Se apaga el pc en modo seguro al pasar algun scan . (SOLVED)

groarrr333 · Mensaje por **groarrr333** » 12 Oct 2007, 14:46

Hola y gracias a todos .

Mi problema es que al iniciar en modo seguro para pasar un antivirus o antispy , el pc se apaga a los 5 minutos , ya me ocurria antes pero a fuerza de intentarlo conseguia pasarlo , ahora es imposible pues se apaga siempre al rato de correr el scan , tengo w.xp ser.pack2 con todo actualizado .¿ alguien sabe por que me ocurre esto ? gracias otra vez y saludos. :shock:

Mensaje por **lucl** » 12 Oct 2007, 15:04

peganos el log de hijackthis y veremos que claves tienes saludos

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

groarrr333 · Mensaje por **groarrr333** » 12 Oct 2007, 17:20

hola , aqui teneis el log .

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:18:28, on 12/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

c:\APPS\HIDSERVICE\HIDSERVICE.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

c:\APPS\Powercinema\Kernel\TV\CLSched.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\RunDll32.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\STI_188.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system\CmSNXeye.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://es.rd.yahoo.com/customize/ycomp/defaults/su/*http://es.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = RASTAFARI ONLINE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [BigDog188] C:\WINDOWS\STI_188.EXE USB PC Camera (188)

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) -

O16 - DPF: {4B48D5DF-9021-45F7-A240-60304302A215} -

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} -

O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} (Java Plug-in 1.4.2_05) -

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4891/mcfscan.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 8722 bytes

evangelion_01 · Mensaje por **evangelion_01** » 12 Oct 2007, 17:45

Al apagarse, solo se apaga en modo seguro o has intentado hace un scan en modo normal??

groarrr333 · Mensaje por **groarrr333** » 12 Oct 2007, 18:55

He pasado todos los antivirus y antispy posibles , no se me apaga nada mas que en modo seguro , gracias .

evangelion_01 · Mensaje por **evangelion_01** » 13 Oct 2007, 18:33

intenta escaneandola en modo normal, igual con el elistara y elitrip.

anonimous · Mensaje por **anonimous** » 14 Oct 2007, 11:48

Y prueba eliminar estas dos claves:

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} -

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) -

Para ello arranca en modo seguro, lanza el HJT, acepta la segunda opcion y marca la casilla de la izquierda de dichas claves y pulsa FIX CHECKED

Tras ello reinicia e informa del resultado

un saludo.

Mensaje por **msc hotline sat** » 15 Oct 2007, 05:58

Informanos del resultado de lo indicado, para proceder en consecuencia, gracias

saludos

ms, 15-10-2007

groarrr333 · Mensaje por **groarrr333** » 16 Oct 2007, 10:49

Hola , ya he eliminado esas entradas y he reiniciado , despues he vuelto a reiniciar en modo seguro , he intentado pasar un scan antispy y se me ha vuelto a apagar , ¿ mas sujerencias ?

gracias y saludos.

Mensaje por **msc hotline sat** » 16 Oct 2007, 12:58

Pues como sea que las dos claves indicadas eran las dos unicas sospechosas, ya solo queda pensar en que algun rootkit nos oculte alguna que causa el problema, por ello arranque en modo segur0 y ejecute asi el HJT; y tras salvar el log resultante, luego arranca normal y lo postea, a ver si vemos algo mas...

saludos

ms, 16-10-2007

groarrr333 · Mensaje por **groarrr333** » 16 Oct 2007, 18:40

Hola , tengo una version del hijackthis que es esta : HjT v2.0.2 ,

¿vale sacar el log con ella ? , otra cosa , he pasado el ElistarA y me ha generado esto ,

Tue Oct 16 11:06:35 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\APPS\CLICKME\CLICKME.EXE --> Eliminado, StartPage-CPE

Saludos.

Mensaje por **msc hotline sat** » 16 Oct 2007, 19:02

Sí, pero arranca en modo segur0 para lanzarlo, y guardas el log, luego arrancas normal y nos lo posteas

saludos

ms, 16-10-2007

nota: y curiosamente este Startpage no aparecía en el log del HJT,

C:\APPS\CLICKME\CLICKME.EXE --> Eliminado, StartPage-CPE

bien hecho.

ms.

groarrr333 · Mensaje por **groarrr333** » 17 Oct 2007, 17:40

Hola , inicie' en modo seguro para sacar el log y vi que esas entradas que borre' anteriormente volvian a estar, las volvi' a borrar y aproveche' para pasar un antispy , esta vez no se apago' y no encontro' nada pero se me olvido' guardar el log y al reiniciar no lo encuentro , ¿ volveran a aparecer esas claves ? gracias .

Saludos

Mensaje por **msc hotline sat** » 17 Oct 2007, 18:08

Pues es una pena que no guardara la informacion, sin ello no podemos saberlo, pero se le supone...

Asi que ya que ahora no se reproducen, damos el Tema por solucionado y procedemos a cerrarlo

Si nos necesita de nuevo ya sabe donde estamos

saludos

ms, 17-10-2007