.EXE --> Eliminado, PWS-WoW

C:\Documents and Settings\pc\Mis documentos\David\3GP_Converter034\finishing\SHUTDOWN.EXE --> Eliminado, PWS-WoW

C:\Documents and Settings\pc\Mis documentos\Downloads\BITCOMET.EXE --> Eliminado, Beginto

Wed Feb 21 20:42:33 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Sony Ericsson\Mobile4\InstSupport\SCRUNTIMESETUPXX.EXE --> AutoExtraible

C:\Archivos de programa\Symbian\Shared\SymbianConnectRunTime\UNINSTALL.EXE --> AutoExtraible

Me ha eliminado el conertidor de 3gp, y demás cosas que tenía para las pdas y eso.

Nuker · Mensaje por **Nuker** » 21 Feb 2007, 21:45

Elimino un par PWS (Roba Passwords de moda)

Y te ha eliminado un Fake Alert...entre otras cosas

Mencionanos si tras reiniciar te sigue dando problemas.. o bien se puede dar por Solucionado...

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:53

que son de los que copian todo lo que escribas con el teclado o algo mas avanzado, porque la verdad es que desde aqui he introducido claves personales muy importantes y no mola, otra cosa, como me puedo proteger de estas roba paswords, y en general, he leido que el antivirus NOD32 va muy bien, pero para este tipo de ataques que me recomendais.

Oh, oh, el problema persiste.

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:56

la pagina de inicio se me carga pero cuando le doy ha abrir google, por ejemplo, redirecciona a un monton de direcciones como si lo estuviera buscando: http://www.google.com; google.es; google.com.edu; etc...

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 21:59

es solo con algunas paginas, con otras no, además no me descarga cuando tengo que descargara algo me sale la pagina de que no se pudo encontrar el servidor y eso

Nuker · Mensaje por **Nuker** » 21 Feb 2007, 22:00

Afortunadamente no, esos son llamados "keyloggers". Tambien conocidos por ELISTARA, la mejor forma de protegerse de los PWS, es no abrir ningun link ni aceptar archivos por el popular MSN, o por mail ya que es por ahi donde entran... Y cuidado con lo que baja... El NOD32 es bastante completo yo lo use un tiempo y me sirvio.

Pasa ELITRIIP, en modo seguro y cuelva a pasar ELISTARA tmb en Modo seguro y posteenos el log...

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Y verifique que tiene permisos para entrara a paginas restringidas o vea el nivel de seguridad...

Dentro de IE, Herramientas, Opciones de Internet,Seguridad y verifique los niveles que esten en medio alto o medio...

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 22:04

si, lo tengo en medio; otra cosa cada vez que apago el pc haga lo que haga me sale el mensaje de que se está intentando cerrar una aplicacion que es CardReaderLookupWindow, no se si tendra algo que ver

Nuker · Mensaje por **Nuker** » 21 Feb 2007, 22:08

Veirifca tus conexiones USB, o checa que no hayas creado alguna salida para estas y no este activo... de preferencia desconecta al apagar los USB y mencionanos si se soluciona...

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 22:17

me perdí, tengo conexion usb pero externa, luego tendré los drivers y esas historias instaladas, pero de ahí a mas no tengo ni idea. Si me lo explicas lo hago.

Wed Feb 21 20:36:54 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 21 20:37:18 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\BitComet\UNINST.EXE --> Eliminado, Beginto

C:\Archivos de programa\HP\Digital Imaging\{A1062847-0846-427A-92A1-BB8251A91E91}\MIGRATE.DLL --> Eliminado, RXBar

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert

C:\Archivos de programa\Sony Ericsson\Mobile4\InstSupport\SCRUNTIMESETUPXX.EXE --> AutoExtraible

C:\Archivos de programa\Symbian\Shared\SymbianConnectRunTime\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\David\3GP_Converter034\finishing\MESSAGEBOX.EXE --> Eliminado, PWS-WoW

C:\Documents and Settings\pc\Mis documentos\David\3GP_Converter034\finishing\SHUTDOWN.EXE --> Eliminado, PWS-WoW

C:\Documents and Settings\pc\Mis documentos\Downloads\BITCOMET.EXE --> Eliminado, Beginto

Wed Feb 21 20:42:33 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Sony Ericsson\Mobile4\InstSupport\SCRUNTIMESETUPXX.EXE --> AutoExtraible

C:\Archivos de programa\Symbian\Shared\SymbianConnectRunTime\UNINSTALL.EXE --> AutoExtraible

Wed Feb 21 21:11:00 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Feb 21 21:11:10 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Feb 21 21:15:41 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 21 21:15:43 2007

EliStartPage v13.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert

C:\Archivos de programa\Sony Ericsson\Mobile4\InstSupport\SCRUNTIMESETUPXX.EXE --> AutoExtraible

C:\Archivos de programa\Symbian\Shared\SymbianConnectRunTime\UNINSTALL.EXE --> AutoExtraible

esto es todo lo que he hecho, en el útimo me ha vuelto a eliminar otro fake.

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 22:19

las aplicaciones eli, son vuestras, no? están muy bien

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 22:20

lo de la CardReaderLookupWindow cuando estoy en modo seguro no me sale al cerrar

Nuker · Mensaje por **Nuker** » 21 Feb 2007, 22:21

Por ejemplo que hayas creado una impresora y no este activa (claro si usa USB) O alguna conexion a internet que hayas creado por USB y no este activa...

Y vuelvenos a postear tu log de HJT...(Nuevo)

Mencionanos si te da error todavia...

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 22:28

ademas me va lento el pc, voy mirando lo del usb pero decirme algunas directrices que seguir.

Logfile of HijackThis v1.99.1

Scan saved at 21:30:59, on 21/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe

C:\WINDOWS\system32\msiexec.exe

C:\ARCHIV~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\ARCHIV~1\Symbian\Shared\SYMBIA~1\SCBAL.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\pc\CONFIG~1\Temp\Rar$EX00.297\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Archivos de programa\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PowerBar] "C:\Archivos de programa\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\ARCHIV~1\MICROS~4\wcescomm.exe"

O4 - HKCU\..\Run: [mRouterConfig] "C:\Archivos de programa\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe"

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9C3C1A2E-2F68-44FE-AC56-83B0282E681E}: NameServer = 62.81.0.33,62.81.16.131

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 22:31

la impresora es por usb y funciona y conexion a la red que es tb por usb funciona, el pen dry tb funciona y es por usb, no se si es eso.

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 22:32

hay 2 R0 nuevos, eso porque es?

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 22:35

por cierto, como hago para quitar el ares, que ya no lo tengo instalado y me sale en el hijackthis

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 22:36

ah! y si, me sigue dando error

Mensaje por **lucl** » 21 Feb 2007, 22:37

haz fix cheked con un nuevo scan de hijackthis en las claves del ares que veas preferiblemente en modo seguro y asi las eliminaras, saludos

RSOLO · Mensaje por **RSOLO** » 21 Feb 2007, 22:38

ok, pero mirarme lo otro que es una movida

Log de Hijackthis para analizar (CERRADO)

Log de Hijackthis para analizar (CERRADO)

Que rapidez!! Se nota que sois expertos