Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Logfile of HijackThis v1.99.1
Scan saved at 14:18:59, on 05/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\VM_STI.EXE
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Logitech\SetPoint\KEM.exe
C:\Archivos de programa\Logitech\SetPoint\KHALMNPR.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
D:\eMule_0.30e-emulEspana_v2d-Binaries_P4_AthlonXP\eMule_0.30e-emulEspana_v2d-Binaries_P4_AthlonXP\emule.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\xavier\Escritorio\utils\antiespias\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsy248.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\system32\gah95on6.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VideoCAM Web V2
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AEB643C-7D4D-45B0-850E-478120117140}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{76E05AEB-F457-4117-ADE1-C0E59F80D53F}: NameServer = 80.58.0.33,80.58.32.97
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\xavier\CONFIG~1\Temp\hpdj.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

espero ir aprendiendo, gracias

Hola y bienvenido al foro de spyware, si nos decis los sintomas que tiene tu PC, nos vas a ayudar para poder ayudarte mejor y mas rapido.

Salu2

Gracias por dedicarme el tiempo, veras ahora mismo no estoy en casa pero lo que le ocurre al ordenador es:
* cuando abro google normalmente se me inicia en otra página, donde en ingles me dice que tengo el ordenador infectado de spyware, eso unas veces otras me sale un pop-up de publicidad, etc. Es decir me redirecciona donde le da la gana. Por otro ñado en la carpeta de favoritos se me ha instalado una carpeta con nombre 1111 que aunque la borro, siempre vuelve. Y en el temporal de Wundows hay algun archivo con formato de reproducción, que no consigo borrar.
No me parece muy grave pero me gustría poderlo solucionar antes de formatera el HD.

Gracias

Kaslarrabias

Hola

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»

Deberás marcar estas líneas en el Hijackthis para reparar:

• O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
• O4 - HKLM\..\Run: [ScanRegistry] C:\W
• O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\system32\gah95on6.exe
• O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
• O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\xavier\CONFIG~1\Temp\hpdj.exe (file missing)

Si los encuentras, deberás borrar estos archivos y carpetas:

• C:\W
• C:\WINDOWS\system32\gah95on6.exe

Esto no lo conozco, deberás revisar sus propiedades y ver si pertenece a algo que hayas instalado, si no es así, renómbralo y observa el funcionamiento de tu sistema durante un par de días, si nada va mal, bórralo.

• C:\WINDOWS\system32\nsy248.dll

Si borras esos archivos, deberás marcar esto en el hijackthis para reparar

• O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsy248.dll

Después de haber hecho esas reparaciones, no estaría de más que ejecutaras estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Cwshredder
• Disck Cleaner
• Spybot Search and Destroy
• ss

No parece que tengas mucho por aquí, así que tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.

Felicidad

Muchachos gracias a esta maravillosa página y siguiendo los pasos que me habeis indicado, solcionado el tema ya no me aparece nada cuando inicio el navegador.
De todas formas no consegui encontrar los 2 archivos:
C:\W
C:\WINDOWS\system32\gah95on6.exe
Muchas gracias

Kaska

Hola, si ya no hay problemas podemos dar el tema por solucionado.

De todos modos si queres podes generar un nuevo log de hijackthis para ver si no aparecen estos archivos que tenias que eliminar, aunque puede que al pasarle un antispyware este ya se ecargo de estos.

Salu2