bloqueo de adm. de tareas de windows(procesos)

petazo · Mensaje por **petazo** » 11 Abr 2006, 06:08

hola.. bueno me presento, soy petazo xD

y llegue a este foro tratando de encntrar una respuesta a mi problema, este problema es el siguiente.

tratando de proteger mi pc baje el norton antivirus 2005, debo agregar q no fue de una pagina confiable :P al momento de instalar y ejecutar el norton comenzaron los problemas, aparecieron en el adm. de tareas de windows una serio de programas q se ejecutaba sin yo saberlo y habian otros q se repetian como por ejemplo el svchost.exe q en este mismo instante lo tengo repetido unas 7 veces. y asi tengo muchos mas.

el problema es que pase una seria de prgramas anti spy-ware y nada, y voy a parar la ejecucion de estos "programas" en el mismo adm. de tareas en la parte de procesos, por almenos en el momento q lo usio y me aprece el sig mensaje" la operacion no se pudo terminar---acceso denegado" con cruz roja y todo... y eso nunca me habia pasado.

consecuensias de todo esto.. perdi el control del escritorio, el uso de pf casi sienmpre se mantiene en 800MB lo cual pone exesivamente lento el pc. entre otras cosas.

les debo contar q lei otros post de este mismo foro y me di cuenta q casi siempre les piden algo asi como una descripcion del pc... beuno, la ignorancia me invade... no lo se hacer... asi q si me lo piden, espero saber de donde sacar la informacion para hacer esa operacion.

eso seria... espero una respuesta positiva...porque no quiero formatear sin respaldar.

de antemano gracias.

Mensaje por **msc hotline sat** » 11 Abr 2006, 06:43

De entrada prueba de ejecutar el ELIRESTR.VBS

ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp

y tras ello reinicia y nos cuentas el resultado, gracias

Si no es suficiente, ya te diremos como lanzar el HJT...

saludos

11-4-2006

petazo · Mensaje por **petazo** » 11 Abr 2006, 21:06

segui las indicaciones y nada....

alguna otra sugerencia?

Mensaje por **msc hotline sat** » 12 Abr 2006, 06:57

Pues posteanos el log del HJT:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo te informaremos como respuesta de este Tema

saludos

ms, 12-4-2006

petazo · Mensaje por **petazo** » 12 Abr 2006, 10:27

aki esta lo que pides....

Logfile of HijackThis v1.99.1

Scan saved at 4:30:04, on 12-04-2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\system32\CAP4RSK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4SWK.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\DrWeb\spidernt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\DriverLoad\svchost.exe

C:\DriverLoad\svchost.exe

C:\DriverLoad\svchost.exe

C:\DriverLoad\svchost.exe

C:\DriverLoad\svchost.exe

C:\hijackthis\HijackThis.exe

C:\DriverLoad\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.findthewebsiteyouneed.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [SpIDerNT] C:\ARCHIV~1\DrWeb\spidernt.exe /agent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [DriverLoad] c:\DriverLoad\svchost.exe -dl

O4 - HKCU\..\Run: [DriverCheck] c:\DriverLoad\svchost.exe -dc

O4 - HKCU\..\Run: [SystemDriverLoad] c:\DriverLoad\svchost.exe -sdl

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128571672312

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1619C613-A8A8-4ED7-B46C-A3ADD930B404}: NameServer = 85.255.116.24,85.255.112.84

O17 - HKLM\System\CCS\Services\Tcpip\..\{78F639B2-190E-402F-AA2C-C4D82CDD5BDF}: NameServer = 85.255.116.24,85.255.112.84

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\iixwan.dll (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web Ltd - C:\Archivos de programa\DrWeb\SpiderNT.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

espero sus respuestas

gracias de antemano :)

petazo · Mensaje por **petazo** » 12 Abr 2006, 10:29

una pregunta...... da lo mismo en la secion que haga esto? porque momentaneamente me tuve q hacer una secion paralela a la q ya tenia para poder hacer la limpieza.

otra cosa... hay un antivirus online q siempre pones como recomendado, no lo puedo usar , y no se porque..... si me ayudaras con eso tbn te lo agradeceria mucho.

Mensaje por **msc hotline sat** » 12 Abr 2006, 11:37

Arranca en modo seguro, lanzas el HJT , marca estas clabes y eliminalas con FIX:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.findthewebsiteyouneed.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O4 - HKCU\..\Run: [DriverLoad] c:\DriverLoad\svchost.exe -dl

O4 - HKCU\..\Run: [DriverCheck] c:\DriverLoad\svchost.exe -dc

O4 - HKCU\..\Run: [SystemDriverLoad] c:\DriverLoad\svchost.exe -sdl

O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\iixwan.dll (file missing)

Tras ello muebe a cuarentena este fichero:

C:\DriverLoad\svchost.exe

y si puedes envianoslo a virus@satinfo.es por si tuvieramos que hacer algo mas en el regiustro, fuera de la zona del HJT, ta que este fcihero no es el lanzador de tareas del sistema, que con el mismo nombre está en la carpeta de sistema.

Y tras ello, reinicia y mora si persiste alguna anomalia y nos cuentas el resultado, gracias

saludos

ms, 12-4-2006

Mensaje por **msc hotline sat** » 12 Abr 2006, 11:52

Es conveniente hacer el log en la cuenta de usuario que te dé el problema en cuestion, y sobre el antivirus ONLINE, el aconsejado permite escanear cualquier unidad e incluso limpiar o eliminar, si se dispone de router y se realiza en modo seguro con funciones de red, y ademas es de una forma respetable (CAI) aunque no sea el que nosotros somos mayoristas (McAfee), pero solo estan al otro lado de la calle !!! :lol: :lol: :lol:

Deberian funcionarte todos, a no ser que te faltara algo del sistema operativo o tuvieras desactivados los Active X que algunos necesitan

Prueba dicho ONLINE tras eliminar los bichos que ahora tienes, pues los hay que detienen los procesos antivirus...

saludos

ms, 12-4-2006

petazo · Mensaje por **petazo** » 12 Abr 2006, 19:02

al parecer se acabaron varias cosas, pero aun sigue el blockeo de el administrador de tareas en la parte procesos. voy a poner el HJT de la otra secion, q es esa en realidad la q esta mas mala xDDD

tambien ya les mande al mail lo q me pidieron.

ahora pondre el HJT

Mensaje por **msc hotline sat** » 12 Abr 2006, 19:11

Bien, pues seguimos allí, y en consecuencia cierro este Tema

Solo recuerda que la clave modificada no tiene poeqié estar en dicha zona del HJT, ta que el registro de sistema es inmenso y el HJT solo muestra un 1 % !

saludos

ms, 12-4-2006