Log HijackThis: uso CPU 100% (SOLUCIONADO)

Cerrado
Xico
Novato
Novato
Mensajes: 4
Registrado: 18 Jul 2011, 14:29

Log HijackThis: uso CPU 100% (SOLUCIONADO)

Mensaje por Xico » 18 Jul 2011, 14:42

Hola,



Desde hace unos días, al poco de iniciar el ordenador y sobre todo cuando me conecto a internet, comienza a abrirse un proceso que se replica una y otra vez (XP8XK611.EXE), consumiendo todos los recursos de la CPU y dejándome el PC tostado. Puedo matarlos manualmente con esfuerzo y paciencia, pero vuelven a abrirse poco después.

En C:/Windows/Prefetch hay un fichero llamado X8PXK611.EXE-28634BC3.pf. He borrado todo el contenido de la carpeta, pero vuelve a generarse.

Le he pasado varios programas de análisis de malware pero no resuelven el problema. Os copio el log del HijackThis por si me podéis echar una mano (he asteriscado información de los hosts, dominios y proxies, por temas de provacidad):



Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 14:26:13, on 18/07/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

C:\Archivos de programa\Cisco Systems\CiscoTrustAgent\ctalogd.exe

C:\Archivos de programa\Cisco Systems\CiscoTrustAgent\ctad.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Native Instruments\Hardware\NIHardwareService.exe

C:\Archivos de programa\Norton Ghost\Agent\VProSvc.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\StacSV.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

C:\Archivos de programa\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\WINDOWS\stsystra.exe

C:\Archivos de programa\Norton Ghost\Agent\VProTray.exe

C:\Archivos de programa\DellTPad\Apoint.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Archivos de programa\DellTPad\ApMsgFwd.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\Archivos de programa\DellTPad\HidFind.exe

C:\Archivos de programa\DellTPad\Apntex.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\Pop3Trap.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Archivos de programa\Digital Line Detect\DLG.exe

C:\WINDOWS\TEMP\OXA195.EXE

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Archivos de programa\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\plugin-container.exe

C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = *******

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: *******

O1 - Hosts: *******

O1 - Hosts: *******

O1 - Hosts: *******

O1 - Hosts: *******

O1 - Hosts: *******

O1 - Hosts: *******

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AdvBHO - {2ED2390A-E6F6-F895-FE75-013E2D97184A} - C:\Documents and Settings\INFPCG\AdvBHO.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Archivos de programa\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Archivos de programa\Norton Ghost\Agent\VProTray.exe"

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\DellTPad\Apoint.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Archivos de programa\Cisco Systems\VPN Client\vpngui.exe

O4 - Global Startup: Digital Line Detect.lnk = C:\Archivos de programa\Digital Line Detect\DLG.exe

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2D0CBE69-DAFC-11D3-96D2-0020182E2E27} - http://demo.dialcom.com/comun/download/wcf_pc_25_0_0_2_nooutbound.cab

O16 - DPF: {2DAB6EF1-66C3-427C-87CD-8DC448C47EAE} (CtlTGVI Class) - https://www5.aeat.es/es13/h/tgvicab.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1273162930765

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1273162898093

O16 - DPF: {947B00D2-962D-4A35-9E48-98EE6A442B41} (OAdedinet Class) - https://www1.agenciatributaria.gob.es/ADUA/internet/aded1503.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www1.agenciatributaria.gob.es/es13/h/cactivex.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://195.55.246.162:8086/activex/AMC.cab

O16 - DPF: {F8A2314A-16E1-48CB-8EE7-A221207CBEEE} (rwdsot.rwdhlpStayOnTop) - http://172.25.96.8/RWDHlp/rwdsot.CAB

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *******

O17 - HKLM\Software\..\Telephony: DomainName = *******

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *******

O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O18 - Filter hijack: text/html - {2e975001-7e76-4adb-a881-3e56d6c00a28} - (no file)

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Cisco Trust Agent (ctad) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\CiscoTrustAgent\ctad.exe

O23 - Service: Cisco Trust Agent Event Logging Service (ctalogd) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\CiscoTrustAgent\ctalogd.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NIHardwareService - Native Instruments GmbH - C:\Archivos de programa\Archivos comunes\Native Instruments\Hardware\NIHardwareService.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton Ghost\Agent\VProSvc.exe

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\StacSV.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Archivos de programa\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe



--

End of file - 16243 bytes



Muchas gracias de antemano.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93866
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Log HijackThis: uso CPU 100%

Mensaje por msc hotline sat » 18 Jul 2011, 17:39

vEMOS ESTOS FICHEROS SOSPECHOSOS:





C:\WINDOWS\TEMP\OXA195.EXE



C:\Documents and Settings\INFPCG\AdvBHO.dll





ENVIENOSLOS PARA ANALIZAR JUNTO CON ESTE QUE DICE:



XP8XK611.EXE





(EL PREFECTH NO, gracias)



recuerde:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-7-2011

Xico
Novato
Novato
Mensajes: 4
Registrado: 18 Jul 2011, 14:29

Re: Log HijackThis: uso CPU 100%

Mensaje por Xico » 18 Jul 2011, 20:42

Gracias por la respuesta,



Me temo que mientras tanto ya he eliminado todos los ficheros temporales, por lo que el C:\WINDOWS\TEMP\OXA195.EXE no os lo puedo enviar.



Acabo de enviar las otras dos muestras, aunque XP8XK611.EXE no existe como tal (sólo el de la carpeta Prefetch X8PXK611.EXE-28634BC3.pf).

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93866
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Log HijackThis: uso CPU 100%

Mensaje por msc hotline sat » 19 Jul 2011, 05:39

No, el prefetch no nos sirve (es solo un extracto para el lanzamiento del EXE).



Pues veremos las muestras que has enviado informaremos de su analisis.



saludos



ms, 19-7-2011

Xico
Novato
Novato
Mensajes: 4
Registrado: 18 Jul 2011, 14:29

Re: Log HijackThis: uso CPU 100%

Mensaje por Xico » 19 Jul 2011, 12:37

Perdón, acabo de encontrar el XP8XK611.EXE en una carpeta oculta y os lo he enviado.



Gracias!

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93866
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Log HijackThis: uso CPU 100%

Mensaje por msc hotline sat » 19 Jul 2011, 13:11

El ultimo fichero enviado por supuesto que es bicho !!!:





File name:

X8pXK611.exe

Submission date:

2011-07-19 10:58:01 (UTC)

Current status:

finished

Result:

22 /43 (51.2%)



VT Community



malware

Safety score: 0.0%

Compact

Print results

Antivirus Version Last Update Result

AhnLab-V3 2011.07.19.02 2011.07.19 Trojan/Win32.FakeAV

AntiVir 7.11.11.208 2011.07.19 TR/Dropper.Gen

Antiy-AVL 2.0.3.7 2011.07.15 -

Avast 4.8.1351.0 2011.07.19 Win32:Rootkit-gen [Rtk]

Avast5 5.0.677.0 2011.07.19 Win32:Rootkit-gen [Rtk]

AVG 10.0.0.1190 2011.07.19 Dropper.Generic4.KOZ

BitDefender 7.2 2011.07.19 Gen:Variant.Kazy.25302

CAT-QuickHeal 11.00 2011.07.19 -

ClamAV 0.97.0.0 2011.07.19 -

Commtouch 5.3.2.6 2011.07.19 -

Comodo 9429 2011.07.19 UnclassifiedMalware

DrWeb 5.0.2.03300 2011.07.19 Trojan.DownLoad2.31585

Emsisoft 5.1.0.8 2011.07.19 Gen.Trojan.Heur!IK

eSafe 7.0.17.0 2011.07.18 -

eTrust-Vet 36.1.8450 2011.07.18 -

F-Prot 4.6.2.117 2011.07.18 -

F-Secure 9.0.16440.0 2011.07.19 Gen:Variant.Kazy.25302

Fortinet 4.2.257.0 2011.07.19 -

GData 22 2011.07.19 Gen:Variant.Kazy.25302

Ikarus T3.1.1.104.0 2011.07.19 Gen.Trojan.Heur

Jiangmin 13.0.900 2011.07.18 -

K7AntiVirus 9.108.4919 2011.07.18 -

Kaspersky 9.0.0.837 2011.07.19 -

McAfee 5.400.0.1158 2011.07.19 Artemis!2AAF4C0EBEB4

McAfee-GW-Edition 2010.1D 2011.07.19 Heuristic.LooksLike.Trojan.Backdoor.Gootkit.B

Microsoft 1.7000 2011.07.19 TrojanDownloader:Win32/Obvod.H

NOD32 6306 2011.07.19 probably a variant of Win32/TrojanClicker.Agent.LA

REEAS

Norman 6.07.10 2011.07.18 W32/Suspicious_Gen2.NOMFT

nProtect 2011-07-19.01 2011.07.19 Gen:Variant.Kazy.25302

Panda 10.0.3.5 2011.07.18 Trj/CI.A

PCTools 8.0.0.5 2011.07.13 -

Prevx 3.0 2011.07.19 -

Rising 23.67.01.05 2011.07.19 -

Sophos 4.67.0 2011.07.19 Sus/UnkPack-C

SUPERAntiSpyware 4.40.0.1006 2011.07.19 -

Symantec 20111.1.0.186 2011.07.19 Trojan.FakeAV

TheHacker 6.7.0.1.257 2011.07.18 -

TrendMicro 9.200.0.1012 2011.07.19 -

TrendMicro-HouseCall 9.200.0.1012 2011.07.19 -

VBA32 3.12.16.4 2011.07.19 -

VIPRE 9901 2011.07.19 Trojan.Win32.Generic!BT

ViRobot 2011.7.19.4577 2011.07.19 -

VirusBuster 14.0.129.0 2011.07.18 -

Additional information

MD5 : 2aaf4c0ebeb48451787e81aebe6dc31a

SHA1 : 6d341ed39be142a401794e9ebd0b6d699bf4d589





File size : 112128 bytes





Vamos a monitorizarlo para implementar su control y eliminacion ennuestras utilidades, de lo cual informaremos



saludos



ms, 19-7-2011





NOTA: Otra muestra anterior la hemos pasado a controlar como ADCLICKER:

http://www.zonavirus.com/noticias/2011/nueva-variante-de-adclicker-pasada-a-controlar-con-el-elistara.asp ms.

Xico
Novato
Novato
Mensajes: 4
Registrado: 18 Jul 2011, 14:29

Re: Log HijackThis: uso CPU 100%

Mensaje por Xico » 20 Jul 2011, 14:29

Hola de nuevo,



Después de pasarle el ElistarA parece que el ordenador ha vuelto a la normalidad. No obstante de vez en cuando aparece un proceso (en cada sesión cambia el nombre, pero suelen guardar un patrón similar), que si bien no parece consumir recursos, no lo identifico con nada conocido.



Estos ejecutables aparecen en C:/Windows/Temp y desaparecen en cuanto cierro el proceso. También tienen una referencia a estos ficheros en C:/Windows/Prefetch.



Os envío una muestra de ejemplo (OBFFEF.EXE).



Gracias!

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93866
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Log HijackThis: uso CPU 100%

Mensaje por msc hotline sat » 20 Jul 2011, 14:54

Analizada la muestra enviada, no tiene rutinas viricas conocidas, y posiblemente se trate de la creacion de los prefectch, que para cada aplicacion lanzada, windows guarda un fichero .pf de la misma, para mayor rapidez en el proximo lanzamiento.



Si quieres, borra el contenido de la carpeta prefectch dentro de windows, y veras que se van creando .pf para cada aplicacion que lances.



Y ya dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 20-7-2011

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93866
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Log HijackThis: uso CPU 100%

Mensaje por msc hotline sat » 21 Jul 2011, 08:45

Comentario postcierre:



La muestra enviada es un residente que deja algun driver de Trend, pues instala una clave al respecto.



Solo a titulo de informacion



saludos



ms, 21-7-2011

Cerrado

Volver a “Foro HijackThis - copia y pega tu log”