Problema extraño, posible virus dificil de encontrar, ?¿?

[mpadillasantos]

Problema importante.



Primero buenos días y espero que me podais ayudar.



Mi máquina "de repente" paso de una velocidad normal a pasar a camara lenta hasta ya no poder ni abrir un programa ?¿ ... antes de que muriera del todo pase el nod32 varias veces y no me localizó virus, y el adware tampoco localizó virus-espias....



?¿ ?¿ la solución supongo que el formateo pero es un engorro, pienso que es un virus ya que ace tiempo note unos sonidos raros al reproducir música, si si, sonidos raros intermitentes como una sirena extraña, a parte el otro dia metí un dvd de mi ordenador antiguo para sacar una foto a saber si se metió algo, esa fue mi ultima accion antes de que empezase a morir...



Alguna solucion antes de formatear ??? el sistema esta oK solo que puede tardar 30 min en abrir una aplicación...

[msc hotline sat]

No tendrás mas de un antivirus instalado ? (y si uno de ellos es el kaspersky, peor !)



Posteanos log del HJT y lo estudiaremos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 18-06-2007

[mpadillasantos]

Con lo lento que me funciona el sistema veo difícil llegar a instalar el HJT para pasaros el log.

Creo que voy a intentan arrancar en modo seguro con funciones de red y si consigo llegar a la página de alerta antivirus, el panda te hace una buena limpieza on line, así podría llegar a encontrar el virus.



De todas formas intentare lo del HJT, y bueno le veis alguna otra solucion ??



** No tengo ningun otro antivirus instalado, tan solo nod32.



Muchas Gracias !

[msc hotline sat]

El HJT si quiere desempaquetelo en otro ordenador y copia solo el EXE a este, y si quiere hagalo en modo seguro, y tras ello lo ejecuta simplemente, la cuestion es que genere el log, luego lo copia al otro ordenador y nos lo postea desde alli si le es mas rapido.



saludos



ms, 18-06-2007

[mpadillasantos]

oK



Si ahora estoy en el trabajo, desde casa no podria postear xD ... ejecutare el HJT y os pegare el log, intentare lo del panda on line y bueno estoy seguro de que es un virus que me deja sin recursos eso seguro...



Gracias !

[msc hotline sat]

Pues en cuanto lo postee lo analizaremos.



hasta luego



ms.

[mpadillasantos]

// Aqui tienes la traza del hijackthis desde modo seguro, en mi modo normal se me abre un proceso llamado spoolsv.exe que ocupa 99 por ciento de la CPU, posiblemente este infectado.



como puedo solucionarlo ? gracias



Logfile of HijackThis v1.99.1

Scan saved at 20:02:10, on 18/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

E:\Programas varios\Spyware Doctor\svcntaux.exe

E:\Programas varios\Spyware Doctor\swdsvc.exe

C:\WINDOWS\Explorer.EXE

E:\Programas varios\Spyware Doctor\SDTrayApp.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

F:\MANU HIJACTHIS\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programas varios\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] E:\Programas varios\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\PROGRA~2\NOKIA6~1\PCSUIT~1\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] E:\Programas varios\Winamp\winampa.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Programas varios\NOKIA 6280\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SDTray] "E:\Programas varios\Spyware Doctor\SDTrayApp.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programas varios\GPS ACER E310\wcescomm.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~2\GPSACE~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~2\GPSACE~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~2\GPSACE~1\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - E:\Programas varios\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - E:\Programas varios\Spyware Doctor\swdsvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

[msc hotline sat]

Pues sorprendentemente no se ve ninguna clave maliciosa, ni ningun fichero sospechoso...



Miraremos de ir mas a fondo, especialmente ya que dices que en modo normal lanza un spoolsv que se pone al 90 %, lo cual no hay claves que se vean lanzarlo con el HJT



Por ello te pedimos que tambien en modo seguro, pruebes el SPROCES y como esta vez, luego arranques en modo normal y nos posteas el fichero de salida, que en este caso es C:\SPROCLOG.TXT, a ver si vemos algo mas:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 18-06-2007

[mpadillasantos]

//esta es la traza del sproclog, la he sacado desde el modo seguro con funciones de red, y te la posteo desde aki, no importa verdad ?? //



Cuando entro en el modo normal se me abre el spolsv.exe y ocupa um 99 x ciento de la `CPU si lo termino el proceso vuelve a ejecutarse pasados unos minutos.



He cargado el punto de restauracion y sigo con el mismo problema.Aqui te pego la traza, Gracias



Mon Jun 18 20:44:52 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

E:\MANU\VARIOS\DESCARGAS MOZILLA\SPROCES.EXE

E:\MANU\VARIOS\DESCARGAS MOZILLA\SPROCES.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programas varios\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMFirstStart.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] e:\programas varios\Clone\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "e:\programas varios\Clone\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] E:\Programas varios\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Programas varios\NOKIA 6280\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\PROGRA~2\NOKIA6~1\PCSUIT~1\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Control Center] C:\Archivos de programa\WLAN Card Utilities\Center.exe

O4 - HKLM\..\Run: [WinampAgent] E:\Programas varios\Winamp\winampa.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Logitech Desktop Messenger.lnk

O4 - Global Startup: Logitech SetPoint.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~2\GPSACE~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~2\GPSACE~1\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.4.0_01) -

O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.5.0_07) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

[msc hotline sat]

Debería ser mas largo el SPROCLOG.TXT pero si tras revisarlo no lo es, dejemoslo estar.



No logramos ver donde se lanza el SPOOL dichoso...



Mira si con un inicio -> buscar encuentras otro fichero aparte de los dos enviados, que eran del sistema





mientras buscaré algo al respecto





[img]http://www.mamchiloe.cl/uc01.gif[/img]

[msc hotline sat]

Debería ser mas largo el SPROCLOG.TXT pero si tras revisarlo no lo es, dejemoslo estar.



No logramos ver donde se lanza el SPOOL dichoso...



Mira si con un inicio -> buscar encuentras otro fichero aparte de los dos enviados, que eran del sistema



Pero puede que no sea virus, sino de la misma aplicacion ...





Bueno, creo que lo encontré !



Hay veces que se queda un documento en la cola de impresion, y no hay forma de pararlo, cancelarlo y/o eliminarlo. Y el spool es del sistema, pero consume toda la CPU y sin dejar imprimir nada ...



Cierre el servicio de cola de impresion (desde el Administrador de Equipos), y elimine el contenido de la carpeta C:\WINDOWS\system32\spool\PRINTERS, que es donde se almacenan los documentos de la cola de impresion.



Y nos cuenta el resultado, gracias



saludos



ms, 18-06-2007

[mpadillasantos]

he eliminado el contenido de c\systen32\spool\printers desde el modo seguro que estoy ahora...pero...



como se para la cola de impresion ?¿



Gracias

[mpadillasantos]

>>Cierre el servicio de cola de impresion (desde el Administrador de Equipos),>>



estoy en modo normal y la maquina va oK, no se me abre el proceso del spool, he eliminado el contenido de la carpeta spool printer pero no se parar el servicio de cola de impresion ...



Como se hace gracias de nuevo !!

[mpadillasantos]

Bueno ante todo muchisimas gracias, me has librado de formatear.



Y bueno cuando leas el post solo contestarme a .



Como suspender la cola de impresion ?

luego simplemente tengo el nod32 como antivirus y el adware como antiespias, tengo las actualizaciones de windows activadas y desactivado el cortafuegos, creo q no tengo cortafuegos...



me recomiendas algun otro software de seguridad???



y bueno como te dije muchas gracias

[msc hotline sat]

Bajate el ELITRIIP y al probarlo veras una opcion de eliminar la cola de impresion aceptalo y tras reiniciar nos cuentas el resultado:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 18-06-2007

[mpadillasantos]

/ estas son las trazas de elitriIP ..... por cierto, no tendre ningún problema si imprimo algunos documentos proximamente no ?? y bueno simplemente lo que te comentado sobre el software de seguridad...si me recomiendas otro o algun cortafuegos, gracias..

* me faltaria reiniciar lo cual hare en unos minutos.



Mon Jun 18 22:45:02 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Mon Jun 18 22:45:27 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Documentos\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Documents and Settings\Manuel\Escritorio\VaRiOs.. uN pOkIto dE tODo\COSAS DEL TRABAJO DE KEÑO!!!\PROGRAMAS\PcAnywhere\version 11\autorun.inf --> Eliminado, BackDoor.CMQ (inf)



Mon Jun 18 22:51:36 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

[msc hotline sat]

Pues ya nos dirás si se ha solucionado el problema con lo indicado, esperamos que sí, pero...



saludos



ms, 19-06-2007



nota: y no ha de haber problemas por ello en el futuro, mas que los normales :wink: