PC LENTA CUANDO SE CONECTA A INTERNET

[cucudany]

La pc anda lenta cuando se conecta a internet, se traba todo y cuando esta desconectada aparece el iexplore.exe en el administrador de tareas usando mucha memoria, aunq no lo haya abierto.



Les dejo el log:



Logfile of HijackThis v1.99.1

Scan saved at 10:54:17 p.m., on 12/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\WebUpdateSvc4.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe

C:\Archivos de programa\antiviirus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\tmp36593.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\tmp41984.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Perezcas\CONFIG~1\Temp\Rar$EX00.422\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"

O4 - HKLM\..\Run: [antiviirus] C:\Archivos de programa\antiviirus.exe

O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4A116A80-85B6-4299-A018-A717FD7AC66A} (AXIDMDCP Class) - http://video.wbla.com/cab/IDMFlash.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Control de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A81964-AC5B-47F0-84BA-A82393EDB032}: NameServer = 200.51.212.7 200.51.211.7

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: CDComponent - {aea03187-23ee-43c5-a589-753621a312cc} - C:\WINDOWS\Installer\{aea03187-23ee-43c5-a589-753621a312cc}\CDComponent.dll

O21 - SSODL: zip - {a3586432-3cfd-4276-8db0-0058c17be986} - C:\WINDOWS\Installer\{a3586432-3cfd-4276-8db0-0058c17be986}\zip.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Web Update Wizard Service V4 (WebUpdate4) - Data Perceptions / PowerProgrammer - C:\WINDOWS\system32\WebUpdateSvc4.exe



GRACIAS!!

[msc hotline sat]

Pues envianos estos ficheros para analizar:



C:\Archivos de programa\tmp36593.exe



C:\Archivos de programa\tmp41984.exe



C:\WINDOWS\system\smvss.exe



C:\Archivos de programa\antiviirus.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y prueba estas utilidades, ya que algunas variantes del smvss.exe ya lo controlamos con el ELITRIIP y del antiviirus.exe con el ELISTARA:



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 13-3-2008

[msc hotline sat]

Pues el ANTIVIIRUS.EXE ya se controla y elimina con el ELISTARA actual, y el otro smvss.exe es una nueva variante de proxy que pasaremos a monitorizar y controlar en proximas versiones de nuestras utilidades, de lo que ya informaremos.



saludos



ms, 14-3-2008

[msc hotline sat]

Analizadas las muestras recibidas, vemos que aunque el ANTIVIIRUS.EXE ya era controlado por el actual ELISTARA, se trata de una nueva variante que genera un fichero en Archivos de programa con nombre aleatorio y atributos de ocultamiento, pero que es lanzado al ejecutar en cada reinicio el primer fichero, lo cual pasamos a controlar y eliminar con el nuevo ELISTARA de hoy, 15.88



Y el otro smvss.exe es una nueva variante de Backdoor CMQ que pasamos a conbtrolar con el ELITRIIP de hoy 4.52



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Está claro que tras descargarlos debe ejecutar los dos y postearnos el resultado, gracias:


[quote]
[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

___________




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 17-03-2008

[cucudany]

infosat.txt:



Thu Mar 13 22:38:09 2008

EliTriIP v4.50 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMVSS.EXE.Muestra EliTriIP v4.50

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMVSS.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

Entrada Eliminada [HKLM\...\Run] "devenv"="C:\WINDOWS\system\smvss.exe /w"



Thu Mar 13 22:39:10 2008

EliTriIP v4.50 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5841

Nº Total de Ficheros: 70679

Nº de Ficheros Analizados: 21865

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Mar 13 22:54:06 2008

EliStartPage v15.86 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\ANTIVIIRUS.EXE --> Eliminado Dropper.Agent.FTU

Entrada Eliminada [HKLM\...\Run] "ANTIVIIRUS"="C:\Archivos de programa\antiviirus.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Mar 13 22:55:15 2008

EliStartPage v15.86 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 26 12:10:57 2008

EliTriIP v4.54 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Mar 26 12:11:01 2008

EliTriIP v4.54 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\SMVSS.EXE.Muestra EliTriIP v4.50 --> Eliminado, BackDoor.CMQ



Nº Total de Directorios: 5991

Nº Total de Ficheros: 74566

Nº de Ficheros Analizados: 21991

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Mar 26 12:33:24 2008

EliStartPage v15.91 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Pues vemos que la ultima version que has probado del ELITRIIP ha detectado y eliminado otro troyano:



EliTriIP v4.54 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\SMVSS.EXE.Muestra EliTriIP v4.50 --> Eliminado, BackDoor.CMQ



y que por otra parte la ultima version que has probado del ELISTARA ya ha eliminado el ANTIVIIRUS.EXE:



EliStartPage v15.86 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\ANTIVIIRUS.EXE --> Eliminado Dropper.Agent.FTU



Así que ya se han eliminado los troyanos detectados, vea si persiste alguna anomalia y en cualquier caso nos lo comenta para proceder a dar por solucionado el Tema si es el caso.





saludos



ms, 27-03-2008