No me funciona nada!

daruca6 · Mensaje por **daruca6** » 08 Dic 2005, 14:32

Hola a todos,

Tengo un pequeño problemilla con mi ordenador, cuando lo arranco en modo normal se queda bloqueado nada más iniciar la sesión del usuario, si miro el administrador de tareas me doy cuenta que explorer.exe ocupa el 50% de la CPU y que uno de los svchost ocupa el otro 50%. El ordenador no me deja abrir ningún programa y tengo que reiniciarlo.

Si lo inicio en modo a prueba de fallos me pasa lo mismo, lo que he podido hacer hasta ahora es matar el explorer y el svchost y ejecutar programas muy livianos como el notepad. Si ejecuto cualquier otro como el explorer ocupa el 50% de la CPU y no se lanza.

Lo último sospechoso que ví es que se me instaló un "antispyware" llamado "winhoud"

Alguien sabe por qué puede estar pasando esto?

El log del HJT es el siguiente:

Logfile of HijackThis v1.99.0

Scan saved at 14:17:02, on 08/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://messenger.msn.com/Help/Upgrades.aspx?mkt=es

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://127.0.0.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O21 - SSODL: IntegrityChecker - {EF54D152-BB76-4875-B6DE-3ABE78D31B54} - C:\WINDOWS\System32\kd13mlog.nls

O21 - SSODL: IntegrityMonitor - {DC9E0AFF-D4DB-4732-BA3D-96D1C4F2D165} - C:\WINDOWS\System32\dinpli32.dll

O21 - SSODL: MSSQLMonitor - {B4E71634-C960-4F3D-9206-06B74E8CC3D6} - C:\WINDOWS\System32\aclucont.dll

O21 - SSODL: MSTskMgr32 - {AE09A12B-4ECA-4F0F-AD72-58FB46C9AC8B} - C:\WINDOWS\System32\utildcrl.dll

O21 - SSODL: NTDBGTOOL - {95645506-5BE1-4516-BE6C-4F7E56E5016B} - C:\WINDOWS\System32\ds16disk.dll

O21 - SSODL: Address Themes - {F5D2027B-44C1-45FB-8961-51E11723B3E3} - C:\WINDOWS\System32\keybbase.dll

O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BlueSoleil Hid Service - Unknown - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Macromedia Licensing Service - Unknown - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: OracleOraDb10g_home3TNSListener - Unknown - C:\oracle\product\10.1.0\db_3\BIN\TNSLSNR.exe (file missing)

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Gracias por su ayuda

Mensaje por **msc hotline sat** » 08 Dic 2005, 14:47

Debes actualizar el HJT, esta version es antigua- Actualizala desde http://www.hijackthis.de/downloads/hijackthis_199.zip

Aparte, te faltan muchos parches de microfost, todo el paquete de SP2 y los posteriores. Actualiza lanzando un windowsupdate

Del log, hay entradas que debes eliminar, lanzando de nuevo el HJT, seleccionando estas claves y dandoles FIX:

R3 - Default URLSearchHook is missing

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O23 - Service: OracleOraDb10g_home3TNSListener - Unknown - C:\oracle\product\10.1.0\db_3\BIN\TNSLSNR.exe (file missing)

Y Estas debes analizaras a ver si las conoces, sino, eliminalas tambien:

O21 - SSODL: IntegrityChecker - {EF54D152-BB76-4875-B6DE-3ABE78D31B54} - C:\WINDOWS\System32\kd13mlog.nls

O21 - SSODL: IntegrityMonitor - {DC9E0AFF-D4DB-4732-BA3D-96D1C4F2D165} - C:\WINDOWS\System32\dinpli32.dll

O21 - SSODL: MSSQLMonitor - {B4E71634-C960-4F3D-9206-06B74E8CC3D6} - C:\WINDOWS\System32\aclucont.dll

O21 - SSODL: MSTskMgr32 - {AE09A12B-4ECA-4F0F-AD72-58FB46C9AC8B} - C:\WINDOWS\System32\utildcrl.dll

O21 - SSODL: NTDBGTOOL - {95645506-5BE1-4516-BE6C-4F7E56E5016B} - C:\WINDOWS\System32\ds16disk.dll

O21 - SSODL: Address Themes - {F5D2027B-44C1-45FB-8961-51E11723B3E3} - C:\WINDOWS\System32\keybbase.dll

Tras ello, reinicie y cuentenos el resultado, como respuesta de este Tema, gracias

saludos

ms, 8.12.200

daruca6 · Mensaje por **daruca6** » 08 Dic 2005, 15:23

Hola, antes que todo gracias por la velocidad de la respuesta :)

He eliminado las claves que mencionas a excepción de las O10, que dice el HJT que no las puede eliminar y que utilice LSP-fix para borrarlas, lo he hecho y no me ha borrado nada, supongo que estarán bien.

Una vez reiniciado el ordenador sigue sin funcionar nada. El nuevo log del HJT es el siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 15:12:27, on 08/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://messenger.msn.com/Help/Upgrades.aspx?mkt=es

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Mensaje por **msc hotline sat** » 08 Dic 2005, 19:46

Cierto, las 010 deben eliminarse con un antispyware como LPSFIX, SPYBOT, etc, pero claro, arrancando en modo seguro y deshabilitando la restauracion de sistema, pruebalo así.

Pero que no puedas ejecutar nada, no es por esto, ni seguramente es visible en el log del HJT

Sigue los tutoriales de antivirus y antispywares:

https://foros.zonavirus.com/viewtopic.php?t=5370

https://foros.zonavirus.com/viewtopic.php?t=4795

y especialmente prueba además el ELISTARA y lanza tambien el ELIRESTR por si tuvieras claves modificadas por algun virus que hubiera sido eliminado sin restaurar dichas claves:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp

saludos

ms, 8-12-2005