Bloqueo del Explorador de Windows y ordenador enlentecido (SOLUCIONADO)

[Pedro Rafael]

Desde hace unos dias va muy lento el ordenador (Windows XP), el explorador de windows se bloquea con frecuencia, al apagar el ordenador se reinicia él solo, tengo el Spyboot, el AVG y el ZoneAlarm y no he detectado ninguna intromisión. ¿Podría tratarse de un fallo de la memoria ram o de un virus o troyano ?

Espero vuestra ayuda una vez más.

Atentos saludos

Pedro Rafael

[msc hotline sat]

Podría ser algun problema de hardware, pero para excluir cualquier posible malware, lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 12-4-2009

[Pedro Rafael]

Hola: Tras reazlizar el Scan online con el kaspesky este es el resultado: 1 virus encontrado y 4 ficheros infectados.

He anulado el reinicio automático y ahora al apagar el ordenador me sale una pantalla azul con este mensaje: IRQL_NOT_LESS_OR_EQUAL.

Esperos vuestros consejos. M. Gracias.

Pedro Rafael



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

martes, 14 de abril de 2009 13:10:58

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.2

Ultima actualización: 14/04/2009

Registros en la base antivirus: 1847271

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\



Estadísticas:

Número de objeros analizados: 112940

Virus encontrados: 1

Objetos infectados: 4 / 0

Objetos sospechosos: 0

Duración del análisis: 05:07:14



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20090414-070643.log Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\master.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\mastlog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\model.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\modellog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdbdata.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdblog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\tempdb.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\templog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\ERRORLOG Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\log_297.trc Object is locked saltado

C:\Bajar\instalar_portinho.exe/file1 Infectados: Trojan-Downloader.Win32.Agent.bhpe saltado

C:\Bajar\instalar_portinho.exe Inno: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcfg.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgldr.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log.2 Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgsched.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgsrm.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\commonpriv.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Lavasoft\Ad-Aware\logs\RPNetwork.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Lavasoft\Ad-Aware\logs\RPProcess.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Lavasoft\Ad-Aware\logs\RPRegistry.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Lavasoft\Ad-Aware\logs\RP_2009-04-14-07-06-23.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Lavasoft\Ad-Aware\logs\Scan_2009-04-14-07-06-23.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Lavasoft\Ad-Aware\logs\Service_2009-04-14-07-06-23.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Lavasoft\Ad-Aware\MiniMessage\2 Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\IETldCache\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Temp\Perflib_Perfdata_584.dat Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Archivos temporales de Internet\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Datos de programa\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Galería de Web Slice~.feed-ms Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Datos de programa\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Sitios sugeridos~.feed-ms Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Datos de programa\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{9655F473-28BC-11DE-9E8E-0019EF0102C7}.dat Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Datos de programa\Microsoft\Internet Explorer\Recovery\Active\{9E187430-28BC-11DE-9E8E-0019EF0102C7}.dat Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Historial\History.IE5\MSHist012009041420090415\index.dat Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Temp\WCESLog.log Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Temp\~DF10AD.tmp Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Temp\~DF43E3.tmp Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Temp\~DF4418.tmp Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Temp\~DF4505.tmp Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Temp\~DF453A.tmp Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Temp\~DF476E.tmp Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Temp\~DF47A3.tmp Object is locked saltado

C:\Documents and Settings\winxp\Configuración local\Temp\~DF7AAB.tmp Object is locked saltado

C:\Documents and Settings\winxp\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\winxp\Datos de programa\$_hpcst$.hpc Object is locked saltado

C:\Documents and Settings\winxp\IETldCache\index.dat Object is locked saltado

C:\Documents and Settings\winxp\ntuser.dat Object is locked saltado

C:\Documents and Settings\winxp\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{84E7F2D2-EAF9-4677-87EF-E35CD9D8786B}\RP151\A0023357.exe/file1 Infectados: Trojan-Downloader.Win32.Agent.bhpe saltado

C:\System Volume Information\_restore{84E7F2D2-EAF9-4677-87EF-E35CD9D8786B}\RP151\A0023357.exe Inno: infectado - 1 saltado

C:\System Volume Information\_restore{84E7F2D2-EAF9-4677-87EF-E35CD9D8786B}\RP154\A0025628.exe Object is locked saltado

C:\System Volume Information\_restore{84E7F2D2-EAF9-4677-87EF-E35CD9D8786B}\RP159\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked saltado

C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked saltado

C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked saltado

C:\WINDOWS\Internet Logs\tvDebug.log Object is locked saltado

C:\WINDOWS\Internet Logs\WINXP-XCM05WKTM.ldb Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox.dat Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox.idx Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_3c8.dat Object is locked saltado

C:\WINDOWS\Temp\ZLT0348d.TMP Object is locked saltado

C:\WINDOWS\Temp\ZLT03490.TMP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[msc hotline sat]

Este fichero debe ser un autoextraible que contiene el fichero file1 infectado, pero con que nos envies el segundo es suficiente para analizarlo





C:\Bajar\instalar_portinho.exe/file1



C:\Bajar\instalar_portinho.exe





Y los otros dos ultimos estan en el RESTORE, asi que ya los eliminará la utilidad que hagamos, no hay que preocuparse salvo que quisiera ahora restaurar sistema.



C:\System Volume Information\_restore{84E7F2D2-EAF9-4677-87EF-E35CD9D8786B}\RP151\A0023357.exe/file1



C:\System Volume Information\_restore{84E7F2D2-EAF9-4677-87EF-E35CD9D8786B}\RP151\A0023357.exe







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 14-4-2009

[Pedro Rafael]

Hola de nuevo:

En modo seguro y desactivado el antivirus he intentado abrir el fichero infectado por el virus pero el explorador de windows se me bloquea cada vez que lo intento abrir para utilizar el Winzip y comprimirlo y enviarlo para su análisis. Éspero sus instrucciones.

Gracias. Pedro Rafael

[lucl]

Añadele extension .VIR. Con el boton derecho del raton pulsando sobre el podras hacerlo. Y nos cuentas si pudiste enviarlo una vez echo eso. Saludos

[Pedro Rafael]

Desde que pico sobre el fichero con el explorador de windows éste se bloquea y se cierra, no puedo acceder al fichero infectado.

Pedro Rafael

[Pedro Rafael]

Trasteando con el winrar creo que he logrado comprimir el fichwero infectado por el virus, ya os lo he enviado.

Espero noticias para saber que hacer con los cuatro ficheros infectados. Gracias. Pedro R,

[msc hotline sat]

Como te decía lucl, puedes añadir la extension .VIR a estos ficheros y asi no se pondrán en marcha a partir del proximo reinicio.



Y cuando entremos hoy a trabajar en SATINFO (en unas 4 horas) y veamos las muestras enviadas, las analizaremos e informaremos



saludos



ms, 15-4-2009

[msc hotline sat]

Analizados estos ficheros del Portinho no se aprecian rutinas víricas, pero la detección puede deberse a ser una utilidad de uso peligroso al poder borrar claves, y demas, como hacen otras utilidades que no aconsejamos en este foro, pero no porque sean malwares...



Como que se puede desinstalar facilmente, hagalo, aunque no creo que sea la causa de su ralentizacion, y luego la podrá vcolver a instalar si no aprecia cambios.



Y no atribuyendole ser el causante, si persiste la lentitud, busquemos por otro lado, elimine temporales, vacie la papelera, desfragmente el disco duro...



Y si ni asi mejora, posteenos el informe generado con el SPROCES y miraremos las posibles causas por el software residente y el que utiliza, y si ni asi, ya será cuestion de pensar el el hardware, memorias, y demas, y por cierto, no estará la CPU demasiado caliente ???



Esto es rápido, haga lo que se indica en :



https://foros.zonavirus.com/viewtopic.php?f=5&t=11159



Aparte, lance el SPROCES y nos postea el informe resultante:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 15-4-2009

[Pedro Rafael]

Ya he borrado los ficheros infectados del Portinho, pero no puedo acceder a los otros 2 ficheros infectados que nos reporta el scaneo online del kaspesky, ambos ficheros están en una carpeta que se llama: System Volume Information que no se deja abrir, es decir tiene el acceso denegado, ¿Cómo los borro? Estoy bajandome el Spproces para enviarles el resultado.

Gracias de nuevo.

Pedro Rafael

[Pedro Rafael]

Os envío el resultado del Sproces

Saludos

Pedro Rafael







(15-4-2009 20:56:20)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: WINXP-XCM05WKTM

Nombre Usuario: winxp



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIV~1\AVG\AVG8\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\IVT CORPORATION\BLUESOLEIL\BTNTSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIV~1\AVG\AVG8\AVGRSX.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\TOMTOM HOME 2\TOMTOMHOMESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG8\AVGUI.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIV~1\MI3AA1~1\RAPIMGR.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWTRAY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\BAJAR\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\windows\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKCU\..\Run: [AVG] C:\Archivos de programa\AVG\AVG8\avgui.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - Startup: desktop.ini

O4 - Startup: MiniReminder.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\windows\Java\classes\xmldso.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168025311423

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {8D83D301-E841-11D1-B155-00600823BCF9} (WebLine Browser Integration Classes) - http://194.179.126.39/webline/applets/msie40x.cab

O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0014-0002-0002-ABCDEFFEDCBA} (Java Plug-in 1.4.2_02) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.5.0_02) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D0F578A4-2D78-4213-9E96-7152E95EEFD2} (INGSIGN.Sign) - http://www.ingdirect.es/html/cuentas/nomina/INGSIGN.CAB

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\windows\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: Fallback - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_FALL.sys

O23 - Service: Filedisk (FileDisk) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\filedisk.sys (file missing)

O23 - Service: Fsks - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_FSKS.sys

O23 - Service: Hardlock - Aladdin Knowledge Systems - C:\windows\system32\drivers\hardlock.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: K56 - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_K56K.sys

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Shuttle Sharer (SHARSHTL) - Shuttle Technology - C:\WINDOWS\System32\Drivers\sharshtl.sys

O23 - Service: SoftFax - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_FAXX.sys

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TomTomHOMEService - TomTom - C:\Archivos de programa\TomTom HOME 2\TomTomHOMEService.exe

O23 - Service: Tones - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_TONE.sys

O23 - Service: V124 - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_V124.sys

*O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Avance AC97 Audio (WDM) (ALCXWDM) - Avance Logic, Inc. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: AVerMedia BDA Digital Tuner (AVerAF15) - AVerMedia TECHNOLOGIES, Inc. - C:\WINDOWS\SYSTEM32\Drivers\AVerAF15.sys

O23 - Service: basic2 - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_BSC2.sys

O23 - Service: Bluetooth Audio Service (BlueletAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys

O23 - Service: Bluetooth SCO Audio Service (BlueletSCOAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\BlueletSCOAudio.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys

O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys

O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Bluetooth HID Enumerator (BTHidEnum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vbtenum.sys

O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys

O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: btwhid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwhid.sys

O23 - Service: Módem Bluetooth (btwmodem) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwmodem.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

O23 - Service: ICM532A (DCamUSBUVT) - IC Media Corporation - C:\WINDOWS\SYSTEM32\Drivers\usbuvt.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador de adaptador 3Com EtherLink XL 90XB/C (EL90XBC) - 3Com Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\el90xbc5.sys

O23 - Service: ElbyDelay - Elaborate Bytes - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: ENTECH - EnTech Taiwan - C:\WINDOWS\System32\DRIVERS\ENTECH.SYS

O23 - Service: FreshIO - Unknown owner - C:\Archivos de programa\FreshDevices\FreshDiagnose\FreshIO.sys

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFBS2S2.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFDPSP2.sys

O23 - Service: hsf_msft - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_MSFT.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: License Management Service ESD - element5 - C:\Archivos de programa\Archivos comunes\element5 Shared\Service\Licence Manager ESD.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Creative WebCam NX Pro (WDM) (P1131VID) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\P1131Vid.sys

O23 - Service: PCANDIS5 NDIS Protocol Driver (PCANDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\windows\system32\PCANDIS5.SYS

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: RIM Virtual Serial Port (RimSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys

O23 - Service: Dispositivo de bosillo RIM (RimUsb) - Research In Motion Limited - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys

O23 - Service: Rksample - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_SAMP.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\WINDOWS\SYSTEM32\%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Realtek RTL8139/810X Family Fast Ethernet NIC NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\R8139n51.SYS

O23 - Service: SABProcEnum - Unknown owner - C:\Archivos de programa\Internet Explorer\SABProcEnum.sys (file missing)

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Virtual Serial port driver (VComm) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFCXTS2.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



72 Servicios.

22 de Carga Automatica.

49 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

La carpeta de System Volume Information... es la del RESTORE, donde el XP guarda copias de las aplicaciones para una posible restauracion a un punto anterior, pero no molesta ni está activo saldo que se lanzase dicha restauracion



De todas formas, si quiere eliminar dichos ficheros, Desactive la restauracion de sistema y podrá acceder a ellos:



Brton derecho en MIPC -> Propiedades -> RESTAURACION -> Desactivar la restauracion de sistema



Y diganos si tras hacer lo indicado en posts anteriores, pesriste alguna anomalia, gracias



saludos



ms, 16-4-2009

[Pedro Rafael]

He podido acceder a la carpeta de System Volume y borrar los dos ficheros del Portinho que la estaban afectando, después de eso ya el proceso de apagado se ha normalizado y ya no me sale la pantalla de error ni se me bloquea el Explorador de Windows, el otro problema persiste: Muchísima lentitud en el encendido del aparato, lentitud extrema en el Internet Explorer. No me habeis comentado nada del resultado del Sprocces que os he enviado.

Muchas gracias. Pedro rafael

[msc hotline sat]

Pues a simple vista no sobresale del log ningun malware, pero buscando cinco pies al gato, hay dos puntos que podríamos analizar::



el PCANDIS5.SYS aparentemente es un fichero de PCAUSA :



http://www.tallemu.com/oasis2/product/printing_communications_assoc___inc___pcausa_/pcausa_rawether_for_windows/49568



De todas formas, como que no lo conocemos, envienoslo para analizar, porque bajo un nombre cualquiera, puede ocultarse cualquier cosa, y al no estar en una carpeta propia...



C:\windows\system32\PCANDIS5.SYS



y mientras lo analizamos, añada .VIR a su extensión, para que no se pueda cargar a partir del proximo reinicio.





y esta clave:



O16 - DPF: {8D83D301-E841-11D1-B155-00600823BCF9} (WebLine Browser Integration Classes) - http://194.179.126.39/webline/applets/msie40x.cab





si no la conoce. eliminela, pues hemos querido entrar en :



http://194.179.126.39/webline/applets/msie40x.cab



y no hemos podido enlazar con dicha URL, para analizar dicho fichero, y aunque es una web de Madrid, inicialmente no sospechosa, el hecho de no poder acceder a ella podría causarle ralentizacion, aunque no fuera maliciosa.







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 15-4-2009

[Pedro Rafael]

Os envío las muestra solcitada del Pcandis5.sys para que la analiceis.

Saludos

Pedro Rafael

[julibaga]

Yo veo que tienes el AVG y el ZoneAlarm. Si me permites la sugerencia, desinstala el ZoneAlarm, para probar si eso te está causando lentitud por algún conflicto con el AVG. De todas formas, si no fuese el caso, podrás volver a instalarlo.

Comento esto porque me ha pasado en alguna ocasión y el problema era ese.

[msc hotline sat]

Y cuando esta mañana (dentro de unas 6 horas) entremoa a trabajar en SATINFO, analizaremos las muestras recibidas y, si procede, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos en el foro.



saludos



ms, 17-4-2009

[msc hotline sat]

Pues en el preanalsis 2 antivirus han detectado rutinas sospechosas:


[quote]File PCANDIS5.vir received on 04.17.2009 01:42:07 (CET)

Current status: finished



Result: 2/40 (5.00%)[/quote]

Entra en cola de monitorizacion ...



saludos



ms, 17-4-2009

[msc hotline sat]

El analisis del fichero recibido no nos ha aportado mayor aclaracion a lo ya sabido, que dice ser de PCAUSA y que le consideran posible RootKit:


[quote]"remove PCANDIS5.SYS, along with any other viruses, spyware, adware, trojans, rootkits, worms, information stealers, keyloggers, bots, and other form of malicious threat that may reside on your PC.



Files with the name PCANDIS5.SYS have been seen to have the following Vendor, Product and Version Information in the file header:



Printing Communications Assoc., Inc. (PCAUSA); PCAUSA NDIS 5.0 Protocol Driver; 5.00.13.50

Printing Communications Assoc., Inc. (PCAUSA); PCAUSA NDIS 5.0 Protocol Driver; 5.03.16.54

"[/quote]

Añada extension .VIR a dicho fichero y tras reiniciar diganos si persisten las anomalias de los bloqueos indicados, o se solucionan con ello, para tener mas informacion , ya que la obtenida es concluyente.



saludos



ms, 17-4-2009

[Pedro Rafael]

Hola:

Como les comenté anteriormente el reinicio del ordenador al apagarlo y el bloqueo del explorador de Windows han desaparecido al desinfectar los archivos del Portinho.

Efectivamente el enlentecimiento ha mejorado mucho al desintalar el ZoneAlarm, ahora tarda tres minutos en completar el inicio desde que lo enciendo y el Windows Explorer tarda uno 80 segundos en estar listo para navegar. En cuanto al PCANDIS5.SYS no aprecio ninguna diferencia al convertirlo a VIR. Puedo seguir navegando sin el Zone ALarm ?? me bastará el firewall de windows?

Saludos y muchas gracias por vuestra ayuda tan profesional y eficaz.

Pedro Rafael

[msc hotline sat]

No es tan seguro, pero tampoco lo es ningun cortafuegos de software, ya que cualquier malware nuevo que no controle el antivirus, lo puede desactivar, tanto el antivirus como el cortafuegos. Cuando pueda instale uno de hardware, no habrá ralentizacion, ni colisiones, y no lo podrán desactivar...



Y nos alegramos que haya podido aclarar y soluciona el problema, ahora ya queda de su mano la elección, pero sobre todo, mantenga el antivrius residente y actualizado y los parches de mcroisoft al día.



dando el Tema por solucionado, procedemos a cerrar el Tema, y si nos necesita de nuevo, ya sabe donde estamos :wink:



saludos



ms, 19-4-2009