tcpsvcs.exe bloquea el ordenador (Solucionado)

[Parrapapi]

:oops: Al iniciar el ordenador éste va muy lento; al comprobar con el administrador de tareas observo que el proceso tcpsvcs.exe ocupa el 99% de la CPU. Si lo desactivo baja inmediatamente a un 2/4% el uso de la CPU por el resto de procesos.

Por otro lado, observo que tengo algunos problemas con otros programas de mensajería y posiblemente sea por estar quitado este proceso.

¿Como puedo arreglar este proceso y que vuelva a funcionar normalmente ?

Gracias anticipadas.

Un saludo

[maura63]

Es parte de windows, sigue los pasos de:



tutorial anti-spyware



https://foros.zonavirus.com/viewtopic.php?t=5148



Paselos que seguro que eliminaran basura.



Saludos

maura63

[nirkscad]

HOLA AMIGO, YA PROBASTE CHECAR CON ADWARE, CHECA POR ESE ES UN PROCESO DEL SISTEMA, Y TIENE QUE VER CON LA COMUNICACION EN RED, Y SI LO DESHABILITAS PUEDE SER LA CAUSA DE QUE TENGAS PROBLEMAS CON LA MENSAJERIA. OK SALUDOS, SEGUIRE INVESTIGANDO GRACIAS.

[msc hotline sat]

dado el fichero en cuestión, mira la siguiente informacion:



http://securityresponse.symantec.com/avcenter/venc/data/backdoor.egghead.html



saludos



ms, 12-04-2005

[Parrapapi]

[quote="msc hotline sat"]dado el fichero en cuestión, mira la siguiente informacion:



http://securityresponse.symantec.com/avcenter/venc/data/backdoor.egghead.html



saludos



ms, 12-04-2005[/quote]
Gracias por tu información, pero mi nivel de Inglés deja mucho que desear. No obstante parece que puede ser un trojan llamado Backdoor.EggHead, que aunque no es muy complicado de eliminar, no se cómo hacerlo.

Gracias :( :)

[maura63]

Aqui tienes informacion en castellano para eliminacion.



http://www.vsantivirus.com/egghead.htm



Has pasado tu antivirus ACTUALIZADO en modo seguro y de usar XP ó ME con la restauracion del sistema desactivada :?: .



No olvides de pasar por windows update y actualizar el sistema operativo.



Saludos

maura63

[Parrapapi]

[quote="nirkscad"]HOLA AMIGO, YA PROBASTE CHECAR CON ADWARE, CHECA POR ESE ES UN PROCESO DEL SISTEMA, Y TIENE QUE VER CON LA COMUNICACION EN RED, Y SI LO DESHABILITAS PUEDE SER LA CAUSA DE QUE TENGAS PROBLEMAS CON LA MENSAJERIA. OK SALUDOS, SEGUIRE INVESTIGANDO GRACIAS.[/quote]
Gracias a tí. He chequeado con el adware y dice no tengo ningún virus aunque sí me da identifica tres entradas en el registro NavExcel y 26 objetos negativos tipo MRU, no sé que significa.

Gracias

[maura63]

Quieres pasar tu antivirus en modo seguro, asi como ad_aware Spybot etc y eliminar todo lo que detecten :?:



Una cosa son virus que detectan los antivirus y otra spyware adware, malware etc.....



Usar antivirus Y antispywares siempre.





Saludos

maura63

[Parrapapi]

[quote="maura63"]Quieres pasar tu antivirus en modo seguro, asi como ad_aware Spybot etc y eliminar todo lo que detecten :?:



Una cosa son virus que detectan los antivirus y otra spyware adware, malware etc.....



Usar antivirus Y antispywares siempre.





Saludos

maura63[/quote]

Gracias maura63: He pasado el antivirus Mccafee y el Spyware de microsoft y el ad´aware en modo seguro y desactivando el restaurar. Después he eliminado todo lo que han detectado sea o no peligroso. Pero el problema sigue. No consigo que deje de ocupar el 98% de la CPU. ¿Que otra cosa puedo hacer? Gracias de nuevo

[maura63]

Baja :

http://www.merijn.org/files/hijackthis.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



Saludos

maura63

[msc hotline sat]

El Backdoor que usa este fichero lo controla McAfee.:



http://vil.nai.com/vil/content/v_99378.htm



Nos dice que ya lo ha eliminado arrancando en modo seguro y deshabilitando la restauracion de sistema. Por ello ahora ya no debería estar. Compruebelo lanzando tal como está el antivirus de nuevo para cerciorarse, y si todavía le aparece, informenos porque algo no ha ido bien, y si ya no, es cuando procederá copiarnos el log del HJT para su analisis, pero no antes de eliminar el virus !!! (muchas claves viricas no son vistas por el HJT, pues debe pasarse como ultimo recurso, cuando antivirus y antispywares ya no detecten nada).



saludos



ms, 20-04-2005

[Parrapapi]

[quote="maura63"]Baja :

http://www.merijn.org/files/hijackthis.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



Saludos

maura63[/quote]

Gracias: por si sirve de algo comentar que lo he sacado con el proceso tpcsvcs.exe desconectado ya que si no no me deja trabajar.

ahí va:



Logfile of HijackThis v1.99.1

Scan saved at 18:55:32, on 20/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

G:\WINDOWS\system32\drivers\KodakCCS.exe

G:\WINDOWS\system32\nvsvc32.exe

G:\WINDOWS\System32\snmp.exe

G:\WINDOWS\System32\svchost.exe

G:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe

G:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe

G:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe

G:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

G:\WINDOWS\Explorer.EXE

G:\Archivos de programa\Logitech\iTouch\iTouch.exe

G:\WINDOWS\SOUNDMAN.EXE

G:\Archivos de programa\Winamp\winampa.exe

G:\Archivos de programa\QuickTime\qttask.exe

G:\Archivos de programa\SinEspias\No-Spy.exe

G:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

G:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

G:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

G:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe

G:\WINDOWS\system32\ctfmon.exe

G:\Archivos de programa\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe

G:\Archivos de programa\Common\IconMgr.exe

G:\Archivos de programa\AVerTV2K\QuickTV.exe

G:\DOCUME~1\papapapi\CONFIG~1\Temp\bwgo0000d793.exe

G:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

G:\Archivos de programa\Internet Explorer\iexplore.exe

g:\archivos de programa\E-Color Indicator\TICIcon.exe

G:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

G:\WINDOWS\system32\taskmgr.exe

G:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

G:\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wpqslpooobrbrshfkb.com/nNctSOOslbUoM2Sq4/KkK0dueyvIKQxlDth6dnqVSNLX5HwR/n1D5dDmq1YtfhLR.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.azvzehidbqnszyjxxaswdcwn.com/nNctSOOslbWAKP_43icHS5EsNcWYy8koz0uQjrrQzSQ.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wpqslpooobrbrshfkb.com/nNctSOOslbUoM2Sq4/KkK0dueyvIKQxlDth6dnqVSNLX5HwR/n1D5dDmq1YtfhLR.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.azvzehidbqnszyjxxaswdcwn.com/nNctSOOslbWAKP_43icHS5EsNcWYy8koz0uQjrrQzSQ.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\Userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {6152FB04-8ACB-28C8-916C-2B9294898585} - (no file)

O2 - BHO: (no name) - {8811666A-3724-C630-440E-A9D21545C203} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - G:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - G:\Archivos de programa\McAfee\McAfee VirusScan\VSCShellExtension.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - G:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O4 - HKLM\..\Run: [PinnacleDriverCheck] G:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [zBrowser Launcher] G:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] G:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "G:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Sin Espias] "G:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [Picasa Media Detector] G:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Vc noun safe type] G:\Documents and Settings\All Users\Datos de programa\lies frag vc noun\objowns.exe

O4 - HKLM\..\Run: [gcasServ] "G:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [msnappau] "G:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "G:\Archivos de programa\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR

O4 - HKCU\..\Run: [LDM] G:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [ccleaner] "G:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = G:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = G:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: E-Color.lnk = G:\Archivos de programa\Common\IconMgr.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = G:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = G:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: QuickTV.lnk = G:\Archivos de programa\AVerTV2K\QuickTV.exe

O4 - Global Startup: TeleSA.lnk = G:\Archivos de programa\AVer Teletext\AVerSA.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download All by FlashGet - G:\ARCHIV~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - G:\ARCHIV~1\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Papelera - {072F3B8A-2DA2-40e2-B841-88899F240200} - G:\ARCHIV~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Papelera - {072F3B8A-2DA2-40e2-B841-88899F240200} - G:\ARCHIV~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)

O12 - Plugin for .pdf: G:\Archivos de programa\Internet Explorer\PLUGINS\npdocpdf.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C0FFAF2-83CD-4349-A530-06A13835D6C9}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Administrador AVSync (AvSynMgr) - Network Associates, Inc. - G:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - G:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: McShield - Unknown owner - G:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - G:\WINDOWS\system32\ZoneLabs\vsmon.exe





A

[caito]

Desconéctate físicamente de Internet (cables,modem)



Desactiva Restaurar Sistema

Reinicia en Modo seguro

Termina estos procesos(ctrl+alt+del):

bwgo0000d793.exe

No-Spy.exe

objowns.exe

Busca en Agregar y quitar programas el Sin Spias y elimínalo.



Cierra todas las aplicaciones

Lanza el Hijack

Scan y luego Fix a estas:

G:\DOCUME~1\papapapi\CONFIG~1\Temp\bwgo0000d793.exe>solo si no sabes a qué se refiere

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wpqslpooobrbrshfkb.com/nNctSOOslbUoM2Sq4/KkK0dueyvIKQxlDth6dnqVSNLX5HwR/n1D5dDmq1YtfhLR.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.azvzehidbqnszyjxxaswdcwn.com/nNctSOOslbWAKP_43icHS5EsNcWYy8koz0uQjrrQzSQ.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wpqslpooobrbrshfkb.com/nNctSOOslbUoM2Sq4/KkK0dueyvIKQxlDth6dnqVSNLX5HwR/n1D5dDmq1YtfhLR.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.azvzehidbqnszyjxxaswdcwn.com/nNctSOOslbWAKP_43icHS5EsNcWYy8koz0uQjrrQzSQ.htm

O2 - BHO: (no name) - {6152FB04-8ACB-28C8-916C-2B9294898585} - (no file)

O2 - BHO: (no name) - {8811666A-3724-C630-440E-A9D21545C203} - (no file)

O4 - HKLM\..\Run: [Sin Espias] "G:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [Vc noun safe type] G:\Documents and Settings\All Users\Datos de programa\lies frag vc noun\objowns.exe>solo si no sabes a qué se refiere

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present> solo si estas restricciones no las pusiste vos

O9 - Extra button: Papelera - {072F3B8A-2DA2-40e2-B841-88899F240200} - G:\ARCHIV~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Papelera - {072F3B8A-2DA2-40e2-B841-88899F240200} - G:\ARCHIV~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)

O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

Cierra el Hijack.

Busca estos archivos y los eliminas:

G:\DOCUME~1\papapapi\CONFIG~1\Temp\bwgo0000d793>solo si no sabes a qué se refiere

G:\Documents and Settings\All Users\Datos de programa\lies frag vc noun\objowns>solo si no sabes a qué se refiere

Busca estas carpetas y elimínalas:

G:\Archivos de programa\SinEspias

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 15/04/05 ( o el Microsoft Atispiware, actualizado )

ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe

http://www.microsoft.com/en/us/default.aspxathome/security/spyware/software/default.mspx

Reinicia normal, conecta Internet y pega un nuevo log

Salu2

Caito

[Parrapapi]

[quote="caito"]Desconéctate físicamente de Internet (cables,modem)



Desactiva Restaurar Sistema

Reinicia en Modo seguro

Termina estos procesos(ctrl+alt+del):

bwgo0000d793.exe

No-Spy.exe

objowns.exe

Busca en Agregar y quitar programas el Sin Spias y elimínalo.



Cierra todas las aplicaciones

Lanza el Hijack

Scan y luego Fix a estas:

G:\DOCUME~1\papapapi\CONFIG~1\Temp\bwgo0000d793.exe>solo si no sabes a qué se refiere

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wpqslpooobrbrshfkb.com/nNctSOOslbUoM2Sq4/KkK0dueyvIKQxlDth6dnqVSNLX5HwR/n1D5dDmq1YtfhLR.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.azvzehidbqnszyjxxaswdcwn.com/nNctSOOslbWAKP_43icHS5EsNcWYy8koz0uQjrrQzSQ.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wpqslpooobrbrshfkb.com/nNctSOOslbUoM2Sq4/KkK0dueyvIKQxlDth6dnqVSNLX5HwR/n1D5dDmq1YtfhLR.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.azvzehidbqnszyjxxaswdcwn.com/nNctSOOslbWAKP_43icHS5EsNcWYy8koz0uQjrrQzSQ.htm

O2 - BHO: (no name) - {6152FB04-8ACB-28C8-916C-2B9294898585} - (no file)

O2 - BHO: (no name) - {8811666A-3724-C630-440E-A9D21545C203} - (no file)

O4 - HKLM\..\Run: [Sin Espias] "G:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [Vc noun safe type] G:\Documents and Settings\All Users\Datos de programa\lies frag vc noun\objowns.exe>solo si no sabes a qué se refiere

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present> solo si estas restricciones no las pusiste vos

O9 - Extra button: Papelera - {072F3B8A-2DA2-40e2-B841-88899F240200} - G:\ARCHIV~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Papelera - {072F3B8A-2DA2-40e2-B841-88899F240200} - G:\ARCHIV~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)

O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

Cierra el Hijack.

Busca estos archivos y los eliminas:

G:\DOCUME~1\papapapi\CONFIG~1\Temp\bwgo0000d793>solo si no sabes a qué se refiere

G:\Documents and Settings\All Users\Datos de programa\lies frag vc noun\objowns>solo si no sabes a qué se refiere

Busca estas carpetas y elimínalas:

G:\Archivos de programa\SinEspias

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 15/04/05 ( o el Microsoft Atispiware, actualizado )

ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe

http://www.microsoft.com/en/us/default.aspxathome/security/spyware/software/default.mspx

Reinicia normal, conecta Internet y pega un nuevo log

Salu2

Caito[/quote]





Gracias:

He hecho todo lo que me indicas.

Vuelvo a reiniciar y el dichoso programita sigue ocupando el 98% de la CPU.

He pasado de nuevo el Hijack y me da la siguiente información:

Logfile of HijackThis v1.99.1

Scan saved at 22:22:20, on 20/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

G:\WINDOWS\system32\drivers\KodakCCS.exe

G:\WINDOWS\system32\nvsvc32.exe

G:\WINDOWS\System32\tcpsvcs.exe

G:\WINDOWS\System32\snmp.exe

G:\WINDOWS\System32\svchost.exe

G:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe

G:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe

G:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe

G:\WINDOWS\Explorer.EXE

G:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

G:\Archivos de programa\Logitech\iTouch\iTouch.exe

G:\WINDOWS\SOUNDMAN.EXE

G:\Archivos de programa\Winamp\winampa.exe

G:\Archivos de programa\QuickTime\qttask.exe

G:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

G:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

G:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

G:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe

G:\WINDOWS\system32\ctfmon.exe

G:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

G:\Archivos de programa\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe

G:\Archivos de programa\Common\IconMgr.exe

G:\Archivos de programa\AVerTV2K\QuickTV.exe

G:\DOCUME~1\papapapi\CONFIG~1\Temp\bwgo0000fa8c.exe

g:\archivos de programa\E-Color Indicator\TICIcon.exe

G:\WINDOWS\system32\wuauclt.exe

G:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

G:\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\Userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - G:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - G:\Archivos de programa\McAfee\McAfee VirusScan\VSCShellExtension.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - G:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O4 - HKLM\..\Run: [PinnacleDriverCheck] G:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [zBrowser Launcher] G:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] G:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "G:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Picasa Media Detector] G:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [gcasServ] "G:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [msnappau] "G:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "G:\Archivos de programa\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR

O4 - HKCU\..\Run: [LDM] G:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [ccleaner] "G:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = G:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = G:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: E-Color.lnk = G:\Archivos de programa\Common\IconMgr.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = G:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = G:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: QuickTV.lnk = G:\Archivos de programa\AVerTV2K\QuickTV.exe

O4 - Global Startup: TeleSA.lnk = G:\Archivos de programa\AVer Teletext\AVerSA.exe

O8 - Extra context menu item: Download All by FlashGet - G:\ARCHIV~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - G:\ARCHIV~1\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .pdf: G:\Archivos de programa\Internet Explorer\PLUGINS\npdocpdf.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C0FFAF2-83CD-4349-A530-06A13835D6C9}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Administrador AVSync (AvSynMgr) - Network Associates, Inc. - G:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - G:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: McShield - Unknown owner - G:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - G:\WINDOWS\system32\ZoneLabs\vsmon.exe



Diome algo si puedes y nuevamente gracias

[caito]

Tienes configurada la opción de que se vean todos los archivos?

Y esta línea sabes a qué pertenece?

G:\DOCUME~1\papapapi\CONFIG~1\Temp\bwgo0000fa8c.exe

salu2

Caito

Pd:

esto encontré en Internet:

I have had that same problem, what fixed mine was going to "network connections" and right click your "Local Area Connection" and select "Properties" make sure you have the "General" tab selected.then scroll down until you find "Microsoft TCP/IP version 6" select it and click "Uninstall".

No se si quieras probarlo.

[Parrapapi]

[quote="caito"]Tienes configurada la opción de que se vean todos los archivos?

Y esta línea sabes a qué pertenece?

G:\DOCUME~1\papapapi\CONFIG~1\Temp\bwgo0000fa8c.exe

salu2

Caito

Pd:

esto encontré en Internet:

I have had that same problem, what fixed mine was going to "network connections" and right click your "Local Area Connection" and select "Properties" make sure you have the "General" tab selected.then scroll down until you find "Microsoft TCP/IP version 6" select it and click "Uninstall".

No se si quieras probarlo.[/quote]

Creo que sí la tengo configurada, aunque cuando voy buscando por carpetas no encuentro el ejecutable bwgo..... Lo encuentro con la opción buscar. Anteriormente apareció con otros dígitos y lo eliminé. Ahora vuelve a aparecer. También lo he eliminado aunque no sé como se instala ni porqué.



He desinstalado Microsoft TCP/IP versión 6 y...

¡Aleluya!. Tcpsv ha dejado de ocupar la CPU, espero que no repercuta en otras cosas.



Muchísimas gracias.

[maura63]

Pues solucionado el tema procedemos a cerrarlo.



Saludos

maura63