PC arranque/ apagado muy lento,problemas varios

[AdriDoX]

Pues esa es la cosa, tarda mucho en encender y apagar ademas de que se queda de vez en cuando bloqueado.



Sale el popup de "The Best offers" y el antivirus salta con que ha encontrado el virus svcproc.exe. He pasado el ELISTAR pero sigue el problema.



No tengo SP2, puesto que es incompatible con algunos programas de la empresa y dijeron que no actualizaramos, todo lo demas si que esta actualizado.



mi Log:



Logfile of HijackThis v1.99.1



Scan saved at 1:06:37, on 11/11/2005



Platform: Windows XP SP1 (WinNT 5.01.2600)



MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)







Running processes:



C:\WINDOWS\System32\smss.exe



C:\WINDOWS\system32\winlogon.exe



C:\WINDOWS\system32\services.exe



C:\WINDOWS\system32\lsass.exe



C:\WINDOWS\system32\svchost.exe



C:\WINDOWS\System32\svchost.exe



C:\WINDOWS\system32\spoolsv.exe



C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe



C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe



C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe



C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe



C:\WINDOWS\System32\msdtc.exe



C:\Archivos de programa\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe



C:\WINDOWS\System32\svchost.exe



C:\Archivos de programa\ORL\VNC\WinVNC.Exe



C:\WINDOWS\System32\wwSecure.exe



C:\Archivos de programa\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE



C:\WINDOWS\Explorer.exe



C:\Archivos de programa\Compaq\Easy Access Button Support\StartEAK.exe



C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe



C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe



C:\WINDOWS\System32\pfejqef.exe



C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEADM.EXE



C:\Compaq\EAKDRV\EAUSBKBD.EXE



C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE



C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe



C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe



C:\ARCHIV~1\Compaq\EASYAC~1\BttnServ.exe



C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe



C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe



C:\Archivos de programa\3Com\Launcher.exe



C:\Archivos de programa\Archivos comunes\3Com\LanSupportService.exe



C:\Archivos de programa\3Com\WLAN Manager\AllWirelessLansService.exe



C:\ARCHIV~1\3Com\WLANMA~1\Activate.exe



C:\ARCHIV~1\MICROS~3\Office10\OUTLOOK.EXE



C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE



C:\WINDOWS\msagent\AgentSvr.exe



C:\Reparación\hijackthis\HijackThis.exe







R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =



F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe



O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx



O2 - BHO: MagicBHO Class - {AC212FB9-3883-461E-A559-37A4F6100FB0} - C:\WINDOWS\system32\iacad.dll



O4 - HKLM\..\Run: [CPQEASYACC] C:\Archivos de programa\Compaq\Easy Access Button Support\StartEAK.exe



O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe



O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe



O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE



O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey



O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"



O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"



O4 - HKLM\..\Run: [vnakdhz] C:\WINDOWS\System32\pfejqef.exe r



O4 - Global Startup: 3Com Launcher.lnk = C:\Archivos de programa\3Com\Launcher.exe



O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Archivos de programa\Cisco Systems\VPN Client\vpngui.exe



O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000



O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\mcm-fiestaguay\index.html (file missing)



O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)



O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)



O14 - IERESET.INF: START_PAGE_URL=http://intranet



O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204



O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130598996714



O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/1,0,3,8/es/AccesMembre.cab



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = comunitel.loc



O17 - HKLM\Software\..\Telephony: DomainName = comunitel.loc



O17 - HKLM\System\CCS\Services\Tcpip\..\{0480E495-13A3-4F40-8A68-9B7C89919E78}: NameServer = 80.58.0.33,80.58.32.97



O17 - HKLM\System\CCS\Services\Tcpip\..\{23D29DAE-2F4F-4373-A756-CE2F92A3D448}: NameServer = 85.255.114.108,85.255.112.7



O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = comunitel.loc



O17 - HKLM\System\CS1\Services\Tcpip\..\{0480E495-13A3-4F40-8A68-9B7C89919E78}: NameServer = 80.58.0.33,80.58.32.97



O23 - Service: 3Com Wireless LAN Support (AllWirelessLansService) - Unknown owner - C:\Archivos de programa\3Com\WLAN Manager\AllWirelessLansService.exe



O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe



O23 - Service: 3Com LAN Support (LanSupportService) - 3Com Corporation - C:\Archivos de programa\Archivos comunes\3Com\LanSupportService.exe



O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe



O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe



O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe



O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\ORL\VNC\WinVNC.Exe" -service (file missing)



O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe



Muchas gracias de antemano!! SALUDOSSSS

[msc hotline sat]

Cpnviene eliminar estas claves:



F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe



O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\mcm-fiestaguay\index.html (file missing)



O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)



O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)



O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/1,0,3,8/es/AccesMembre.cab



O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\ORL\VNC\WinVNC.Exe" -service (file missing)







y estas son sospechosas, analizarñes y las que no conozca, eliminelas tambien:



O2 - BHO: MagicBHO Class - {AC212FB9-3883-461E-A559-37A4F6100FB0} - C:\WINDOWS\system32\iacad.dll



O4 - HKLM\..\Run: [CPQEASYACC] C:\Archivos de programa\Compaq\Easy Access Button Support\StartEAK.exe



O4 - HKLM\..\Run: [vnakdhz] C:\WINDOWS\System32\pfejqef.exe r



O14 - IERESET.INF: START_PAGE_URL=http://intranet



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = comunitel.loc



O17 - HKLM\Software\..\Telephony: DomainName = comunitel.loc



O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = comunitel.loc



O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe







Tras ello, reinicie y vea si se han solucionado los problemas, y nos lo cuenta como resùesta de este Tema, gracias



saludos



11-11-2005

[msc hotline sat]

Un analisis complementario de las url de los servidores de DNS a los que apunta su log, nos indica que esta clave:





O17 - HKLM\System\CCS\Services\Tcpip\..\{23D29DAE-2F4F-4373-A756-CE2F92A3D448}: NameServer = 85.255.114.108,85.255.112.7





corresponde a un servidor ukraniano, lo cual es sospechoso, y como que tiene otras dos iguales que apuntan a servidores de DNS nacionales, es aconsejable eliminar esta, dejando las otras dos



Los datos obtenidos de estas URL son:



Hostname Country Code County Name Region Region Name City Postal Code Latitude Longitude ISP Organization Metro Code Area Code

85.255.114.108 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.7 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting compan





Aparte, lo de no instalar el SP2 por problemas en ciertas aplicaciones, le pone en riesgo de vulnerabilidad frente a agujeros tan conocidos como el del RPCDCOM y el del LSASS, por lo que le recomiendo que al menos instalen un cortafuegos (a ser posible por hardware, general a la salida del router) si es que no lo tienen, pues hay claves de CISCO y VPN que pueden corresponder a lo indicado, o sino al menos instalen puntualmente los parches MS04-011 y MS04-012



saludos



ms, 11-11-2005

[AdriDoX]

Muchas gracias amigo, el problema reside en que el SP2 no es compatible con los programas de la empresa por eso no lo instalo en este Pc.



En cuanto lo del CPV, este programa lo tiene instalado la empresa para poder hacer el control remoto de los PC's, llevando a este riesgo. Despues de que quede en conocimiento esto...espero salir de dudas a la hora de realizar los cambios.



Muchisimas gracias, atentamente

[msc hotline sat]

Bien, pues tras lo indicado damos por solucionado el Tema yprocedemos a cerrarlo



saludos



ms, 11-11-2005

[msc hotline sat]

Por el ultimo post de AdriDox entendía se despedía, pero tras el privado recibido, se reabre el Tema:


[quote]De: AdriDoX

Para: msc hotline sat

Publicado: Vie Nov 11, 2005 8:59 pm

Asunto: Asunto pendiente

Amigo perdona por tener que reportar un m.p, pero era para no abusar de post en el foro. Hemos cerrado el ultimo hilo pero como decia no puedo eliminar lo que comentaba.



Sigue saliendo el popup de "The Best offers" y el antivirus salta con que ha encontrado el virus svcproc.exe.



Ademas de estas claves que no se pueden quitar con el fix del Hijackthis.



O4 - HKLM\..\Run: [pvqilnd] C:\WINDOWS\System32\nuoflq.exe r



C:\WINDOWS\System32\nuoflq.exe



REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe



_________________

.::Adr!DoX::.
[/quote]

[msc hotline sat]

Baja la ultima version del ELISTARA y arranca en modo seguro y lanzala, y tras reiniciar, si persisten los problemas, lanzas un nuevo HJT y nos posteas el log actual, como respùesta de este Tema, gracias



saludos



ms, 11-11-2005

[AdriDoX]

Ya lo hice pero vuelvo al lio ya que por lo que parece ahora si que se ejecutan verdaderamente estos.Entrando en modo seguro....



ahora cuento,saludos

[msc hotline sat]

El autor del Tema ha posteado fuera de lugar. Procure seguir las Normas !!!:


[quote]
AdriDoX

Novato







Registrado: 11 Nov 2005

Mensajes: 4



Publicado: Vie Nov 11, 2005 9:54 pm Asunto: seguimos igual (CERRADO)



--------------------------------------------------------------------------------



Acabo de pasar el Elistara bajo modo seguro, y ha concluido de la siguiente manera:



Infectados : 0



Eliminados: 0



Con Hijackthis tampoco consigo eliminar la dicha clave. Ahora ya no salen constantemente las pantallitas de 'the best offers'.

(modo seguro)



Asi andamos, le vuelvo a pasar programas de spyware y no parece k tenga cambios.



SALUDOS y gracias



EDITO: Lo siento no queria poner esto aqui, sino en el hilo que ya tenia abiero. Espero puedan moverlo. Gracias

_________________

.::Adr!DoX::.
[/quote]

[msc hotline sat]

Pues continua como te indicabamos, posteandono nuevo log del HJT, pero si aun te aparecen las claves que te habiamos dicho que eliminaras, arranca en modo seguro, lanza el HJT, las marcas y les das FIX, y si persiste el problema, posteas el nuevo log resultante.



Por otro lado te advertíamos del servidor de DNS que estas utilizando. ¿Es el que te aconseja tu ISP ??? Si no es asi, espero que la hayas eliminado, dejando las otras dos 017:



O17 - HKLM\System\CCS\Services\Tcpip\..\{23D29DAE-2F4F-4373-A756-CE2F92A3D448}: NameServer = 85.255.114.108,85.255.112.7





Y veamos si tras todo ello persiste el problema y en su caso abalizaremos el log actual...



saludops



ms, 12-11-2005