Se cierra IE y otras aplicaciones (solucionado)

SinLimites · Mensaje por **SinLimites** » 27 May 2005, 05:34

El problema parece empeorar ,en Administrador de Tareas veo uso de CPU 100% pero ninguna aplicacion que se encuentre usando mayor ( usa lo normal y comun) memoria es sospechosa

a veces abro ciertas carpetas dentro de "mis documentos" a veces se cuelga al final de todo me sale enviar informe de error de explorer.exe aunque este cerrado al final siempre sale este tipo de error ,le he pasado en modo seguro mi Panda y SpyBS& Destroy totalmente actualizados pero no me encuentran nada le pase Perantivirus version de prueba y nada ,el antivirus OnlineScan que ofrece esta pagina pero solo me encontro el Exploit que seguramente entro cuando cerre el PAnda para el scaneo online (el Panda bloqueaba esa intruicion)

Les dejo mi LOG haber que puedo hacer ,Gracias ///

Es cuando ocurrio el uso del 100% de mi CPU a veces se vuelve normal pero.......

Logfile of HijackThis v1.99.1

Scan saved at 8:41:28, on 27/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\vsnpstd2.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Zinio\ZINIOD~2.EXE

C:\Archivos de programa\TuneUp Utilities 2004\MemOptimizer.exe

C:\ARCHIV~1\Webshots\webshots.scr

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\explorer.exe

C:\My Download Files\Opera.exe

C:\Archivos de programa\Yahoo!\Messenger\YPager.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Documents and Settings\Administrador.RAW-E265CD0191B\Mis documentos\Mis archivos recibidos\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.peru.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VideoCAM Web V2

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Zinio DLM] C:\ARCHIV~1\Zinio\ZINIOD~2.EXE /hide

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2004\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmese1.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmese1.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by17fd.bay17.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111250334857

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} - http://secure.goodthinxx.com/select/SelectGoodthinxx/vcloadgt.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9AFF9EC3-0488-46A8-BD2C-3F3370734D25}: NameServer = 211.129.12.47 211.129.14.138

O20 - AppInit_DLLs: PAVWAIT.DLL

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: License Management Service ESD - element5 - C:\Archivos de programa\Archivos comunes\element5 Shared\Service\Licence Manager ESD.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Mensaje por **msc hotline sat** » 27 May 2005, 09:22

Revisa estas claves, y si no conoces las aplicaciones, eliminalas con FIX:

ç O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKCU\..\Run: [Zinio DLM] C:\ARCHIV~1\Zinio\ZINIOD~2.EXE /hide

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} - http://secure.goodthinxx.com/select/SelectGoodthinxx/vcloadgt.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9AFF9EC3-0488-46A8-BD2C-3F3370734D25}: NameServer = 211.129.12.47 211.129.14.138

O20 - AppInit_DLLs: PAVWAIT.DLL

Awleccione y elimine estas claves con FIX:

C:\ARCHIV~1\Zinio\ZINIOD~2.EXE

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

Tras reiniciar, si no conoce estas aplicaciones, muevalas a cuarentena

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\vsnpstd2.exe

C:\ARCHIV~1\Zinio\ZINIOD~2.EXE

Y tras ello informanos si se terminaron los problemas, como respuesta d eeste Tema, gracias

saludos

ms, 27-05-2005

SinLimites · Mensaje por **SinLimites** » 28 May 2005, 12:34

Hola como estan gracias por su amable respuesta de momento he borrado lo siguiente:

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} - http://secure.goodthinxx.com/select/SelectGoodthinxx/vcloadgt.cab

C:\WINDOWS\vsnpstd2.exe

**He probado borrar esta otra :

O17 - HKLM\System\CCS\Services\Tcpip\..\{9AFF9EC3-0488-46A8-BD2C-3F3370734D25}: NameServer = 211.129.12.47 211.129.14.138

**Pero me di cuenta que me entrecorta mi ADSL solo reiniciando se arregla.

De momento mi PC esta en estado normal por eso tal vez no encuentro :

O4 - HKLM\..\Run: [ScanRegistry] C:\W

En estos momentos me tengo que ir al trabajo despues hare trabajar un poco mas la PC haber como me va pues no tuve timpo de usarla mucho estos 2 dias,les contare luego lo demas OK. GRACIAS////

Mensaje por **msc hotline sat** » 28 May 2005, 21:08

Al darnos cuenta que su forma transgredía el punto 6 de las Normas del foro, al hacer publicidad de una web, contra lo claramente indicado:

[quote="ADMIN"]
6. Está permitido publicar URLs siempre y cuando cumplan las normas y se usen para facilitar la respuesta a la consulta de un determinado usuario, ~~[b]~~y no para hacer propaganda o aumentar las visitas a una Web[/b]
[/quote]
y hacer publicidad de una web peruana en su firma, se elimina dicha firma, y se le avisa que de repetirse otra falta contra las Normas del foro, se le excluirá del mismo.

saludos

ms, 28-05-2005

SinLimites · Mensaje por **SinLimites** » 01 Jun 2005, 17:01

Hola otra vez despues de abrir algunos de los pocos programas que instale y desinstalar los que ya caducaron el HijackThis v1.99.1 pudo reconocer algunas aplicaciones que antes no lo hacia como :

C:\WINDOWS\VM_STI.EXE **que resulto ser una aplicacion de mi webcam GENIUS .

Borre: O4 - HKLM\..\Run: [ScanRegistry] C:\W

Y la siguientes aplicaciones si las conosco:

HKCU\..\Run: [Zinio DLM] C:\ARCHIV~1\Zinio\ZINIOD~2.EXE /hide **Que pertenece a un programa para ver mis revistas digitales como se puede constatar http://www.zinio.com

Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

** Es una aplicacion del programa gratuito de Papel tapiz lo uso desde hace 1 año http://daily.webshots.com/ al igual que zinio es decir antes de tener problemas ya los usaba . en fin .....(⌂-⌂) creo que tendre que reinstalar XP .

Alguien sabe de un programa para restaurar el Sistema ? y que no sea necesario el uso de Diskett. No me refiero al Restaurador de XP claro de todos modos gracias

PD: Perdon por la firma PAZ..PAZ de todos modos les hare propaganda por donde vaya OK 8)

Mensaje por **msc hotline sat** » 01 Jun 2005, 17:40

Aparte de usar el "RESTAURAR" del CDROM de XP, arrancando con el CD de instalacion, existe la utilidad de sistema SFC que te puede restablecer un fichero puntual del sistema, extrayendolo del CD de instalacion.

Dinos lo que quieres hacer y te diremos lo que haríamos nosotros, para complementar tu informacion en lo que cabe.

saludos

ms, 1-06-2005

SinLimites · Mensaje por **SinLimites** » 04 Jun 2005, 14:42

Hola cuando dices restaurar desde el CDXP te referiras a reparar o me equivoco?? Por otro lado veo esta aplicacion en mi primer mensaje me puede explicar de que se trata si cuando busco en Google me muestra que es un virus sera mi caso?

C:\WINDOWS\system32\csrss.exe

Bueno lo que pretendo hacer si es que reinstalo mas adelante el XP es hacer todas la instalaciones y configuraciones y que todas estas queden (mientras no haya errores) como mi mejor punto de configuracion y se puedan guardar creo que la palabra es en Disco de imagen por ejemplo me dicen con Norton Ghost es este programa la mejor opcion?

Saludos//

Mensaje por **msc hotline sat** » 04 Jun 2005, 19:58

El empleo de la palabra "RESTAURAR" arrancado con el CDROM de XP lo empleé para seguir su léxico:

[quote="SinLimites"]
Alguien sabe de un programa para restaurar el Sistema ? y que no sea necesario el uso de Diskett. No me refiero al Restaurador de XP claro de todos modos gracias

[/quote]

está claro que la palabra mas adecuada es REPARAR, como siempre indico cuando inicio la información al respecto, y en esta ocasión mantuve la denominacion por Vd empleada, que en el fondo el REPARAR consiste en restaurar los ficheros del sistema, pero el nombre que le da windows es REPARAR, y conviene mantenerlo para entendernos.

Y sobre el CSRSS.EXE no se confunda !!!

El existente en la carpeta de sistema es normalmente del sistema operativo, no es virus.

En cambio si está en otra carpeta como WINDOWS u otra aunque cuelgue esta ultima de SYSTEM32, entonces pinta a virus.

Es como el SVCHOST.EXE, el lanzador de tareas de windows. Si está y es utilizado desde la carpeta de sistema, no es virus, pero si lo hace desde la de windows o desde otra que cuelgue de SYSTEM32, es típico de muchos virus, pues así confunden al usuario.

Y eso que indica que ha visto que en Google encuentra que C:\WINDOWS\system32\csrss.exe es virus, reviselo y si lo be confirmado, indiquenos link al respecto. Cuidado que no todo lo que hay escrito en Internet es verdad !!! Hay muchos foros en los que se pueden leer las opiniones de los foreros, y sin mala intencion, pueden estar equivocados

[quote]
----------------------------------------------------

~~[b]~~[size=200]CSRSS.EXE[/size][/b]

----------------------------

Process name: Client Server Runtime Process

Product: Windows

Company: Microsoft

File: csrss.exe

Security Rating:

This is the user-mode portion of the Win32 subsystem (with Win32.sys being the kernel-mode portion). Csrss stands for client/server run-time subsystem and is an essential subsystem that must be running at all times. Csrss is responsible for console windows, creating and/or deleting threads, and some parts of the 16-bit virtual MS-DOS environment.

Note: The csrss.exe file is located in the c:\windows\System32 folder. In other cases, csrss.exe is a virus, spyware, trojan or worm!

[/quote]

Y el Ghost es una gran herramienta para hacer copias de seguridad. Nosotros la usamos a diario.

Y habiendo solucionado lo relativo al log del HJT en el que se encuentra este Tema y estar derivando a otros derroteros, damos por solucionado el Tema y procedemos a cerrarlo

saludos

ms, 4-06-2005