problema con explore.exe
problema con explore.exe
Hola a todos/as, mi problema es q desde hace unos dias vengo observando q el proceso explorer.exe cada 3 o 4 segundos hace saltar el uso de cpu hasta el 20%, creando picos en el grafico y ralentizandome tanto juegos como peliculas cada vez q se produce un pico de uso de cpu. ni antivirus, ni ad-aware o similar, no consigo solucionar el problema y si termino el proceso manualmente se me va el escritorio.Agradeceria si me pudierais dar una solucion, gracias por adelantado
este es el log del hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 2:19:36, on 12/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\archivos de programa\internet explorer\iexplore.exe
C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\WinPoET Broadband Connection\winpppoverethernet.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\fran\Mis documentos\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET Broadband Connection\winpppoverethernet.exe"
O4 - HKLM\..\Run: [z-WrDialer] C:\Archivos de programa\WinPoET Broadband Connection\WrDialer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [GenericHost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [ActiveX] C:\WINDOWS\System32\svhost.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunOnce: [*ActiveX] C:\WINDOWS\System32\svhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [ActiveX] C:\WINDOWS\System32\svhost.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [*ActiveX] C:\WINDOWS\System32\svhost.exe
O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122314963673
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F3110D1-5CA3-4D4D-A549-D22E7613602F}: NameServer = 195.235.113.3,195.235.96.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AAADB71-403C-49CF-9AF1-F69CEB457DF2}: NameServer = 195.235.113.3 195.235.96.90
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\
Scan saved at 2:19:36, on 12/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\archivos de programa\internet explorer\iexplore.exe
C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\WinPoET Broadband Connection\winpppoverethernet.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\fran\Mis documentos\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET Broadband Connection\winpppoverethernet.exe"
O4 - HKLM\..\Run: [z-WrDialer] C:\Archivos de programa\WinPoET Broadband Connection\WrDialer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [GenericHost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [ActiveX] C:\WINDOWS\System32\svhost.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunOnce: [*ActiveX] C:\WINDOWS\System32\svhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [ActiveX] C:\WINDOWS\System32\svhost.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [*ActiveX] C:\WINDOWS\System32\svhost.exe
O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F3110D1-5CA3-4D4D-A549-D22E7613602F}: NameServer = 195.235.113.3,195.235.96.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AAADB71-403C-49CF-9AF1-F69CEB457DF2}: NameServer = 195.235.113.3 195.235.96.90
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\
perdon, una puntualizacion...
queria comentaros tambien q desde hace unos dias cuando pongo una tilde, me salen dos, he cambiado de teclado pues crei q era problema suyo, pero con el nuevo tambien me pasa igual, gracias.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Lo que tiene este ordenador son virus galopantes, como se ve a simple vista al cargar un SVCHOST desde c:\windows en O4 - HKLM\..\Run: [GenericHost] C:\WINDOWS\svchost.exe (solo debe cargarse el lanzador del sistema que está en c:\windows\system32 asi como un SVHOST sin la C intermedia, lanzado desde la carpeta de sistema, lo cual es otro gusano que intenta pasar desapercibido usando un nombre parecido al existente del sistema en dicha carpeta: O4 - HKLM\..\Run: [ActiveX] C:\WINDOWS\System32\svhost.exe
Empiece por eliminar virus y spywares siguiendo las indicaciones de los tutoriales, lo cual debería haber hecho antes de postear el log del HJT !!!:
https://foros.zonavirus.com/viewtopic.php?t=5148
saludos
ms, 12-09-2005
NOTA: Y si por la tilde entiende Vd el apostrofe que sale doble, a estilo de comillas, cuando se escribe un acento, esto lo pueden causar virus como aplicaciones que no esten pensadas para el idioma castellano, y es posible que tras la limpieza indicada se solucione este problema. ms.
Empiece por eliminar virus y spywares siguiendo las indicaciones de los tutoriales, lo cual debería haber hecho antes de postear el log del HJT !!!:
saludos
ms, 12-09-2005
NOTA: Y si por la tilde entiende Vd el apostrofe que sale doble, a estilo de comillas, cuando se escribe un acento, esto lo pueden causar virus como aplicaciones que no esten pensadas para el idioma castellano, y es posible que tras la limpieza indicada se solucione este problema. ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
A cada cual lo suyo:
A los virus los eliminará con los antivirus, como el Norton, y a los spywares y adwares con los antispywares como SPYBOT, pero sobretodo, arrancando en modo seguro y deshabilitando la restairacion de sistema.
Como complemento puede tambien probar el ELISTARA
Y si tiene problemas con eliminar los que detecte, diganos nombvre de malware y ryta/nombre del fichero y le ayudaremos, o en su caso le pediremos nos envie muestra para incluir su eliminacion en nuestras utilidades.
Cuando ya no se detecte nada con todo ello, es cuando si persisten anomalias, convendrá examinar el log, eliminando claves superfluas y pedirle muestra de determinados ficheros que veamos se cargan allí y son desconocidos, para examinarlos y obrar en consecuencia, pero no conviene eliminar claves de bichos qye aoarecen en el HJT, ya qye este solo muestra una minima parte del registro, y eliminanado clabes de allí, los restos de estos bichos en otras partes del registro serñan casi indetectables.
Sobre todo:
https://foros.zonavirus.com/viewtopic.php?t=5266
saludos
ms, 12-09-2005
A los virus los eliminará con los antivirus, como el Norton, y a los spywares y adwares con los antispywares como SPYBOT, pero sobretodo, arrancando en modo seguro y deshabilitando la restairacion de sistema.
Como complemento puede tambien probar el ELISTARA
Y si tiene problemas con eliminar los que detecte, diganos nombvre de malware y ryta/nombre del fichero y le ayudaremos, o en su caso le pediremos nos envie muestra para incluir su eliminacion en nuestras utilidades.
Cuando ya no se detecte nada con todo ello, es cuando si persisten anomalias, convendrá examinar el log, eliminando claves superfluas y pedirle muestra de determinados ficheros que veamos se cargan allí y son desconocidos, para examinarlos y obrar en consecuencia, pero no conviene eliminar claves de bichos qye aoarecen en el HJT, ya qye este solo muestra una minima parte del registro, y eliminanado clabes de allí, los restos de estos bichos en otras partes del registro serñan casi indetectables.
Sobre todo:
saludos
ms, 12-09-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Mientras, estos ficheros muevelos a una carpeta de cuarentena, que no entren en uso al arrancar el ordenador:
WrDialer.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\svhost.exe
No te confundas con el SVCHOST de windows\system32 que es del sistema !!!
saludos
ms, 12-09-2005
WrDialer.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\svhost.exe
No te confundas con el SVCHOST de windows\system32 que es del sistema !!!
saludos
ms, 12-09-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online