Epidemia de maquinas lentas (REDIRIGIDO)

[sergio1234]

Hola, soy nuevo por aqui y espero que puedan ayudarme

En mi trabajo, donde hay varias PC's (todas con Win98 SE y McAfee 4.5.1 SP1 con el ultimo engine y actualizado diariamente) conectadas en red, hace mas o menos un mes que todas las maquinas se volvieron extremadamente lentas.

Hasta ese momento todo funcionaba bien, por eso sospecho de algo malicioso en todas ellas que ingreso por la red.

He tomado una de ellas para hacer un analisis para tratar de descubrir el problema.

Se trata de una Celeron 2 Ghz con 256 Mb de RAM y 30 Gb de disco libre (recursos no faltan)

La estoy probando aislada de la red y de Internet.

El mouse anda a los saltos y por ejemplo el panel de control de Wndows demora 35 segundos en abrir.

He probado que desactivando McAfee la velocidad vuelve a la normalidad (el panel de control demora menos de 1 segundo en abrir)

No creo que el problema sea el Antivirus ya que en otras PC's de configuracion similar (que no estan conectadas a esa red) con el mismo McAfee funciona todo bien.

Tal vez hay algun proceso oculto que esta accediendo al disco en forma constante y por ende McAfee esta constantemente revisando los archivos a los que accede y esto tira abajo la performance de la PC.

Ya le corri el AdAware actualizado y no encontro nada
y tambien le corri el SpyBot y encontro y arreglo los siguientes problemas:

CoolWWWSearch.BadZoneMap: Configuración (Cambio en el registro, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\skoobidoo.com\*!=W=4

TNS-Search: Configuración del usuario (Cambio en el registro, fixed)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\skoobidoo.com\*!=W=4

Zonemap.Ranges: Configuración del usuario (Valor del registro, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1\:Range

Alexa Related: Enlace (Reemplazar archivo, fixed)

Tambien le corri un ScanPM levantando la PC con un diskette con los DAT de McAfee actualizados a hoy y no encontro nada.

Luego de todo esto el problema de la lentitud continua, y por esto los consulto con el log del HJT.

Espero que me ayuden a encontrar lo que esta ocurriendo

Muchas Gracias
Sergio

Logfile of HijackThis v1.99.1
Scan saved at 19:40:15, on 07/11/2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\ptsnoop.exe
C:\WINDOWS\RunDLL.exe
C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\E_SICN03.EXE
D:\SERGIO\ANTISPYWARE\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ""
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ""
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ""
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ""
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ""
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = ""
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = ""
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {092FC6C1-7162-11D9-B5D5-000DFAEADBE9} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Archivos de programa\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmeup.cc (HKLM)
O15 - Trusted IP range: 195.190.118.157
O15 - Trusted IP range: 69.31.87.223 (HKLM)
O15 - Trusted IP range: 195.190.118.157 (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: SecureAppletX71 - https://sib1.interbanking.com.ar/SecureAppletX71.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.123.254
O18 - Filter: text/html - {39C2E8A0-7390-11D9-B5D5-000D412A3A48} - (no file)
O18 - Filter: text/plain - {39C2E8A0-7390-11D9-B5D5-000D412A3A48} - (no file)

[msc hotline sat]

No tienes los parches del I.E, y eres vulnerable hasta al Exploit MIME (que te ejecuta ficheros infectados con solo leer los mensajes HTML de los mails infectados con multitud de virus, como los tan famosos KLEZ, YAHA, etc...

Lanza un windowsupdate !!! - Sin ello los antivirus nada podrñan hacer para evitar que te infectes !

Aparte, puedes eliminar las siguientes claves, klanzando el HJT, marcandolas y FIX:
O2 - BHO: (no name) - {092FC6C1-7162-11D9-B5D5-000DFAEADBE9} - (no file)
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmeup.cc (HKLM)

y no creo que quieras tener estas url como sitio seguro, Si no son de ti criterio, elimina sus claves o entra en Seguridad del Internet Explorer y quitalas de sitio de confianza:
O15 - Trusted IP range: 69.31.87.223 (HKLM)
O15 - Trusted IP range: 195.190.118.157 (HKLM)

(una de EE.UU. y la otra rusa ???:

69.31.87.223 US United States DE Delaware Bethany Beach 19930 38.5562 -75.0692 NLAYER COMMUNICATIONS KERNELNETWORKLLC 576 302
(HKLM) N/A N/A N/A N/A 0 0
195.190.118.157 RU Russian Federation 48 Moscow City Moscow 55.7522 37.6156 EDN Sovintel EDN Sovintel )

Tras ello, reinicias y mira si se han solucionado los problemas, y nos lo cuentas como respuesta de este Tema, gracias

saludos
ms, 8-11-2005

[sergio1234]

Siguiendo su jonsejo, verifique el Windows Update y estaba al día con todas las actualizaciones criticas

Luego de probar todas las recomendaciones que me hicieron aqui y en otro foro especializado, hasta quitar todo vestigio de Spyware, hacer un scan OnLine tanto con Karspersky como con Panda sin que encuentren nada, puedo asegurar que esta PC no solo está limpia, sino que ademas brilla.

Como el problema de lentitud comenzo de repente en todas las maquinas de la red con platafoma similar, y lo unico que me quedaba como descarga en comun y simultanea entre ellas era la actualizacion de las bases de datos del McAfee 4.5.1.

Asi que Procedi a desinstalar el McAfee e instalarlo nuevamente de sus discos originales (que queda con una base de virus de 2001), ir cargandole de a una por vez actualizaciones que tenia guardadas de Motor y datos de diferentes fechas y probar la velocidad con que abre el Panel de control.

Los resultados fueron asombrosos.

Reitero que se trata de una PC Celeron 2 Ghz 256 Mb RAM Win98SE McAfee 4.5.1 SP1

A continuacion pongo la fecha de cada actualizacion y el tiempo en segundos que demora en abrir el panel de control.

Con McAfee desactivado menos de 1 segundo.

Con McAfee activo:

Dic 2001 - 3 segundos
Junio 2002 - 3 segundos
Julio 2003 - 3 segundos
Octubre 2004 - 4 segundos
Marzo 2005 - 4 Segundos
Junio 2005 - 5 segundos
Julio 2005 - 7 segundos
Agosto 2005 - 11 segundos
Octubre 2005 - 25 segundos
7 Nov 2005 - 32 segundos

Justamente McAfee anunció el fin de soporte de su antivirus 4.5.1 (unico de su linea para las plataformas Win9x y Win Me) para el 30 de Junio de 2005, y que a partir de dicha fecha solo iba a haber actualizaciones de bases de datos.

En fin, este es el final del romance con McAfee, a los cuales les he pagado 7 u 8 años de renovacion de licencia anual de su producto.

Debido a esto no conozco otro antivirus, ni como trabaja.

Me resultaba muy comodo el hecho de que McAfee lo que hacia era revisar cada uno de los archivos en el momento en que se iban a escribir en el disco y tambien en el momento de intentar leerlos del mismo.

Les agradeceré mucho si me podrían recomendar algún Antivirus (seria aconsejable también, que revise en el momento de escribir y leer) que sirva para plataformas Win98 y no sea pesado para las mismas.

Nuevamente muchas gracias por su ayuda, y espero que esta experiencia sirva para ayudar a otras personas con el mismo problema.

Sergio

[msc hotline sat]

Los peajes son logicos, y quien algo quiere algo le cuesta y el control de 50.000, 60.000, 80.000 y actualmente 155.000 virus , tiene su tiempo de retardo, ya que windows abre muchas aplicaciones en cada proceso, y tenerlas que revisar todas de tal numero de virus, al ordenador le cuesta, pero tiene que escoger entre velocidad y seguridad, o pensart en cambiar a XP, y con otras maquinas masactuales, ya que posiblemente la velocidad de su CPU dista bastante de los 4 GHz normales actualmente, lo cual con 1 Gb de RAM y con XP, el McAfee correspondiente que es el que usamos en esta web, y a nivel personal, 8.0i ENTERPRISE, casi ni nos enteramos de que está residente, gracias a los comandos disponibles en XP de 32 bits, que permiten a los antivirus utilizar procesos mas rapidos.

Y mientras tanto le regirijo a otro Tema que mantenemos abierto para comentarios de los usuarios al respecto de sus antivirus, donde poder escoger provisionalmente el que considere mas adecuado, si bien puede que sea salir del fuego para meterse en las brasas.

Su problema no es el antivirus, que evidentemente pesa, sino su sistema operativo ya obsoleto, que no permite usar software actual, y las máquinas que posiblemente no tengan las prestaciones de las actuales.

Por cierto, compruebe que la instalcion de McAfee la tuviera actualizada en cuanto a motor de exploracion, que actualmente debe ser 4.0.00 y ello no se actualiza simplemente con los DAT, sino que hace falta una vez aplicar un SuperDAT. Lo digo porque si reinstaló dicho software y solo actualizó DATS, es posible que no aplicara el motor actual.

Independientemente de lo que haga y escoja, y a pesar de lo que le diga el windowsupdate, revise su Internet Explorer, ya que el HJT indica no tener aplicado el SP1, y por su seguridad... Abra Internmet Explorer, Vaya a Ayuda -> Acerca de.. y vea si le aparece el paquete SP1 ???

En consecuencia procedemos a cerrar este Tema para poder seguir en el otro.

saludos
ms, 8-11-2005