Lentitud de mi ordenador (SOLUCIONADO)

pejalu · Mensaje por **pejalu** » 22 Jul 2007, 22:04

Adjunto contenido del log Hijack. Alguien me puede indicar porque mi ordenador va lento?

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 21:02:14, on 22/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Archivos de programa\TOSHIBA\TouchPadNF\TPTray.exe

C:\WINDOWS\System32\CePMTray.exe

C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe

C:\ARCHIV~1\EzButton\CPATR10.EXE

C:\WINDOWS\system32\WLANSTA.EXE

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINDOWS\System32\Ati2evxx.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Pedro\Escritorio\hijackthis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebankinter.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: Class - {DD692B0D-7080-05D6-E18C-7CECD7C43EA6} - C:\WINDOWS\otrqp1.dll (file missing)

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Mostrar la Barra de herramientas de Norton - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwaprops.cpl,CrystalControlWnd

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TPNF] C:\Archivos de programa\TOSHIBA\TouchPadNF\TPTray.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe

O4 - HKLM\..\Run: [CeEKey.exe] C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [CPATR10] C:\ARCHIV~1\EzButton\CPATR10.EXE

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 8

O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Performance Center] C:\Archivos de programa\Ascentive\Performance Center\ApcMain.exe -m

O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Archivos de programa\Uniblue\SpyEraser\SpyEraser.exe" -m

O4 - HKCU\..\Run: [SpyBrowser] C:\Archivos de programa\SpyBro\SpyBro.exe /autostart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{FD347573-4638-4E00-BB29-BB3557E6CD66}: NameServer = 80.58.0.33,80.58.32.97

O20 - AppInit_DLLs: \\?\C:\WINDOWS\com1.wnv

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SecZla - Unknown owner - \\?\C:\Archivos de programa\Archivos comunes\System\lpt2.exe (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

--

End of file - 11346 bytes

Mensaje por **lucl** » 22 Jul 2007, 22:20

pasate este programa que te indico y luego peganos el log que te dejara en C infosat.txt para ver lo que te ha encontrado, saludos

http://www.zonavirus.com/descargas/elistara.asp

pejalu · Mensaje por **pejalu** » 23 Jul 2007, 20:58

[quote="lucl"]pasate este programa que te indico y luego peganos el log que te dejara en C infosat.txt para ver lo que te ha encontrado, saludos

http://www.zonavirus.com/descargas/elistara.asp[/quote]

Gracias por la pronta respuesta.

El resultado del programa es el siguiente:

Mon Jul 23 19:33:09 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{DD692B0D-7080-05D6-E18C-7CECD7C43EA6}" -> C:\WINDOWS\otrqp1.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Mon Jul 23 20:35:42 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Mon Jul 23 20:36:21 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Roxio Shared\SharedCOM\CPSNAVIGATIONBARCONTROL.DLL --> Eliminado, 180Solutions

C:\System Volume Information\_restore{A9E8600C-6A56-4441-A981-6E1EC88CD0FA}\RP102\A0037605.DLL --> Eliminado, 180Solutions

Mensaje por **msc hotline sat** » 23 Jul 2007, 21:07

Eliminar estas claves:

O2 - BHO: Class - {DD692B0D-7080-05D6-E18C-7CECD7C43EA6} - C:\WINDOWS\otrqp1.dll (file missing)

O4 - HKCU\..\Run: [SpyBrowser] C:\Archivos de programa\SpyBro\SpyBro.exe /autostart

O23 - Service: SecZla - Unknown owner - \?C:Archivos de programaArchivos comunesSystemlpt2.exe (file missing)

Enviarnos estos ficheros sospechosos para analñizar:

C:\Archivos de programa\Ascentive\Performance Center\ApcMain.exe

C:WINDOWScom1.wnv

C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 23-07-2007

pejalu · Mensaje por **pejalu** » 24 Jul 2007, 16:56

He hecho lo que me ha pedido excepto el envio de los ficheros porque:

C:\Archivos de programa\Ascentive\Performance Center\ApcMain.exe no lo puedo enviar porque no existe.

Lo que he hecho es eliminar su clave con Fix Cheked de HIJACKTHIS.

C:WINDOWS\com1.wnv ya no se ve en el log despues de pasar el HIJACKTHIS y tampoco existe.

C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002. sigue saliendo en el log

HijackThis pero yo no lo encuentro. Debo eliminarl la clave con Fix Cheked?

Saludos. pejalu

+++++++++++++++++++++
[quote="msc hotline sat"]Eliminar estas claves:

O2 - BHO: Class - {DD692B0D-7080-05D6-E18C-7CECD7C43EA6} - C:\WINDOWS\otrqp1.dll (file missing)

O4 - HKCU\..\Run: [SpyBrowser] C:\Archivos de programa\SpyBro\SpyBro.exe /autostart

O23 - Service: SecZla - Unknown owner - \?C:Archivos de programaArchivos comunesSystemlpt2.exe (file missing)

Enviarnos estos ficheros sospechosos para analñizar:

C:\Archivos de programa\Ascentive\Performance Center\ApcMain.exe

C:WINDOWScom1.wnv

C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 23-07-2007[/quote]

Mensaje por **msc hotline sat** » 24 Jul 2007, 17:00

Pues como que no sirve de nada una clave llamando a un fichero inexistente, si no los encuentras, elimina dichas claves, y tras reiniciar, nos cuentas el resultado, gracias

saludos

ms, 24-07-2007

pejalu · Mensaje por **pejalu** » 24 Jul 2007, 20:10

Eliminé y reinicié. No he conseguido ninguna mejora.

Gracias. Pejalu

[quote="msc hotline sat"]Pues como que no sirve de nada una clave llamando a un fichero inexistente, si no los encuentras, elimina dichas claves, y tras reiniciar, nos cuentas el resultado, gracias

saludos

ms, 24-07-2007[/quote]

Mensaje por **msc hotline sat** » 25 Jul 2007, 09:07

Pues tras ello posteanos nuevo log del HJT, pero generalo arrancando en modo seguro, por si hubiera ROOTKITS...

y tras analizarlo informaremos

saludos

ms, 25-07-2007

pejalu · Mensaje por **pejalu** » 25 Jul 2007, 19:34

Aqui está el log HJT con el PC reiniciado en modo a prueba de errores.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 19:08:56, on 25/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Safe mode

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Pedro\Escritorio\hijackthis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebankinter.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Mostrar la Barra de herramientas de Norton - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwaprops.cpl,CrystalControlWnd

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TPNF] C:\Archivos de programa\TOSHIBA\TouchPadNF\TPTray.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe

O4 - HKLM\..\Run: [CeEKey.exe] C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [CPATR10] C:\ARCHIV~1\EzButton\CPATR10.EXE

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 8

O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{FD347573-4638-4E00-BB29-BB3557E6CD66}: NameServer = 80.58.0.33,80.58.32.97

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

--

End of file - 9521 bytes

[quote="msc hotline sat"]Pues tras ello posteanos nuevo log del HJT, pero generalo arrancando en modo seguro, por si hubiera ROOTKITS...

y tras analizarlo informaremos

saludos

ms, 25-07-2007[/quote]

Mensaje por **msc hotline sat** » 25 Jul 2007, 21:50

4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21

Estos DPF estan a medias ... ???

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -

<clave cortada de mcafee O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - [bin.mcafee.com] >

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} -

<otra clave a medias de mcafee: O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab >

y la ultima clave que tiene programada la carga de un fichero tem,poral... es muy raro:

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

Las dos primeras claves eliminalas, pues aunque no son malwares pueden producirte ralentizacion, y la ultima, si la conoces dejala, y sino eliminala tambien

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y nos cuentas el resultado, gracias

saludos

ms, 25-07-2007

pejalu · Mensaje por **pejalu** » 26 Jul 2007, 20:23

Eliminé las dos claves DPF sin problemas. Antes MCAFee era mi antivirus.

La del fichero temporal no se deja eliminar. La elimino con Fix Cheked y al obtener otra vez el log hijackthis alli está de nuevo.

Todo esto lo he hecho iniciando a modo de prueba de errores.

Tambien he eliminado por mi cuenta la:

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

He visto en los foros otro usuario al que le pedisteis que la eliminara.

De momento no observo mejoras en el arranque de mi PC.

Muchas gracias. pejalu

[quote="msc hotline sat"]4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21

Estos DPF estan a medias ... ???

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -

<clave cortada de mcafee O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - [bin.mcafee.com] >

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} -

<otra clave a medias de mcafee: O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab >

y la ultima clave que tiene programada la carga de un fichero tem,poral... es muy raro:

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

Las dos primeras claves eliminalas, pues aunque no son malwares pueden producirte ralentizacion, y la ultima, si la conoces dejala, y sino eliminala tambien

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y nos cuentas el resultado, gracias

saludos

ms, 25-07-2007[/quote]

Mensaje por **msc hotline sat** » 26 Jul 2007, 20:27

Bien hecho, la clave que dice ha eliminado por su cuenta no era maliciosa, sino un resto de McAfee, que si ya no lo usa, está bien que la eliminara:

http://www.castlecops.com/clsid-895.html

Pero ya que dice que sigue igual y que hay una clave que no puede eliminar, voy a darle un repaso a su log ...

Mensaje por **msc hotline sat** » 26 Jul 2007, 20:35

Pues vamos a centrar la atencion en la unica clave atipica:

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

Como que dices que si la eliminas, persiste, mira de renombrar el fichero que carga, clip_image002.jpg a extension .VIR, dejandolo en clip_image002.vir o clip_image002.jpg .vir da igual, y asi tras reiniciar ya no podra cargar este servicio y tras eliminar entonces dicha clave, espero que no persista mas.

Y nos cuentas el resultado, gracias

saludos

ms, 26-07-2007

pejalu · Mensaje por **pejalu** » 27 Jul 2007, 18:41

Ya le comenté que este fichero no existe en mi PC. No puedo hacerle un 'rename' por lo tanto.

Con REGEDIT si encuentro dos entradas que hacen referencia a el, una como Source y otra como SuscribedURL.

Estas dos entradas están, concretamente en

HKEY_CURRENT_USER/Sotware/Microsoft/Internet Explorer/Desktop/Components/0

del registro de mi pc.

Alguna idea?. Saludos y gracias.

pejalu
[quote="msc hotline sat"]Pues vamos a centrar la atencion en la unica clave atipica:

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

Como que dices que si la eliminas, persiste, mira de renombrar el fichero que carga, clip_image002.jpg a extension .VIR, dejandolo en clip_image002.vir o clip_image002.jpg .vir da igual, y asi tras reiniciar ya no podra cargar este servicio y tras eliminar entonces dicha clave, espero que no persista mas.

Y nos cuentas el resultado, gracias

saludos

ms, 26-07-2007[/quote]

Mensaje por **msc hotline sat** » 27 Jul 2007, 19:08

No aconsejamos usar el REGEDIT por lo delicado del registro

En su lugar, para eliminar las claves relacionadas, usa el BUSCAREG, indicale clip_image002.jpg y pulsando doble click sobre las detecciones te ofrecerá una pagina donde te mostrará la clave y permitirá eliminarla, elimina las dos que dices encontrar

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

saludos

ms, 27-07-2007

pejalu · Mensaje por **pejalu** » 27 Jul 2007, 19:33

Mientras me escribia el anterior mensaje sobre BUSCAREG yo ya estaba usando REGEDIT con el cual hice un cambio en los nombres de las referencias.

Cambié Source por Source1 y SuscribedURL por

SuscribedURL1.

Ahora en el HJT log la linea en cuestion pasa a ser:

O24 - Desktop Component 0: (no name) - (no file)

No se observa tampoco ninguna mejora.

Gracias. pejalu

[quote="msc hotline sat"]No aconsejamos usar el REGEDIT por lo delicado del registro

En su lugar, para eliminar las claves relacionadas, usa el BUSCAREG, indicale clip_image002.jpg y pulsando doble click sobre las detecciones te ofrecerá una pagina donde te mostrará la clave y permitirá eliminarla, elimina las dos que dices encontrar

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

saludos

ms, 27-07-2007[/quote]

Mensaje por **msc hotline sat** » 27 Jul 2007, 19:46

Pues ahora lo pruebas con el BUSCAREG, a ver si encuentras el otro ... y nos lo cuentas

ms, 27-07-2007

nota: y si pesiste la lentitud, prueba el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

MS.

pejalu · Mensaje por **pejalu** » 30 Jul 2007, 18:47

Ya no puedo buscar nada, o al menos es lo que yo creo. No hay nombre de clave (no name) ni nombre de fichero asociado

(no file)

O24 - Desktop Component 0: (no name) - (no file)

El infosat obtenido es:

Mon Jul 23 19:33:09 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{DD692B0D-7080-05D6-E18C-7CECD7C43EA6}" -> C:\WINDOWS\otrqp1.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Mon Jul 23 20:35:42 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Mon Jul 23 20:36:21 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Roxio Shared\SharedCOM\CPSNAVIGATIONBARCONTROL.DLL --> Eliminado, 180Solutions

C:\System Volume Information\_restore{A9E8600C-6A56-4441-A981-6E1EC88CD0FA}\RP102\A0037605.DLL --> Eliminado, 180Solutions

Mon Jul 30 18:12:13 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Mon Jul 30 18:12:42 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Para que se haga una idea de lo lento del inicio de mi PC, le diré que estando activo, la operación de reiniciar dura unos 7 minutos aproximadamente. El Liveupdate de Norton está configurado como automático y se arranca cada vez que se inicia el PC.

Mi PC es un portátil Toshiba Satellite 1900-303.

Saludos y gracias.

pejalu

[quote="msc hotline sat"]Pues ahora lo pruebas con el BUSCAREG, a ver si encuentras el otro ... y nos lo cuentas

ms, 27-07-2007

nota: y si pesiste la lentitud, prueba el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

MS.[/quote]

Mensaje por **msc hotline sat** » 30 Jul 2007, 19:02

No , no, esta O24 la eliminas con el HJT

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

arrancas en modo seguro, lanzas el HJT, marcas la casilla de la izquierda de dicha clave y pulsas en FIX CHECKED.

saludos

ms, 30-07-2007

pejalu · Mensaje por **pejalu** » 01 Ago 2007, 18:20

En el loj HJT en la linea

O24 - Desktop Component 0: (no name) - (no file)

ya no aparece nombre de fichero asociado desde que hice el

rename que expliqué mas arriba (nofile).

Esta clave no se deja eliminar, la elimino con Fix cheked en modo seguro y vuelve a aparecer en el log la linea

O24 - Desktop Component 0: (no name) - (no file)

Saludos y gracias.

pejalu

[quote="msc hotline sat"]No , no, esta O24 la eliminas con el HJT

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg

arrancas en modo seguro, lanzas el HJT, marcas la casilla de la izquierda de dicha clave y pulsas en FIX CHECKED.

saludos

ms, 30-07-2007[/quote]

Mensaje por **msc hotline sat** » 01 Ago 2007, 18:33

Ufff ! La dichosa manía de toquetear el registro con el REGEDIT !!!

[quote="pejalu"]
Mientras me escribia el anterior mensaje sobre BUSCAREG yo ya estaba usando REGEDIT con el cual hice un cambio en los nombres de las referencias.

Cambié Source por Source1 y SuscribedURL por

SuscribedURL1.

Ahora en el HJT log la linea en cuestion pasa a ser:

O24 - Desktop Component 0: (no name) - (no file)
[/quote]

Restaure la clave a su valor original, y renombre el fichero de carga a .VIR o sea, C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg cambiarlo a C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.vir

y tras reiniciar, veamos si puede eliminar la dichosa clave

saludos

ms.

pejalu · Mensaje por **pejalu** » 01 Ago 2007, 20:26

Retrocedamos un poco.

Esto que me pide hacer ahora ya me lo pidió antes pero... no lo

hice porque no pude, ya que ese fichero no estaba presente en mi PC y tampoco lo está ahora.

Podria, eso si, restaurar la clave a su valor original o a cualquier otro

Como el fichero no existia se me ocurrió entonces hacer el rename con el REGEDIT para que la variable que apuntaba al nombre del fichero quedara en blanco.

Asi ocurrió y a pesar de que el nombre del fichero está en blanco en la clave, aparece la linea en cuestion en el log HJT:

O24 - Desktop Component 0: (no name) - (no file)

El resumen es, que en un principio, el inicio del ordenador intentaba cargar una clave con un fichero que no existia(cosa que dudo) o se creaba temporalmente y despues se borraba.

Cuando la clave apuntaba a ese fichero que no existe,

C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg,

tampoco se dejaba eliminar, se eliminaba con FIX CHECKED y reaparecia de nuevo.

Que hago?

Saludos y gracias. pejalu

[quote="msc hotline sat"]Ufff ! La dichosa manía de toquetear el registro con el REGEDIT !!!

[quote="pejalu"]
Mientras me escribia el anterior mensaje sobre BUSCAREG yo ya estaba usando REGEDIT con el cual hice un cambio en los nombres de las referencias.

Cambié Source por Source1 y SuscribedURL por

SuscribedURL1.

Ahora en el HJT log la linea en cuestion pasa a ser:

O24 - Desktop Component 0: (no name) - (no file)
[/quote]

Restaure la clave a su valor original, y renombre el fichero de carga a .VIR o sea, C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.jpg cambiarlo a C:/DOCUME~1/Pedro/CONFIG~1/Temp/msoclip1/01/clip_image002.vir

y tras reiniciar, veamos si puede eliminar la dichosa clave

saludos

ms.[/quote]

Mensaje por **msc hotline sat** » 02 Ago 2007, 12:28

Pues dejarla estar, FILE MISSING no quiere decir que no exista el fichero, sino que no lo ve por estar oculto o en otra parte.

Maximo puede renombrarse la extension del fichero para que no la cargue, pues si es un servico y no se hace asi, por mas que la elimine volverá a aparecer.

Y lo siguiente es actualizar los parches de microsoft con un windowsupdate, pues te faltan parches.

Luego lanza estos AV ONLINE y veamos si detectan algo:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:

testeo ONLINE de virus en memoria

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

y para lanzar el primero mejor arrancar en modo seguro con funciones de red. El segundo no, claro, pues es para exsminsr la memoria

y nos informas delr esultado.

saludos

ms, 2-08-2007

pejalu · Mensaje por **pejalu** » 03 Ago 2007, 00:11

He buscado el fichero con el Explorador de Windows con la opción de visualización de ficheros ocultos y no lo encuentro.

Por lo tanto no le puedo cambiar el nombre.

Agradezco mucho su ayuda.

Doy por finalizado el problema.

Saludos. pejalu

[quote="msc hotline sat"]Pues dejarla estar, FILE MISSING no quiere decir que no exista el fichero, sino que no lo ve por estar oculto o en otra parte.

Maximo puede renombrarse la extension del fichero para que no la cargue, pues si es un servico y no se hace asi, por mas que la elimine volverá a aparecer.

Y lo siguiente es actualizar los parches de microsoft con un windowsupdate, pues te faltan parches.

Luego lanza estos AV ONLINE y veamos si detectan algo:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:

testeo ONLINE de virus en memoria

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

y para lanzar el primero mejor arrancar en modo seguro con funciones de red. El segundo no, claro, pues es para exsminsr la memoria

y nos informas delr esultado.

saludos

ms, 2-08-2007[/quote]

Mensaje por **msc hotline sat** » 03 Ago 2007, 11:50

Pues solo te aclaro una cosa antes de carrar el Tema como indicas, y es que los RootKits justamente hacen esto, cuando estan residentes no dejan ver los ficheros, aplicaciones y claves que desean ocultar, no pudiendo acceder a ellos mientras estan en memoria... Algunas veces los podemos detener arrancando en modo seguro, pero otras se cargan como servicios y arrancan igual en dicho modo, y solo los localizamos y podemos renombrarlo o eliminarlos arrancando en consola de recuperacion, con el CD de instalacion.

y atendiendo tu solicitud, damos por solucionado el Tema y procedemos a cerrarlo

saludos y FELICES VACACIONES

ms, 3-08-2007

Lentitud de mi ordenador (SOLUCIONADO)

Lentitud de mi ordenador (SOLUCIONADO)

Lentitud de mi PC

lentitud de mi PC

Lentitud de mi ordenador

lentitud de mi ordenador

Lentitud de mi ordenador

Lentitud de mi ordenador

Lentitud de mi ordenador

Lentitud de mi ordenador

Lentitud de mi ordenador

Lentitud de mi ordenador