PC Lento (SOLUCIONADO)

[kaninox]

Holas masters pues estos dias me volvia contagiar con el clown.dll que tuve hace un tiempo atras y no se como se me metio a la pc :/ bueno me baje el elitrip y elistara y suaz me limpio el pc, pero desde hay me anda medio lento no tendre otro bicho en la pc... haci que le corri un hijackthis y me gustaria saber como eliminar algunos procesos que la verdad ocupo tarde mal y nunca y arrancan con el pc como el de la impresora flashget etc....



mi log



Logfile of HijackThis v1.99.1

Scan saved at 0:20:59, on 16/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Servidor\mysql\bin\mysqld-nt.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\BitComet\BitComet.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Under Family\Escritorio\bones\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.2.28.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\RunServices: [Windows Security Module] svbhost.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5D223C-A2CA-4A94-B247-DE0A770242B1}: NameServer = 216.155.73.40 216.155.72.38

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe





Ahora master resulta que descubri algo tengo el Dreamweber MX y cuando me aparece el clown.dll y lo elimino se supone perfectamente, despues quiero ir al Dreamweber y este me pide la serial, cuando le pongo la serial vuelve aparecer el clown.dll luego lo quito y este programita me vuelve a pedir la serial y se reactiba por decirlo asi este robot o lo qu esea :/ es medio raro y no lo entiendo.....



y eso como quito procesos como SAgent2.exe, PAStiSvc.exe etc.. y si es recomendado sacarlos cuales se pueden cuales no etc....





otras dudas que tengo sorry por que tengo varios C:\WINDOWS\system32\svchost.exe???????????

pr que tengo el ctfmon.exe en msconfig y aun cuando lo quito al reinicio vuelve a estar????

de que sirven servicios como : C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\spoolsv.exe



solo eso :) saludos me doy una vuelta para ver que tal :)

[koga]

Vallamos por parte:

1)Envienos muestras del archivo clown.dll y tambien svbhost.exe

2)Ejecute HJT y elimina esta entrada:

[b]O4 - HKLM\..\RunServices: [Windows Security Module] svbhost.exe[/b]

3)Si elimina archivos o entradas como SAgent2.exe, PAStiSvc.exe algunos programas podrian dejar de funcionar, y se trata de 2 archivos totalmente legitimos.

4)Tener varios svchost.exe es normal, siempre y cuando se encuentren en la carpeta de systema (en windows XP C:\windows\system32) y no dejarse confundir con los que tengan nombres parecidos.

5)ctfmon.exe y los demas archivos por los que pregunta son todos legales.



Las entradas que pertenecen propiamente al arranque de su pc son als 04 que en este caso son bastante pocas.

Una ves recibidas las muetras el dia lunes se revisaran e implementara su control si fueran viricas, hasta entonces solo esperar , o para adelantar trabajo puede subir las muestras que le pido a http://www.virustotal.com y pegarnos los resultados.



Por ultimo si tiene dudas de como enviar muestras o sobre como eliminar entradas con HJT vea el siguiente link:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Cualquier duda que tenga solo consulte.







:wink:

[msc hotline sat]

y ya puede ir eliminando estas claves:



O4 - HKLM\..\RunServices: [Windows Security Module] svbhost.exe



O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y a la recepcion de los ficheros pedidos por koga, los analizaremos e informasremos



saludos



ms, 16-06-2008

[kaninox]

oka ya el envie la muestra del archivo el clown.dll no ha aparecido mas es como cuando me llegan los pc dicen que no encienden y aqui van bien X), bueno he eliminado las entradas que me menciona esperando saber el resultado del archivo saludos...

[koga]

Fijese que ademas le pedi muestra de este archivo:

[b]svbhost.exe[/b]
[quote="koga"]Vallamos por parte:

1)Envienos muestras del archivo clown.dll y tambien [b]svbhost.exe[/b][/quote]

Esperamos envie tambien esta muestra, llegada la clown.dll se le informara al respecto.









Saludos.

[msc hotline sat]

Nos ha enviado un SVCHOST.EXE que es del sistema operativo !!!



No es lo que le pediamos...


[quote="koga"]1)Envienos muestras del archivo clown.dll y tambien svbhost.exe[/quote]

Trate de enviarnos lo indicado, gracias



saludos



ms, 17-06-2008

[kaninox]

sorry error mio ya lo encontre estaba oculto y de sistema :P ademas es mejor ya que me volvio aparecer el clown.dll la verdad no se como :º bueno le envie ambos archivos saludos...

[msc hotline sat]

Pues lo analizaremos e informaremos



saludos



ms, 18-07-2008

[msc hotline sat]

Detectado nueva variante de RBOT en el fichero enviado.



Implementamos su control y eliminacion en la nueva version del ELITRIIP 4.84 de hoy


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 18-06-2008

[kaninox]

que hay master le dejo el informe



Wed Jun 18 20:20:07 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVBHOST.EXE --> Eliminado

No detectado SP3 de Windows XP



Wed Jun 18 20:20:18 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\clown.dll --> Eliminado, RBot.CIQ

C:\Servidor\mysql\data\svbhost.exe --> Eliminado, RBot.BYJ

C:\WINDOWS\system32\clown.dll --> Acceso Denegado, RBot.CIQ (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 6740

Nº Total de Ficheros: 63218

Nº de Ficheros Analizados: 14947

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2



Wed Jun 18 20:25:32 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 41

Nº Total de Ficheros: 1110

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jun 18 20:25:38 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 51

Nº Total de Ficheros: 454

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jun 18 20:25:41 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jun 18 20:25:45 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 18

Nº Total de Ficheros: 569

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jun 18 20:29:30 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed Jun 18 20:29:35 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\clown.dll.vir --> Eliminado, RBot.CIQ



Nº Total de Directorios: 6740

Nº Total de Ficheros: 63216

Nº de Ficheros Analizados: 14945

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Jun 18 20:34:04 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 41

Nº Total de Ficheros: 1110

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jun 18 20:34:08 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 1684

Nº Total de Ficheros: 30879

Nº de Ficheros Analizados: 623

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jun 18 20:34:56 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 18

Nº Total de Ficheros: 569

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jun 18 20:34:59 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jun 18 20:35:02 2008

EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 51

Nº Total de Ficheros: 454

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



mis dudas son el clown.dll este era generado por el SVBHOST.EXE??? o me volvera aparecer :/

bueno si me volviera a aparecer le comento thanks

[lucl]

Parece ser que asi era, dinos si ya se soluciono tu problema gracias, saludos

[kaninox]

pues si :) pero como dije este clown.dll en el momento menos inesperado y aparece pero bueno si vuelve les comento ;)



gracias

[msc hotline sat]

Pues felicidades !


[quote]EliTriIP v4.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\clown.dll.vir --> Eliminado, RBot.CIQ[/quote]

y si vuelve señal que tu protector residente no es suficiente ...



Prueba entonces de nuevo el ELITRIIP como ya sabes, y si tienes algun problema nos lo indicas en nuevo Tema al respecto



Dando por solucionado este Tema, procedemos a cerrarlo



saludos



ms, 19-06-2008