xp se me queda congelado

[stigmata33]

hola, llevo unos dias o casi una semana que windows se me deda a los pocos minutos congelado, osea la pantalla congelada, no responde, tengo que reiniciar, menos mal que tengo ubuntu si no, no podria ni pedir ayuda.

He hecho un escaner con el kaspersky disk rescue y no encuentra nada, decir que ayer estube quitando y poniendo los modulos de ram y uno de ellos lo tenia muy caliente lo quite y las pegatinas estaban derritidas, asi que lo quite y ahora mismo tengo una gb de ram en mi pentium 4, os pongo lo que tengo de pc y me aconsejais vale? gracias

processor : 0

vendor_id : GenuineIntel

cpu family : 15

model : 4

model name : Intel(R) Pentium(R) 4 CPU 3.00GHz

stepping : 1

cpu MHz : 3010.734

cache size : 1024 KB

physical id : 0

siblings : 2

core id : 0

cpu cores : 1

apicid : 0

initial apicid : 0

fdiv_bug : no

hlt_bug : no

f00f_bug : no

coma_bug : no

fpu : yes

fpu_exception : yes

cpuid level : 5

wp : yes

flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx constant_tsc pebs bts pni dtes64 monitor ds_cpl cid xtpr

bogomips : 6021.46

clflush size : 64

cache_alignment : 128

address sizes : 36 bits physical, 32 bits virtual

power management:



processor : 1

vendor_id : GenuineIntel

cpu family : 15

model : 4

model name : Intel(R) Pentium(R) 4 CPU 3.00GHz

stepping : 1

cpu MHz : 3010.734

cache size : 1024 KB

physical id : 0

siblings : 2

core id : 0

cpu cores : 1

apicid : 1

initial apicid : 1

fdiv_bug : no

hlt_bug : no

f00f_bug : no

coma_bug : no

fpu : yes

fpu_exception : yes

cpuid level : 5

wp : yes

flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx constant_tsc pebs bts pni dtes64 monitor ds_cpl cid xtpr

bogomips : 6021.69

clflush size : 64

cache_alignment : 128

address sizes : 36 bits physical, 32 bits virtual

power management:

[msc hotline sat]

Pues arramca en MODO SEGURO con funciones de red, descarga y pruebe el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms,

[stigmata33]

el elistara no ha encontrado nada, os posteo el informe del sproces:

(5-6-2011 20:56:05 GMT)

SProces v5.5 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: XX-BEBE04CE7278

Usuario: x

Sesión de Usuario: x



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\OPERA\OPERA.EXE

C:\DESCARGAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 (0)

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Sony Ericsson PC Companion] "C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /Background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\AnyDVDtray.exe

O4 - HKCU\..\Run: [RamCleaner] C:\Archivos de programa\RamCleaner\ramcore.exe -s

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Advanced SystemCare 4] C:\Archivos de programa\IObit\Advanced SystemCare 4\ASCTray.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB002" /M "Stylus C44"

O4 - HKLM\..\Run: [BCSSync] "C:\Archivos de programa\Microsoft Office\Office14\BCSSync.exe" /DelayServices

O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe /boot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Global Startup: McAfee Security Scan Plus.lnk = C:\Archivos de programa\McAfee Security Scan\3.0.199\SSScheduler.exe

O8 - Extra context menu item: &Enviar a OneNote - res://C:\ARCHIV~1\MICROS~2\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office14\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (BitDefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1291745193375

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: ATIEXTEVENT - Invalid registry found

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL



Información Adicional:

----------------------

WinSys\Drivers\ati2mtag.sys (de 768512 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455936 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: KMService - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: @C:\Archivos de programa\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Archivos de programa\Nero\Update\NASvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: AnyDVD - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\AnyDVD.sys

O23 - Service: C-Media High Definition Audio Interface (cmudax) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmudax.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: SEMC USB Flash Driver Filter (ggflt) - Sony Ericsson Mobile Communications - C:\WINDOWS\SYSTEM32\DRIVERS\ggflt.sys

O23 - Service: SEMC USB Flash Driver (ggsemc) - Sony Ericsson Mobile Communications - C:\WINDOWS\SYSTEM32\DRIVERS\ggsemc.sys

O23 - Service: Controlador de funciones de Microsoft UAA para el servicio High Definition Audio (HdAudAddService) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\drivers\HdAudio.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IDMTDI - Tonec Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\idmtdi.sys

O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Archivos de programa\McAfee Security Scan\3.0.199\McCHSvc.exe

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Revoflt - VS Revo Group - C:\WINDOWS\SYSTEM32\DRIVERS\revoflt.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Sony Ericsson PCCompanion - Avanquest Software - C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe

O23 - Service: Marvell Libertas 802.11b/g SoftAP Driver for Windows XP (W8100XP) - Marvell Semiconductor, Inc - C:\WINDOWS\SYSTEM32\DRIVERS\mrv8ka51.sys

O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller (yukonwxp) - Marvell - C:\WINDOWS\SYSTEM32\DRIVERS\yk51x86.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)



28 Servicios.

6 de Carga Automatica.

20 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

Pues vemos estas dos claves anomalas:



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 (0)



O20 - Winlogon Notify: ATIEXTEVENT - Invalid registry found



Eliminelas y tras ello reinicie y comentenos si persiste alguna anomalia



saludos



ms, 6-6-2011

[stigmata33]

hola, la segunda entrada si la he eliminado, pero la primera que me pones no la encuentro, alguna idea? gracias

[msc hotline sat]

Busca dicha clave con el BUSCAREG entrando esta palabra :



ProxyOverride



Cuando te la encuentre, haz doble clcik sobre ella y mira si es la que contiene todas estas lineas, y si es asu, pulsa en ELIMINAR



saludos



ms, 6-6-2011

[stigmata33]

hola, he arrancado en windows y bien hasta que de pronto otra vez igual, me ha durado varios minutos, casi 10, cosa que antes ni un minuto

[msc hotline sat]

Pues mira si arrancando en Modo Seguro te pasa lo mismo, asi sabremos si es cuestion de Hardware/sistema o de las aplicaciones.



saludos



ms, 6-6-2011

[stigmata33]

hola, en modo seguro no me pasa, lo encendi en modo seguro y lo he tenido encendido mas de 12 horas sin problemas, en cambio cuando arranco en modo normal si, gracias

[msc hotline sat]

Pues aunque ya probaste el ELISTARA, vuelvelo a pasar ahora y aunque no te encuentre nada, posteanos el informe resultante (que no hiciste la anterior ocasion), pues podemos ver mas cosas con ello, y en cualquier caso dinos si tras ello persiste el problema, gracias.



saludos



ms, 7-6-2011

[stigmata33]

primer informa del elistara, antes de hacer escaner con el sprocess



(15-5-2011 18:48:55 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: x

Sesión de Usuario: x

ID Sesión de Usuario: S-1-5-21-1078081533-1647877149-839522115-1003



Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\ESET\MINODLOGIN\MINODLOGIN.EXE --> Eliminado HackAV.MiNODLogin

C:\ARCHIVOS DE PROGRAMA\ASK.COM\GENERICASKTOOLBAR.DLL --> Eliminado ASKToolbar(bho/tb)

C:\Documents and Settings\All Users\Escritorio\Actualizar la licencia de ESET.lnk --> Eliminado (Fichero Complementario).

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Actualizar la licencia de ESET.lnk --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKUS\S-1-5-21-1078081533-1647877149-839522115-1003\...\Policies\Explorer\Run] "explorer"="C:\WINDOWS\system32\win32\svchost.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "explorer"="C:\WINDOWS\system32\win32\svchost.exe"

Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.



(15-5-2011 19:01:34 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: x

Sesión de Usuario: x

ID Sesión de Usuario: S-1-5-21-1078081533-1647877149-839522115-1003



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6080

Nº Total de Ficheros: 62437

Nº de Ficheros Analizados: 20588

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-5-2011 20:26:22 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: x

Sesión de Usuario: x

ID Sesión de Usuario: S-1-5-21-1078081533-1647877149-839522115-1003



Lista de Acciones (por Acción Directa):



(22-5-2011 20:39:00 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: x

Sesión de Usuario: x

ID Sesión de Usuario: S-1-5-21-1078081533-1647877149-839522115-1003



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6236

Nº Total de Ficheros: 64178

Nº de Ficheros Analizados: 20919

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-6-2011 20:29:32 (GMT))

EliStartPage v23.36 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2011)

--------------------------------------------------

Usuario: x

ID de Usuario: S-1-5-21-1078081533-1647877149-839522115-1003



Lista de Acciones (por Acción Directa):



(5-6-2011 20:36:36 (GMT))

EliStartPage v23.36 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2011)

--------------------------------------------------

Usuario: x

ID de Usuario: S-1-5-21-1078081533-1647877149-839522115-1003



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6131

Nº Total de Ficheros: 63616

Nº de Ficheros Analizados: 20647

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues vemos que tienes, o al menos habias tenido, este fichero:



C:\windows\system32\win32\svchost.exe



Mira si con el ELIMOVER lo puedes copiar a C:\muestras, aparte de renombrar la extension a .VIR:



[b]ELIMOVER:[/b]

http://www.zonavirus.com/descargas/descargar-elimover.asp





y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original,

ya que se trata de un malware

[/quote]



Y si lo encuentras, envianoslo para analizar, y tras ello informaremos del resultado.



saludos



ms, 7-6-2011

[stigmata33]

me dice que el fichero no existe, eso es lo que me dice elimover, gracias

[msc hotline sat]

Sí ya no tuvieras problemas, supondríamos que se eliminó en su día y las claves eran restos pendientes de eliminar, pero ya que tienes problemas, arranca con el CD de instalacion, pulsa R para entrar en la Consola de Recuperacion y desde allí ve a la carpeta en cuestion y mira si está, con un DIR C:\windows\system32\win32\svchost.exe /a y si asi lo vieras, añade .VIR a su extension y tras reiniciar nos lo envias para analizar.



Es la causa mas posible, un RootKit que se esconda cuando está en uso, por eso probaremos de no arrancar desde el disco duro para evitar que se cargue en memoria.



Y en cualquier caso, nos cuentas el resultado, gracias



saludos



ms, 7-6-2011

[stigmata33]

hola, a ver si me he aclarado, me dices que coja y meta el cd de instalaccion de xp y que pulse R? pero cuando?
[quote]arranca con el CD de instalacion, pulsa R para entrar en la Consola de Recuperacion y desde allí ve a la carpeta en cuestion y mira si está, con un DIR C:\windows\system32\win32\svchost.exe /a y si asi lo vieras, añade .VIR a su extension y tras reiniciar nos lo envias para analizar.[/quote]
pero no entiendo bien, pulso R pero no se cuando, voy a la consola de recuperacion y ahi ir a la carpeta? con un DIR? es que nunca he hecho eso, por eso pregunto tanto, gracias

[msc hotline sat]

Sí, el CD de instalación del XP ofrece, al arrancar, el pulsar R para entrar en la Cónsola o pulsar ENTER para instalar, y has de escoger la primera opción.



Así entrarás en una especie de MSDOS, y podrás ir al directorio desde donde se lanza este fichero, con CD (Change Directory) y así proceder en consecuencia:



C:\windows\system32\win32\svchost.exe



Y recuerda que puede tener atributo de oculto o de sistema (H o S) por ello decimos que, antes que nada, veas si existe, con un DIR ... /a (/a = "all" visualiza todos los ficheros, tambien los ocultos)



Si no te manejas bien en DOS, mejor que te ayude algun amigo veterano, que pueda seguir nuestras indicaciones.



Y como alternativa, cabría colocar este disco duro como esclavo en otro ordenador, y arrancando con el MASTER, ver si accedes a dicho fichero, pero eso sí, configurando windows para ver ficheros ocultos y de sistema, pues aun arrancando con otro medio para soslayar lo de RootKit, seguro que tendrá los atributos indicados, para no ser visto !



saludos



ms, 8-6-2011

[stigmata33]

hola, supongo que sera metiendo el cd de instalaccion y no se cuando apretarle a R, luego seguir los pasos que me indicais, aunque no se, ya que es la primera vez que hago esto, pero tengo una duda mas, tendo dos discos duros con windows y ubuntu, cunado arranco me da a elegir que SO quiero, si no pulsto ninguno me arranca ubuntu, tengo que hacer algo especial? a la hora de meter el disco de instalaccion? gracias

[msc hotline sat]

Entonces, disponiendo de una particion con UBUNTO, arranca con ella y ve a la particion NTFS de windows y buscas el fichero de marras:



C:\windows\system32\win32\svchost.exe



le añades .VIR a su extension y luego reinicia windows normalmente y nos envias dicho fichero, que al no estar en uso ya no incordiará y podrás hacerlo



>[b]ENVIO DE MUESTRAS Y

ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si

procede, en nuestras utilidades, de lo cual informaremos





Y dinos si ya no persiste la anomalia, gracias



saludos



ms, 9-6-2011

[stigmata33]

hola perdona mi ignoancia, no tengo particion sino dos discos duros, dices que arranque con ella osea con cd de instalaccion? :cry:

[msc hotline sat]

Si con el CD de instalacion ves la R para acceder a ña Consola, arranca con el otro Disco duro y busca el fichero de marras en la unidad que tienes Windows, y si lo encuentras, procede como hemos indicado.



saludos



ms, 9-6-2011