EL pc ultimamente me va lento ,sobretodo internet

[Rudolf]

Hola llevo unos días con el ordenador fatigado. Supongo que es porque se me metió hace poco un virus (no recuerdo cual) y después de eliminarlo empezó a ir mal el pc. Le he pasado el Kaspersky 6.0 y el ad-aware y no han detectado nada importante, así que os dejo el log de HJT a ver si veis algo raro:





Logfile of HijackThis v1.99.1

Scan saved at 20:16:39, on 6/2/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Tenable\Nessus\nessusd.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\MindSoft\MindSoft Utilities XP 9\FreeRAM.exe

C:\Archivos de programa\DAP\DAP.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Daniel\CONFIG~1\Temp\Rar$EX00.500\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Archivos de programa\torrent_search\tbtorr.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Archivos de programa\torrent_search\tbtorr.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Archivos de programa\torrent_search\tbtorr.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [MindSoft FreeRAM] C:\Archivos de programa\MindSoft\MindSoft Utilities XP 9\FreeRAM.exe

O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Archivos de programa\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159622112734

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159622088250

O17 - HKLM\System\CCS\Services\Tcpip\..\{EE09F27F-9F1B-4FB2-930B-117F134A8859}: NameServer = 212.145.4.97,212.145.4.98

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: c:\archiv~1\kasper~1\kasper~1.0\adialhk.dll MsgPlusLoader.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Tenable Nessus - Tenable Network Security - C:\Archivos de programa\Tenable\Nessus\nessusd.exe



Gracias, salu2

[MrKogoyo]

Hola, Bienevindo al Foro ¡¡



Yo no soy experto en logs de Hijackthis, asi que esperaremos a que un usuario avansado lo analize y te de el resultado

Pero por mientras pasa esta herramienta en [url=http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp][b]Modo Seguro[/b][/url]:



[b]EliStarA:[/b]

http://www.zonavirus.com/descargas/elistara.asp



Dile a todo que SI, Luego llegaras a la ventana principal del programa, y haz click en Explorar (desactivar anti-virus temporalmente mientras exploras el PC), Explora todas las unidades, Una vez terminado el Proceso. POstea el Contenido del Archivo C:/InfoSat.txt



Coemnta los Resultados



[b]Slds. ¡¡

MrKogoyo[/b]

[MrKogoyo]

Tambien Desinstala el MSN Plus!, porque es fuente de spyware



[b]Slds. ¡¡

MrKogoyo[/b]

[Rudolf]

y eso de elistara qué es?

[Nuker]

ELISTARA es una herramineta de eliminacion.



[b]1-[/b]Elimina esta clave en modo seguro:



O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)



[b]2-[/b]Si tu instalaste este toolbar dejalo pero si no fue asi procede a desinstalarlo:



O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL



O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL



[b]3-[/b]Desinstala el MSN PLUS! ya que no se recomienda por la cantidad de Adwares que puede traer..



Abre los links que te dejare, y guarda las herramientas en tu escritorio, metete en Modo Seguro, y ejecutalas, al terminar el escaneo te crearan un log en Unidad C, con nombre de infoSat.txt, copia contenido y pegalo aqui. Esto claro en modo normal..



Nota: A toda advertencia que te den darle aceptar !!



ELISTARA:



http://www.zonavirus.com/descargas/elistara.asp



ELITRIIP (Otra Herramienta de Eliminacion):



http://www.zonavirus.com/descargas/elitriip.asp

[Rudolf]

bueno ya he hecho lo que me habéis dicho, aquí esta el resultado:





Tue Feb 06 20:51:36 2007

EliStartPage v13.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 06 20:59:16 2007

EliStartPage v13.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 06 20:59:18 2007

EliStartPage v13.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Network Stumbler\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\PhotoRescue Pro\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Total Video Converter\OPTIMIZEGIF.DLL --> Eliminado, KeyLogger.FL

C:\Documents and Settings\Daniel\Escritorio\Batch\Destruir antivirus\ALL REPAIR.EXE --> Eliminado, QuickBatch(dr)

C:\Documents and Settings\Daniel\Escritorio\cosas de wow\kbc\WOW-1.12.0-ENUS-PATCH.EXE --> Eliminado, Hotbar

C:\Documents and Settings\Daniel\Escritorio\cosas de wow\kbc\WOW-1.12.0.5595-TO-1.12.1.5875-ENUS-PATCH.EXE --> Eliminado, Hotbar



Tue Feb 06 21:31:12 2007

EliTriIP v3.13 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\PLUGIN1.DAT --> Eliminado

C:\WINDOWS\SYSPR.PRX --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WINLOGIN.EXE.Muestra EliTriIP v3.13

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINLOGIN.EXE --> Eliminado

[MrKogoyo]

Como vez, te ha eliminado unos cuantos virus



Haz lo que yte indica el log:


[quote]Por favor, envienos una muestra del fichero

C:\Muestras\WINLOGIN.EXE.Muestra EliTriIP v3.13

a "virus@satinfo.es". Gracias.[/quote]

[b]¿COMO ENVIAR?[/b]

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[b]

Slds. ¡¡

MrKogoyo[/b]

[Nuker]

Y comentanos los resultados hasta ahora....

[MrKogoyo]

Debes hacer lo mismo con el EliTriiP, dile a todo que SI, luego llegar a la ventana principal del programa, y darle "EXPLORAR", porque por lo que indica el log, no lo haz echo





[b]Slds. ¡¡

MrKogoyo[/b]

[Rudolf]

Gracias por la ayuda, he reiniciado dos veces el pc y me a arrncado el windows mas rápido, creo que el prinicpal problema era el winlogin, que ya lo habia visto antes pero lei por ahi que no hacia nada asi que lo deje.

El problema que tenia con internet era del firewall que no me habia dado cuenta de que estaba mal configurado.

Gracias de nuevo, salu2

[Rudolf]

si que lo hice con el elitrip lo que pasa esk no me detecto nada

Salu2 :wink:

[MrKogoyo]

Eso no es lo que indica el log...

¿enviaste el archivo que te pedia el log?



[b]Slds. ¡¡

MrKogoyo[/b]

[msc hotline sat]

y elimina esta clave:



O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)



sobre el WINLOGIN.EXE probablemente sea una variante de este gusano:



http://www.vsantivirus.com/randex-e.htm



y de lo que leyó sobre el "winlogin, que ya lo habia visto antes pero lei por ahi que no hacia nada asi que lo deje" ... sin comentarios



mire de enviarnos la muestra que le pedimos, para analizarlo y controlarlo del todo, ya que solo lo hemos puesto fuera de circulacion, pero se deben terminar de eliminar los restos, de lo cual informaremos tras el analisis:



Por favor, envienos una muestra del fichero

C:\Muestras\WINLOGIN.EXE.Muestra EliTriIP v3.13



recuerde: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



saludos



ms, 7-02-2007

[Rudolf]

esto es lo que yo habia leido del winlogin por eso pense que no era nada:

http://support.microsoft.com/kb/90465/es



La verdad esk no me moleste en leer nada mas pero leer lo lei.



No he podido enviar el archivo por que se ha borrado, he activado ver archivos ocultos y no esta, ni tampoco en el modo seguro, ahora lo sigo buscando.

Y lo del elitrip si que lo pase, me dijo que eliminara los archivos temporales del ie y me dijo algo del puerto 445 (creo k era ese).

:?

Salu2

[Rudolf]

Ops no me habia dado cuenta de que se habia quedado en c:\muestras jeje

[msc hotline sat]

Si, lo movimos a C:\muestras para que al reiniciar ya no se pudiera cargar en memoria, provisionalmente hasta su control tras analizar la muestra



Pues envianoslo segun indicaciones:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 7-02-2007

[msc hotline sat]

Recibido y analizado, es un adware porn, pasamos a controlarlo y eliminarlo con la nueva version 13.21 del ELISTARA DE HOY, QUE ESTARÁ DISPONIBLE A PARTIR DE LAS 20 H.



Tras descargarlo y probarlo, nos posteas el contenido de c:\infosat.txt y nos comentas si ha desaparecido el problema, garcias



saludos



ms, 8-02-2007