PC se apaga sola durante un análisis en modo seguro (TERMINADO)

[cosme]

Tengo un equipo nuevo con un procesador ADM Atlhon II X2 245, 2 GB de RAM, y 300 GB de disco hace casi menos de un año, y hace unos días empezó a mostrar un uso de cpu mucho más elevado de lo normal durante el inicio y los 10 minutos posteriores del mismo. Durante el inicio el marcador oscila entre el 50% y el 100%, y después de que pasan unos 10 minutos se normaliza a entre 0% y 10%. Se que en los ordenadores de más antigüedad es común ese retraso en el inicio, pero en un ordenador de tan poco tiempo no corresponde.



El problema se complicó cuando, después de leer unos foros, decidí correr el antivirus (avast 4.8 ) en modo seguro, y durante el análisis la pc se apaga, lo intento una y otra vez y vuelve a hacer lo mismo. ¿Qué puedo hacer?

[msc hotline sat]

Pues pruebe el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 24-7-2011

RARBA(ROS)

[cosme]

Bien, baje y use el elistar en modo normal, encontró un virus y procedió a eliminarlo, después lo corrí dos veces más en modo seguro. La primera vez se apago, la segunda no. Estos fueron los resultados:





Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\Drivers\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 7604

Nº Total de Ficheros: 90743

Nº de Ficheros Analizados: 14382

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(24-7-2011 17:09:54 (GMT))

EliStartPage v23.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-682003330-1450960922-1801674531-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-7-2011 17:12:56 (GMT))

EliStartPage v23.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-682003330-1450960922-1801674531-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7603

Nº Total de Ficheros: 90739

Nº de Ficheros Analizados: 14383

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(25-7-2011 16:51:41 (GMT))

EliStartPage v23.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-682003330-1450960922-1801674531-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(25-7-2011 16:53:53 (GMT))

EliStartPage v23.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-682003330-1450960922-1801674531-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7682

Nº Total de Ficheros: 90793

Nº de Ficheros Analizados: 14386

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Por las dudas procedí a pasar también el sproces, una vez en modo normal, y una vez en modo seguro (también terminó por apagarse), estos fueron los resultados:





(25-7-2011 16:54:59 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Evo X-2 (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: GP

Usuario: Administrador

Sesión de Usuario: Administrador



12 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\DOWNLOADS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 217.10.246.4:8080 (0)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: (no name) - {F08555B0-9CC3-11D2-AA8E-000000000567} - (no file)

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Archivos de programa\Epson Software\Easy Photo Print\EPTBL.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Archivos de programa\Epson Software\Easy Photo Print\EPTBL.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RGSC] C:\Archivos de programa\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent

O4 - HKCU\..\Run: [Munters Orks, Inc Driver.] C:\Windows\system32\Munters.exe

O4 - HKCU\..\Run: [EPSON TX115 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBB.EXE /FU "C:\WINDOWS\TEMP\E_S98.tmp" /EF "HKCU"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [EEventManager] C:\ARCHIV~1\EPSONS~1\EVENTM~1\EEventManager.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - Startup: ZooskMessenger.lnk = C:\Archivos de programa\ZooskMessenger\ZooskMessenger.exe

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/es/uno1/GAME_UNO1.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\msgrapp.14.0.8117.0416.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\msgrapp.14.0.8117.0416.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 715248 bytes) ()



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Akamai NetSession Interface (Akamai) - Unknown owner - %SystemRoot%\System32\svchost.exe -k Akamai - c:\archivos de programa\archivos comunes\akamai\netsession_win_e477fed.dll

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Quinnware CDDA Driver (by InfinaDyne) (CDRPDACC) - Arrowkey - C:\Archivos de programa\Quintessential Media Player\cdrpdacc.sys

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ambfilt - Creative - C:\WINDOWS\SYSTEM32\drivers\Ambfilt.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: ATI Function Driver for High Definition Audio Service (AtiHdmiService) - ATI Research Inc. - C:\WINDOWS\SYSTEM32\drivers\AtiHdmi.sys

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Monfilt - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\Monfilt.sys

O23 - Service: NVIDIA nForce 10/100 Mbps Ethernet (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de protocolo TCP/IP (xcpip) - Unknown owner - C:\WINDOWS\system32\drivers\xcpip.sys (file missing)

O23 - Service: Controlador IPSEC (xpsec) - Unknown owner - C:\WINDOWS\system32\drivers\xpsec.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



31 Servicios.

11 de Carga Automatica.

19 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Vemos dos ficheros que pueden ser malwares:





C:\Archivos de programa\ZooskMessenger\ZooskMessenger.exe



C:\Archivos de programa\Quintessential Media Player\cdrpdacc.sys





Envienoslos para analizar y le informaremos del resultado del analisis.





Aparte, cabe considerar la posibilidad de que el ventilador de la CPU no la ventile suficientemente, reviselo y limpielo por si con ello lograra mayor eficiencia. Aparte, podría mirar con el Everest la temperatura de dicha CPU, en ordenador -> sensor, y decirnos a cuanto está. Si supera los 55-60ºC podría ser la causa.



recuerde:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 25-7-2011

[cosme]

[quote="msc hotline sat"]Vemos dos ficheros que pueden ser malwares:





C:\Archivos de programa\ZooskMessenger\ZooskMessenger.exe



C:\Archivos de programa\Quintessential Media Player\cdrpdacc.sys[/quote]

Bien, el primer fichero no lo encuentro, lo busque desde el buscador de archivos, solo aparece un acceso directo en una locación distinta a donde aparecía el fichero original, intenté comprimirlo pero al ser naturalmente sólo un acceso directo y al no encontrar el fichero original, no me dejó hacerlo. Me fijo en el disco en archivos de programa y no aparece la carpeta ZooskMessenger, ni el fichero .exe, sólo una carpeta con la terminación zoosk la cual adjunte a las muestras por las dudas.



Me fije en la configuración del BIOS la temperatura no excede los 51º. En cuanto al análisis del Everest confirma los datos, y ninguno de los núcleos excede los 40º



Adjunto las muestras y espero una respuesta. Gracias!

[flacoroo]

si no vez esa carpeta posiblemente este oculta, desocultala y tambien deshabilitas la opcion ver archivos del sistema

[cosme]

No no, obviamente antes de buscar busque archivos ocultos y también del sistema. Nada.

[msc hotline sat]

Bien por lo de la temperatura, una cosa menos de la que preocuparse :)



En cuanto al fichero enviado, cdrpdacc.sys, una vez desempaquetado es de cero bytes... mire el tamaño en su disco duro y si lo tiene con datos, envienoslo de nuevo



Y sobre el que no encuentra, mire si con el ELIMOVER.EXE , entrando la ruta y nombre con un copiar y pegar de :



C:\Archivos de programa\ZooskMessenger\ZooskMessenger.exe



lo detecta y lo copia en C:\muestras, desde donde le será fácil enviarnoslo





el ELIMOVER está en:



ELIMOVER

http://www.zonavirus.com/descargas/descargar-elimover.asp



saludos



ms, 26-7-2011

[cosme]

Bueno, el elimover no encuentra el fichero, indica que el mismo no existe. En cuanto a "cdrpdacc.sys" se muestra con datos, al igual que en el archivo comprimido. Lo vuelvo a comprimir y enviar, en caso de que vuelva a suceder lo mismo, ¿podría elminarlo?



PD: Adjunto al .rar una captura de pantalla indicando el tamaño en disco de "cdrpdacc.sys".

[msc hotline sat]

Pues cuando lo recibamos, lo analizaremos e informaremos



Aparte, revisando los posts veo que le falta un parche miy importante, el del Conficker:



Parche MS08-067 (Servicio Servidor) NO Instalado.





Recuerde lanzar un windowsupdate e instalarlo cuando pueda...





saludos



ms, 27-7-2011

[msc hotline sat]

El fichero enviado no presenta rutinas viriscas conocidas:



File name:

cdrpdacc.sys

Submission date:

2011-07-27 07:14:55 (UTC)

Current status:

finished

Result:

0/ 43 (0.0%)





MD5 : 30b37c18e1725eb9f25039e9a1fb9b7e

SHA1 : d2d7cf014b9840dca4b3ef091c013606b3caa93e





File size : 5273 bytes





publisher....: Arrowkey

copyright....: Copyright (c) CD-ROM Productions 2001-2003

product......: CD Device Access

description..: CD Device Access

original name: CDRPDACC.sys

internal name: CDRPDACC.sys

file version.: 1.0.9





y dado que el otro no lo encuentra, y lo está lanzando desde este link del Menu Iniio -> Programas -> Inicio :



O4 - Startup: ZooskMessenger.lnk = C:\Archivos de programa\ZooskMessenger\ZooskMessenger.exe





O bien va a dicha zona y elimina el lanzamiento, o con el SPROCES, pulsa en SCAN, selecciona dicha clave y le indica ELIMINAR



Aparte, como que le falta el parche contra el Conficker, lance el Compobador.exe y vea que en la primera fila le salgan los tres logos, sino indiquenoslo ...



DESCARGA DEL COMPROBADOR



http://www.zonavirus.com/descargas/descargar-comprobador.asp





y no se olvide de actualizar los parches con un windosupdate !!!



saludos



ms, 27-7-2011

[cosme]

Bien, en cuanto al fichero zooskmessenger, no se encuentra en su locación, ni tampoco aparece en un posterior scan con el SPROCES; lo único que se me ocurre es que haya sido eliminado en algún análisis con el DrWeb configurado para eliminar los ficheros incurables.



En cuanto al comprobador, salen los 3 íconos. Así que un problema menos.



No estoy seguro de porque sucede, la diferencia más notable es el tiempo que tengo que esperar entre que prendo la pc hasta que puedo usarla normalmente, que debo reconocer que disminuyó bastante, pero sigue siendo mucha.



Adjunto al post una imagen que muestra el uso del CPU en el momento de arranque,


[attachment=1]Pc al inicio.JPG[/attachment]

otra que muestra los procesos y lo que consumen, lo que me preocupa no es la cantidad de kb, sino más bien que haya tantos que consuman entre 3 y 8 mb.



A lo mejor va de ayuda.



PD: En cuanto al parche de actualización no estoy seguro de como funciona el windows update con un windows pirata, no estoy seguro de que funcione.



PD2: Recién me meti en modo seguro, corrí un scan con el elistar y no encontró nada. Corri un scan con el avast, y al poco tiempo encontró lo siguiente:



Nombre de archivo: Disco 0 Master Boot Record

Nombre de malware: win32:MB Root-j[TRJ]

Tipo de software: Troyano.



No puedo hacer nada con el archivo más que eliminarlo, quiero saber si puedo o no, si me perjudicaría.

[msc hotline sat]

Pues si ha detectado troyano en el MBR, proceda en consecuencia:



Arranque con el CD de instalacion, pulse R para entrar en Consola de Recuperacion y escriba FIXMBR <enter> y asi restaurará dicho MBR eliminando dicho troyano.



Acostumbran a ser RootKits, pero aun asi, de esta forma se eliminan.



Y sobre lo que nos dice de "[b][i]como funciona el windows update con un windows pirata, no estoy seguro de que funcione[/i][/b]", se acabó lo que se daba. En este foro no damos soporte a sistemas pirata !!!



Dando por terminado el Tema, procedemos a cerrarlo



saludos



ms, 28-7-2011