Se reinicia solo

[ALF1966]

El ordenador se reinicia solo.

Otra cosa: como puedo desinstalar la versión anterior del messenger msn que tengo?

Creo que está dando problemas.

Gracias y un saludo.

Aqui va el log:



Logfile of HijackThis v1.99.1

Scan saved at 12:22:22, on 13/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\Mar\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.acb.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [VoipStunt] "C:\Archivos de programa\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

[msc hotline sat]

Eliminar estas claves:



O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)



O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\



En cuanto al MSN, si bien podrian eliminarse manualmente las claves que aparecieran en el HJT al respecto y los ficheros correspondientes, lo adecuiado es desinstalarlo desde Panel de Control -> Agregar o quitar programas, ya que el log del HJT no muestra todas las claves del registro ni mucho menos



saludos



ms, 13-12-2006

[ALF1966]

03 barra yahoo, eliminada.

la otra clave, la elimino y vuelve a salir .

[msc hotline sat]

Si mostrara el fichero seria cuestion de detenerlo con el admisniutrador de tareas, y asi poder eliminarla, pero no dice cual es...



Mira en el administrador de tareas si ves algo raro y lo detienes y luego eliminas la clave



saludos



ms, 13-12-2006

[ALF1966]

En el adm de tareas , lo que aparece es "Slserv.exe" , en System, con 204 KB.

¿Que hago?

[ALF1966]

detuve eso y desapareció del panel del adm de tareas.

Elimino la clave pero vuelve a aparecer.

[msc hotline sat]

No, el SLSERV mas bien es un driver del modem smartlink...:



http://www.auditmypc.com/process/slserv.asp



Imagino que tiene el registro corrupto, pues esta entrada no es normal, pero no necesariamente virica.



Pruebe optimizar el registro con esta utilidad:



[b]DESFRAGMENTACION Y OPTIMIZACION DEL REGISTRO DE SISTEMA[/b]



[url=http://www.zonavirus.com/datos/descargas/260/registry-workshop.asp][b]Registry Workshop[/b][/url]



saludos



ms, 13-12-2006

[ALF1966]

Hice la desfragmenatción.

la optimizacion no la encuentro.

[ALF1966]

¿Y como puedo recuperar lo que eliminé, el slserve?

[msc hotline sat]

La cuestion es que la clave a eliminar, supuestamente corupta, y el slserve no tienen nada que ver, y lo has detenido porque te ha parecido, pero espero que no eliminado ... (es que no hemos hablado de ello mas que para decir que era un driver de modem, nada necesariamente virico) Si la hubieras borrado mira de recuoerarla de la papelera !



saludos



ms, 13-12-2006

[ALF1966]

Lo sé , el error fue mio al eliminar esa clave.

no, ya vacié la papelera.

¿existe alguna otra forma de recuperarla?

[msc hotline sat]

Hablas de la clave o del fichero ???



Las claves borradas con el HJT se pueden recuperar con el UNFIX



Los ficheros que ya no estan en la papelera... Existen recuperadores de ficheros borrados en http://www.ntfs.com pero solo si no se ha usado de nuevo el espacio liberado por dichos ficheros borrados, lo cual no es nada probable ..



Ya nos contarás



saludos



ms, 14-12-2006

[ALF1966]

Bien, comprendido.

He pasado el ad aware y el problema está en unas cookies, las elimino y vuelven a aparecer:por ejemplo, atdmt.com

lo he hecho desactivando Restaurar sistema, pero cada vez que se reinicia, el problema reaparece.

[ALF1966]

Localizados: "ademails " y Atlas DMT.

[msc hotline sat]

Olvidese de las cookies, no son rutinas viricas ni infecciosas. sino datos de navegacion y demas.



Las puede borrar junto con los ficheros temporales de internet. desde Herramientas del navegador., pero cuando vuelva a navegar, las volvera a crear, como ha podido comprobar



No creo que eso le afecte.



saludos



ms, 14-12-2006

[ALF1966]

He pasado el Spybot, al ad aware, Elistara, todo en modo seguro y hasta ahora nada.

Pandasoftware me había informado de dos spyware, ademails y Atlas DMT.

Este es el nuevo log del HJT:



Logfile of HijackThis v1.99.1

Scan saved at 15:28:44, on 14/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\Mar\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.acb.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [VoipStunt] "C:\Archivos de programa\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166009381343

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe



Estoy desesperado, muchas gracias.

[ALF1966]

EVEREST:

Campo Valor

Propiedades del sensor

Tipo de sensor VIA 686 Internal (ISA 6000h)



Temperaturas

Placa base 27 °C (81 °F)

Procesador 34 °C (93 °F)

Aux 22 °C (72 °F)

Seagate ST340810A 41 °C (106 °F)



Ventiladores

Procesador 4821 RPM



Valores de voltaje

Núcleo CPU 1.65 V

+2.5 V 2.44 V

+3.3 V 3.26 V

+5 V 4.93 V

+12 V 11.63 V

Debug Info F 8C 00

Debug Info T 7F 9A 8B

Debug Info V 8A CD CD C7 C2

[ALF1966]

Tengo: Trojan dropper Win32.agent.ano en : Windows - system 32 - dllcache - calc.exe

Y en: calc.exe

Además, un analisis de ashampoo me da una cantidad de Trace.Registry.Ares

¿Que hago?

[msc hotline sat]

Pues envianoslo (ya sabes como) u lo analizaremos:



Tengo: Trojan dropper Win32.agent.ano en : Windows - system 32 - dllcache - calc.exe

Y en: calc.exe



____________



Temeratura y tensiones correctas.



____________





Paso a analizar el log:



elimina estas claves:



O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)



O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)





saludos



ms, 16-12-2006

[ALF1966]

Pues bien, ya eliminé esas claves.

El uso de cpu se va al 100% muy seguido, ¿tendrá que ver eso con que se reinicie solo?

[msc hotline sat]

A ver, dices que:



"Tengo: Trojan dropper Win32.agent.ano en : Windows - system 32 - dllcache - calc.exe "



y el que nos has enviado en el CACLS.EXE de Microsoft ! NO ES EL MISMO !!!



Envianos el de marras, que seguramemte es el culpable de todo



y sobre todo que sea el de esta ruta:



Windows\system32\dllcache\calc.exe



saludos



ms, 18-12-2006