Cafetera lentísima (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
Duma
Mensajes: 2
Registrado: 20 Oct 2006, 17:30

Cafetera lentísima (SOLUCIONADO)

Mensaje por Duma » 20 Oct 2006, 17:42

Hola a todos y saludos de auto-bienvenida.



Llegué aquí buscando información sobre un par de bicharracos porfiados que no he podido exterminar. Son ésos que aparecen como csrss.exe y smss.exe.



Hace pocos días formateamos la cafetera (es decir, el computador...pero estamos probando si arruinándole el ego se le quita lo porfiado). Se había llenado de virus de un día para otro, de la nada (curiosamente los dos computadores de la casa se infestaron justo cuando no pagamos la cuenta de Internet) y murió rotundamente.



Ahora está poniéndose lento de nuevo (bueno, nunca ha sido un bólido que digamos...). Si intento instalar un antivirus (Panda, Kaspersky, NOD32, Norton...) este tarro colapsa. Así que por ahora sobrevive con el antivirus de ZoneAlarm SecuritySuite.



Lo bueno del ZoneAlarm es que ha mantenido a raya a smss y csrss...o al menos eso creo.



Aquí les va el log de Hiloquesea:



Logfile of HijackThis v1.99.1

Scan saved at 12:16:41, on 20/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\WINDOWS\System32\ZoneLabs\isafe.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Mis documentos\temp\Antivirus y antispyware\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\Archivos de programa\Uniblue\Registry Booster\RegistryBooster.exe /S

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161132940467

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4876/mcfscan.cab

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Arriba
Sergio_Rz06
Mensajes: 3
Registrado: 30 Sep 2006, 13:17

Mensaje por Sergio_Rz06 » 20 Oct 2006, 18:29

Hola!!!



El smss.exe

es llamado el SubSistema Administrador de Sesiones y es el responsable de manejar las sesiones de usuario en el equipo. Solo Windows NT4/2000/XP. Es un proceso de Windows,no se conecta a internet y debes comprobar que se encuentra en C:\WINDOWS\system32\smss.exe en el XP



El csrss.exe

CSRSS es el Client Server Runtime SubSystem. CSRSS se inicia por SMSS. Cuando una aplicacion hace una llamada al API Win32, este usa CSRSS el cual la comunica con el nucleo del sistema operativo para ejecutar el API. Este proceso no se conecta a internet

Mira que este en c:\windows\system32 [para winxp] y c:\winnt\system32\ [para win 200] si no se encuentran en estas carpetas pueden ser virus o troyanos





Saludos
Arriba
Duma
Mensajes: 2
Registrado: 20 Oct 2006, 17:30

Mensaje por Duma » 20 Oct 2006, 19:42

Gracias.

Encontré en este foro EliStarA, EliTempo y EliTriIp, los corrí y eliminaron varias mugres.



Lo malo es que me sale a cada rato "Memoria virtual demasiado baja". No sé por qué, si no tengo muchas aplicaciones abiertas ni nada por el estilo.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 20 Oct 2006, 20:00

Lo de la memoria virtual puede ser por poco espacio libre en el disco duro, Vea que tenga 3 GB por lo menos y con eso y 512 MB o 1 GB de RAM nmo tendra problemas



Y sobre los ficheros mencionados, claro que los de sistema asi llamados son lo indicado, pero muchos virus (tebemos mas de 110 variantes del Backdoor CMQ usan un SMSS.EXE que ni es lo que parece sino un gusano, y lo diferenciamos facilmente porque se copia en SYSTEM, no en SYSTEM32 como el original:



http://www.bleepingcomputer.com/startups/smss.exe-10829.html





y similar caso con el otro CSRSS.EXE. qiue su está en WINDOWS o en otra carpeta que no sea la de SYSTEM32 no es el del sistema... por ejemplo:



http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=126644



Tenedlo en cuenta



y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 20-10-2006
Arriba
Cerrado

Volver a “Foro HijackThis - copia y pega tu log”