que rayos es este proceso y por que se come la mitad de mi cpu??

[frebsuser]

Saludos, tengo el siguiente problema, de unos dias para aca me encuentro en mi administrador de tareas con un proceso llamado qaoeco.exe que siempre esta usando la mitad de mi cpu aunque no este ejecutando ninguna tarea.

Estoy trabajando en windows xp Service Pack 3, uso AVG Internet Security y lo tengo actualizado. Anexo mi log de hijack a ver si me pueden ayudar, saludos y gracias de antemano.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:40:31 p.m., on 08/02/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\Archivos de programa\AVG\AVG9\avgchsvx.exe

D:\Archivos de programa\AVG\AVG9\avgrsx.exe

D:\Archivos de programa\AVG\AVG9\avgcsrvx.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACService.exe

D:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

D:\WINDOWS\system32\lkads.exe

D:\Archivos de programa\Google\Update\GoogleUpdate.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\lktsrv.exe

D:\Archivos de programa\National Instruments\MAX\nimxs.exe

D:\Archivos de programa\National Instruments\Shared\Security\nidmsrv.exe

D:\WINDOWS\system32\nisvcloc.exe

D:\Archivos de programa\National Instruments\Shared\Tagger\tagsrv.exe

D:\Archivos de programa\CDBurnerXP\NMSAccessU.exe

D:\WINDOWS\system32\PnkBstrA.exe

D:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

D:\Archivos de programa\AVG\AVG9\avgam.exe

D:\WINDOWS\system32\svchost.exe

D:\Archivos de programa\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

D:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

D:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

D:\ARCHIV~1\AVG\AVG9\avgtray.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Archivos de programa\Messenger\msmsgs.exe

[b]D:\Documents and Settings\Frebs\qaoeco.exe[/b]

D:\Archivos de programa\Launchy\Launchy.exe

D:\Archivos de programa\iPod\bin\iPodService.exe

D:\Archivos de programa\Mozilla Firefox\firefox.exe

D:\WINDOWS\system32\rundll32.exe

D:\WINDOWS\msa.exe

D:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

D:\Archivos de programa\ESET\ESET Online Scanner\OnlineScannerApp.exe

D:\WINDOWS\system32\wbem\wmiapsrv.exe

D:\Archivos de programa\ESET\ESET Online Scanner\OnlineCmdLineScanner.exe

D:\DOCUME~1\Frebs\CONFIG~1\Temp\Anr.exe

D:\DOCUME~1\Frebs\CONFIG~1\Temp\mozOpenDownload\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: agihelper.AGUtils - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - mscoree.dll

O2 - BHO: agihelper.AGUtils - {0bc6e3fa-78ef-4886-842c-5a1258c4455a} - mscoree.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - D:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [THotkey] D:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [EPSON Stylus C67 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAL.EXE /P23 "EPSON Stylus C67 Series" /O6 "USB001" /M "Stylus C67"

O4 - HKLM\..\Run: [AVG9_TRAY] D:\ARCHIV~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [F5JMWNZTHI] D:\DOCUME~1\Frebs\CONFIG~1\Temp\Anr.exe

[b]O4 - HKCU\..\Run: [qaoeco] D:\Documents and Settings\Frebs\qaoeco.exe[/b]

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Launchy.lnk = D:\Archivos de programa\Launchy\Launchy.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - D:\Archivos de programa\Bonjour\ExplorerPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

O20 - Winlogon Notify: avgrsstarter - D:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - D:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: Apple Mobile Device - Apple Inc. - D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - D:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - D:\WINDOWS\system32\lkcitdl.exe

O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments Corporation - D:\WINDOWS\system32\lkads.exe

O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments Corporation - D:\WINDOWS\system32\lktsrv.exe

O23 - Service: NI Configuration Manager (mxssvr) - National Instruments Corporation - D:\Archivos de programa\National Instruments\MAX\nimxs.exe

O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments Corporation - D:\Archivos de programa\National Instruments\Shared\Security\nidmsrv.exe

O23 - Service: NILM License Manager - Macrovision Corporation - D:\Archivos de programa\National Instruments\Shared\License Manager\Bin\lmgrd.exe

O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corporation - D:\WINDOWS\system32\nisvcloc.exe

O23 - Service: National Instruments Variable Engine (NITaggerService) - National Instruments Corporation - D:\Archivos de programa\National Instruments\Shared\Tagger\tagsrv.exe

O23 - Service: NMSAccessU - Unknown owner - D:\Archivos de programa\CDBurnerXP\NMSAccessU.exe

O23 - Service: OpcEnum - OPC Foundation - D:\WINDOWS\system32\OpcEnum.exe

O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - D:\Archivos de programa\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe



--

End of file - 8845 bytes

[msc hotline sat]

Pues envienos estos ficheros para analizar:





D:\Documents and Settings\Frebs\qaoeco.exe



D:\DOCUME~1\Frebs\CONFIG~1\Temp\Anr.exe



y este otro : mscoree.dll (buscarlo con un inicio -> Buscar)





Estos ficheros son solo sospechosos, no debe hacer nada con ellos hasta que los analicemos





>[b]ENVIO DE MUESTRAS Y ELIMINACION DE



CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en



nuestras utilidades, de lo cual informaremos



saludos



ms, 9-2-2010







y recordar: https://foros.zonavirus.com/viewtopic.php?f=13&t=5148