Cansado del System!! 100% recursos

shonito · Mensaje por **shonito** » 18 Sep 2007, 00:23

HOla gente!! Tras usar varios programas para la deteccion y eliminacion de Troyanos y gusanos y no conseguir resultados he decido poner mi log del hiJack. Sinceramente no se que hacer ya! He instalado antivirus... Firewalls y no doy con la tecla!! Aver si alguien me puede echar una mano. Un saludo!!

Logfile of HijackThis v1.99.1
Scan saved at 0:04:43, on 18/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Hotmail Popper.lnk = C:\Archivos de programa\Hotmail Popper\hotpop.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Claudia34 · Mensaje por **Claudia34** » 18 Sep 2007, 02:20

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

Opcional:

Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Y no te vendria mal mientras probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/
https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Algunas reglas para tener un poco mas seguro la pc ante los bichos y hackers que pululan la red:

*Antivirus actualizado al dia.

*Navegar por internet con un usuario con permiso limitado (el usuario administrador lo usas para instalar programas seguros).

*Crear una contraseña compleja (entreverar numeros, simbolos y letras) minimo 20 caracteres para cada usuario que tengas en la pc, incluido el usuario Administrador que viene por defecto al instalar windows xp. Y cambiar la contraseña cada 15 dias.

*Tener un cortafuegos en lo posible de tipo hardware (y si es de tipo software que no sea la que viene con windows xp que es de lo peor).

*Un antispyware (que no sea de las que estan en la lista negra).
*Windows update completo al dia (parches, packs,etc.) lo mismo hay que hacer para office.
*Realizar diariamente escaneos con antivirus online (cuanto mas seguido mejor).
*No confiar en nada y nadie cuando navegas por internet.
*Actualizarse diariamente con todos los aspectos de seguridad, e informacion (noticias) relacionadas con ella.
*Deshabilitar ciertos servicios innecesarios que vienen por defecto con la instalacion de windows xp que son como puertas abiertas para que entren los hackers a tu pc y hagan el despelote que quieran.
*Utilizar un navegador de internet que no tenga tantas vulnerabilidades y con todas las configuraciones en un nivel alto ( incluyendo deshabilitar el active x, y tener un antispam).
*No descargar cualquier software que hay por ahi asi no mas, y si no habra que revisarlo con VIRUS TOTAL que tiene casi 32 antivirus para ver si tiene algun malware.
*Utilizar el Site Advisor que te indica si una pagina de internet contiene algun bicho antes de tener que abrirlo.
*No responder a los e-mails desconocidos, y tampoco abrirlos
*Tener a mano aunque sea unas 4 o 5 herramientas antirookit de diferentes empresas antivirus, y realizar el escaneo cada tanto (no consumen recursos del sistema, solo en el momento de escanear obviamente pero no quedan residentes como los antivirus).
*Ante cualquier problema de malware,spyware, troyano,etc. acudir al foro para ayudarte en lo posible para eliminarlo.

Con lo que anteriormente te indique estaras aunque sea un 60% protegido, aunque la lista sigue y es muy larga.

Nota: no tener ni 2 antivirus, ni 2 cortafuegos, por que sino se produce colision entre ellos, y seria peor el remedio que la enfermedad tenlo en cuenta.

Saludos.

Mensaje por **msc hotline sat** » 18 Sep 2007, 04:47

El log está limpio,

Como dice Claudia34 en el post anterior, pruebe el ELISTARA
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 18-09-2007

shonito · Mensaje por **shonito** » 18 Sep 2007, 16:36

Ola gente!! Acabo de formatear y bueno todo iba genial hasta que he instalador el Windows Live Messenger 8.1 . Cuando lo pongo y conecto en la sesion el system se dispara y se pone 100% , en el momento en el que cierro la sesion con msn el system vuelve a su estado normal!!

Voy a usar los programas que me habeis indicado aver si consigo algo!!

Alguna nueva solucion? Os mantendre informados

Mensaje por **lucl** » 18 Sep 2007, 16:45

ve haciendo lo de elistara y peganos el log, y confirmame que cuando pusiste el windows mesenger 8 habias actualizado por completo tu pc, saludos

shonito · Mensaje por **shonito** » 18 Sep 2007, 16:48

Bueno acabo de pasar el programa y ha encontrado 2 archivitos!! No me lo explico como pueden haber entrado si tengo el pc recien formateado y todo recien actualizado!!! Aki os dejo el Log.
Saludos!!! y Gracias !!!!!

Tue Sep 18 16:38:38 2007
EliStartPage v14.65 (c)2007 S.G.H. / Satinfo S.L.

Código: Seleccionar todo

--------------------------------------------------
Lista de Acciones (por Acción Directa):
Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1  alcohol-soft.com
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (F)
 OPEN=ADBEPHSPCS3_WWS.exe /AUTORUN
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Sep 18 16:39:08 2007
EliStartPage v14.65  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular
C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Mensaje por **lucl** » 18 Sep 2007, 16:50

Bueno como ves te pide que nos envies esto en caso de que lo desconozcas

Detectado AUTORUN.INF en la Unidad (F)
OPEN=ADBEPHSPCS3_WWS.exe /AUTORUN
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF

shonito · Mensaje por **shonito** » 18 Sep 2007, 16:57

La verdad es que este archivo si lo conozco es el archivo de instalacion del adobe photoshop cs3.. ocupa unos 440 MB y tal. No creo que el problema resida ahi.. pq este software lo he instalado hoy mismo de prueba.. en el anterior disco duro no lo tenia y el problema era el mismo ( de ahi la razon por la que formatee)

Yo creo que el problema esta relacionado con el messenger. Desde que lo instale note consumos grandes de memoria.. opte por aumentar mi RAM de 512 a 1024... pero el problema sigue igual!

Sistem 100 % cuando el Messenger esta en ejecucion!

Un Saludo!!! :D

shonito · Mensaje por **shonito** » 18 Sep 2007, 17:03

Adjunto foto!!! :)

Mensaje por **msc hotline sat** » 19 Sep 2007, 06:50

Si crees que es del messenger, prueba tambien el ELITRIIP como te indicaba Claudia34:
http://www.zonavirus.com/descargas/elitriip.asp
Pues actualmente se estan propagando variantes de SDBOT por dicho medio.

Tras ello posteanos el contenido del c:\infosat.txt, gracias

saludos

ms, 19-09-2007