Problema con Aumento de Carga de Transacciones - PF (virus?)

[darkchaos0]

Buenas a la comunidad, tengo un problema con mi computador hace un par de dias tengo un problema con que la carga de transacciones aumenta por si sola y no se si sea un gusano o un troyano o un error del sistema la verdad.



el problema es que en un momento la carga de transacciones esta con en 300mb y a la media hora ya esta en 1000mb , a los minutos ya aumenta sin ejecutar aplicaciones y nada. he tratado de solucionar el problema pero no he podido la verdad. como ultima opcion me tocara formatear e instalar windows seven.



ya intente pasando el malware bytes en modo seguro, ccleaner y el malwarebytes pero éste me identificaba Virus.Ramnit en muchas de mis aplicaciones como dreamweaver appserver, microsoft visual studio, y por no conocer mucho del que eliminar y no eliminar tambien me daño éstas aplicaciones x.x :|



añado tambien el hecho de que antes de hacer algunas limpiezas la carga empezaba en 300mb por ejemplo y a los 10 minutos ya casi llegaba a los 2000mb, luego de quitar el 90% de las aplicaciones de inicio ahora se tarda un poco mas en aumentar el uso de PF, por ejemplo ahora de 300mb a 1000mb aumenta en 15 minutos o 20. el uso de cpu lo marca en un rango de 0% a 7%.



tengo algunos conocimientos sobre los servicios de windows, saque algunos no todos y bueno probablemente esto tambien haya colaborado a que no aumente tan rapidamente, pero el hecho es que si aumenta cada cierto tiempo sin yo realizar nada ni ejecutar aplicaciones por lo cual el problema persiste



agradeceria inmensamente su ayuda y apoyo para solucionar este problema. :mrgreen:



adicionalmente adjunto una screen sobre mi administrador de tareas en este momento


[attachment=0]admin.JPG[/attachment]

hice un scaneo con el hijackthis lo adjunto al tema:



Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 0:48:27, on 10/01/2014

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Archivos de programa\Java\jre7\bin\jqs.exe

C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\vssvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\PixArt\PAC207\Monitor.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\TeamViewer\Version4\TeamViewer.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe

C:\Archivos de programa\Java\jre7\bin\javaw.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\mmc.exe

C:\Archivos de programa\Mozilla Firefox\plugin-container.exe

C:\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\archivos de programa\microsoft\watermark.exe

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre7\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre7\bin\jp2ssv.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre7\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre7\bin\jp2iexp.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Archivos de programa\Java\jre7\bin\jqs.exe

O23 - Service: NVIDIA Driver Helper Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Archivos de programa\TeamViewer\Version4\TeamViewer_Service.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe



--

End of file - 5176 bytes

[msc hotline sat]

De entrada vemos que tiene instalado el TeamViewer, gran utilidad para acceso a distancia, pero que puede recibir instrucciones remotas que le incremente el consumo de la CPU, pruebe desinstalarlo y ver si persiste el problema o con ello se soluciona.



Aparte, aunque ya no trabajamos con el HJT (en su lugar usamos el SPROCES, mucho mas exhaustivo), echaremos una ojeada al informe que nos envia:





Pues vemos esta clave que al ser un RUNONCE debería desaparecer tras el siguiente reinicio, por lo que al estar presente indica que no se realiza el proceso correcto:



O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')



Si no es suficiente con lo indicado, pruebe con nuestras utilidades:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y si no detectara malwares ni pidiera envio de sospechosos, lanzar el SPROCES y pulsar en SALIR, tras lo cual generará informe en c:\sproclog.txt, que nos puede postear para analizar:


[quote="para DESCARGAR el SPROCES, msc"]



http://www.zonavirus.com/descargas/sproces.asp


[/quote]

saludos



ms, 10-1-2013

[darkchaos0]

saludos msc hotline sat!

muchas gracias por tu respuesta



he cambiado a windows 7 y el problema persiste la "asignacion" de la memoria virtual aumenta hace unos 20minutos estaba en 1100/6134 y ahora ya va por 2277/6134. sinceramente no se que clase de virus tan complicado pueda ser el causante de esto :S.



al pasar el elistart me detecto 4 virus q elimino, tratare de pasarlo en modo seguro ahora aver si logra ubicar el engendro de virus para que lo elimine x.x!



debo acotar que tengo un disco duro de 250gb particionado en C y D, y entre los archivos que encontro virus estaba el "crack" del aquel nod q tenia instalado.



de todas maneras adjunto el log que dejo el InfoSat.txt





(11-1-2014 00:40:30 (GMT))

EliStartPage v29.12 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 10 de Enero del 2014)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate (6.1.7601) SERVICE PACK 1

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-876955846-1160839083-647853900-1005

Cadenas Víricas: 20768



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\Drivers\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\AUD_XP_5.10.0.6201_PV\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Windows.old\Documents and Settings\Principal\Escritorio\fix_nod32_3_español\NOD32_V3_FIX_1.1 ACTIVATION UNTIL 2050.EXE --> Eliminado, CrackAVNOD



Nº Total de Directorios: 37927

Nº Total de Ficheros: 362094

Nº de Ficheros Analizados: 58020

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



(10-1-2014 23:48:23 (GMT))

EliStartPage v29.12 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 10 de Enero del 2014)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate (6.1.7601) SERVICE PACK 1

Usuario: Johan

ID de Usuario: S-1-5-21-876955846-1160839083-647853900-1000

Cadenas Víricas: 20768



Lista de Acciones (por Acción Directa):

Restaurado "Userinit"

[Userinit anterior] = "c:\windows\system32\userinit.exe,,c:\program files\microsoft\watermark.exe"

[Userinit actual] = "c:\windows\system32\userinit.exe,"

C:\PROGRAM FILES\MICROSOFT\WATERMARK.EXE --> Acceso Denegado.

C:\PROGRAM FILES\MICROSOFT\WATERMARK.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\DMLCONF.DAT --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(10-1-2014 23:48:30 (GMT))

EliStartPage v29.12 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 10 de Enero del 2014)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate (6.1.7601) SERVICE PACK 1

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-876955846-1160839083-647853900-1003

Cadenas Víricas: 20768



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(10-1-2014 23:48:31 (GMT))

EliStartPage v29.12 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 10 de Enero del 2014)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate (6.1.7601) SERVICE PACK 1

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-876955846-1160839083-647853900-1005

Cadenas Víricas: 20768



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(10-1-2014 23:55:56 (GMT))

EliStartPage v29.12 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 10 de Enero del 2014)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate (6.1.7601) SERVICE PACK 1

Usuario: Johan

ID de Usuario: S-1-5-21-876955846-1160839083-647853900-1000

Cadenas Víricas: 20768



Lista de Acciones (por Acción Directa):

Restaurado "Userinit"

[Userinit anterior] = "c:\windows\system32\userinit.exe,,c:\program files\microsoft\watermark.exe"

[Userinit actual] = "c:\windows\system32\userinit.exe,"

C:\WINDOWS\SYSTEM32\DMLCONF.DAT --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(10-1-2014 23:55:58 (GMT))

EliStartPage v29.12 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 10 de Enero del 2014)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate (6.1.7601) SERVICE PACK 1

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-876955846-1160839083-647853900-1003

Cadenas Víricas: 20768



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(10-1-2014 23:55:59 (GMT))

EliStartPage v29.12 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 10 de Enero del 2014)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate (6.1.7601) SERVICE PACK 1

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-876955846-1160839083-647853900-1005

Cadenas Víricas: 20768



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(10-1-2014 23:59:37 (GMT))

EliStartPage v29.12 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 10 de Enero del 2014)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate (6.1.7601) SERVICE PACK 1

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-876955846-1160839083-647853900-1005

Cadenas Víricas: 20768



Lista de Acciones (por Exploración):

Explorando "D:\"

D:\Disco local C\Documents and Settings\Principal\Escritorio\fix_nod32_3_español\NOD32_V3_FIX_1.1 ACTIVATION UNTIL 2050.EXE --> Eliminado, CrackAVNOD



Nº Total de Directorios: 4334

Nº Total de Ficheros: 79289

Nº de Ficheros Analizados: 14842

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1







/////////////////////////////////////////////////////////////////////////////////////////////////////////



por ultimo luego de terminar de escribir esto, ha aumentado hasta 2321/6134!

la memoria fisica ya la lleva mal x.x!



adjunto imagenes del adiminstrador de tareas


[attachment=3]admin1.png[/attachment]

[attachment=2]admin-pro.png[/attachment]

[attachment=1]admin-serv.png[/attachment]

[attachment=0]admin-serv2.png[/attachment]



Saludos y de antemano muchas gracias a quienes puedan prestarme su ayuda en la solucion de este problema!!!

[msc hotline sat]

Pues en el informe del ELISTARA aparece este comentario:





[b]C:\PROGRAM FILES\MICROSOFT\WATERMARK.EXE --> Acceso Denegado.[/b]



y buscando informacion al respecto de este fichero, vemos que puede tratarse de un malware :



http://virusexe.blogspot.com.es/2011/09/exterminate-watermarkexe.html



Añada .VIR a la extension de dicho fichero "WATERMARK.EXE", y diganos si, tras reiniciar, persiste el problema, y en cualquier caso, envienoslo para analizar:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334





saludos



ms, 11-1-2014