El PC me va muy lento y demás problemas

Lankas · Mensaje por **Lankas** » 23 Ago 2007, 14:19

Hola, desde hace unos días el pc me va muy lento y durante unos días, también, me salía continuamente una pantalla azul donde ponía "estado en suspenso" o algo así (me lo dijeron ya que yo no estaba presente).

Además, me da problemas al enviar ficheros adjuntos (no me deja).

Adjunto log del Hijack :

------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:06:08, on 23/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\r_server.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe

C:\Archivos de programa\Cobian Backup 8\Cobian.exe

C:\Archivos de programa\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\No-IP\DUC20.exe

C:\Archivos de programa\Cobian Backup 8\cbInterface.exe

C:\Archivos de programa\Hewlett-Packard\Toolbox\jre\bin\javaw.exe

C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SECURI~1\NSCSRVCE.EXE

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\VBSIR\VbSir.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

C:\Programas y parches\Seguridad\HijackThis 1.99.1 (hurga en arranque de win).exe

C:\Archivos de programa\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe

O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Archivos de programa\Cobian Backup 8\Cobian.exe"

O4 - HKLM\..\Run: [StatusClient 2.6] C:\Archivos de programa\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Archivos de programa\Hewlett-Packard\Toolbox\hpbpsttp.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: No-IP DUC.lnk = C:\Archivos de programa\No-IP\DUC20.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_02\bin\npjpi142_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_02\bin\npjpi142_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://public.service.citroen.com

O15 - Trusted Zone: http://service.citroen.com

O15 - Trusted Zone: http://estim.citroen.inetpsa.com

O15 - Trusted Zone: http://estim.peugeot.inetpsa.com

O15 - Trusted Zone: http://networkservice.citroen.inetpsa.com

O15 - Trusted Zone: http://public.service.citroen.inetpsa.com

O15 - Trusted Zone: http://public.servicebox.peugeot.inetpsa.com

O15 - Trusted Zone: http://service.citroen.inetpsa.com

O15 - Trusted Zone: http://servicebox.peugeot.inetpsa.com

O15 - Trusted Zone: http://public.servicebox.peugeot.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C21F2D4-F7FB-479A-A472-ACC9753E700E}: NameServer = 127.0.0.1,82.58.0.33,80.58.61.250

O17 - HKLM\System\CCS\Services\Tcpip\..\{268D729C-F26F-4AAE-B770-2DF875A1654C}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{D10C3B55-39A0-42BA-84D1-DA5A868210C2}: NameServer = 80.58.0.33,127.0.0.1,50.58.61.250

O17 - HKLM\System\CS1\Services\Tcpip\..\{0C21F2D4-F7FB-479A-A472-ACC9753E700E}: NameServer = 127.0.0.1,82.58.0.33,80.58.61.250

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~2.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

--

Por cierto, el fichero VbSir.exe es un programa que usamos nosotros.

Pues eso es todo, a ver si me podéis echar un cable.

¡Gracias de antemano!

Lankas · Mensaje por **Lankas** » 23 Ago 2007, 15:34

Hurgando en el Norton, he detectado la posible causa del problema. Concretamente, en "Actividades" me ponía:

Detalles: Norma "Bloqueo predeterminado de EPMAP" bloqueada (172.26.0.8,dcom(135))

Conexión TCP de entrada

Dirección, servicio local es (xxxxx(172.26.0.9),dcom(135))

Dirección, servicio remoto es (172.26.0.8,1110)

El nombre del proceso es "C:\WINDOWS\system32\svchost.exe"

(Mi pc en la red es el 172.26.0.9 y el .0.8 es el otro)

Este mensaje me sale unas 5 veces por minuto.

Entonces, lo que hice fue permitir la conexión EPMAP sólo con esa ip (172.26.0.8) pero ahora, en Actividades me sale ahora unas 24! veces por minuto lo siguiente:

Detalles: Norma "Bloqueo predeterminado de EPMAP" permitida (172.26.0.8,dcom(135)).

Conexión TCP de entrada

La dirección o servicio local es (xxxx(172.26.0.9),dcom(135))

La dirección o servicio remoto es (172.26.0.8,1340)

El nombre del proceso es "C:\WINDOWS\system32\svchost.exe"

También observo ahora que en Conexiones me sale, unas 24 veces por minuto:

Detalles: Conexión: 172.26.0.8: 1370

a xxxx(172.26.0.9):dcom(135)

92 bytes enviados

880 bytes recibidos

0.000 tiempo transcurrido

(Y antes de desbloquear el EPMAP no me salía esa conexión, claro)

En resumen, creo que esto es lo que hace que el pc me vaya más lento.

¡Agradecería vuestra ayuda! :)

Un saludo de nuevo.

Mensaje por **msc hotline sat** » 23 Ago 2007, 20:04

La conexión remota siempre es a epmap, con lo que puedes dar por hecho que habemus gusano, que se quiere conectar remotamente a su web...

Normalmente el puerto usado es el de RPC, pero ya con los parches instalados al dia y el cortafuegos que tengas instalado, no debería haber entrado ni ahora poder conectarse, pero ...

Por si acaso, lanza un windowsupdate:

WINDOWSUPDATE:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

y lanza estos AV ONLINE a ver si detectan algo:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:

testeo ONLINE de virus en memoria

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

y nos comentas el resultado, gracias

saludos

ms, 23-08-2007