Se cuelga constantemente (SOLUCIONADO)

fifito69 · Mensaje por **fifito69** » 14 Feb 2007, 20:09

Desde hace un par de meses, el ordenador va muy lento y se cuelga cada 2 por 3.

He arrancado en modo seguro y pasado el Elistara, el Ad-aware y el Spy.Bot (que tuve que volver a instalar porque el Elistara detector y eliminó un fichero del SpyBot).

He hecho un escaneo on line y no me ha detectado ningún virus.

Acabo de ejecutar el Hijackthis con este resultado:

Logfile of HijackThis v1.99.1

Scan saved at 19:05:07, on 14/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

D:\eMule0.47a-StulleMule_v3.3-bin\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Documents and Settings\pp\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Startup: PartMetBackup.lnk = C:\Archivos de programa\Java\jre1.5.0_07\bin\javaw.exe

O4 - Startup: Pinnacle Systems - Studio Family.lnk = C:\Archivos de programa\Pinnacle\Studio PCTV\ERegister\Remind32.exe

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart17.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4815/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CD93CAA4-104A-4BB4-ACE7-2D3A422EABFB}: NameServer = 194.179.1.100,194.179.1.101

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Por favor, darle un vistazo cuando podais.

Muchisimas gracias

Saludos

Mensaje por **msc hotline sat** » 14 Feb 2007, 20:16

Si no usa el Autocad o el Autodesk, elimnice esta clave:

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart17.exe

y envienos el fichero para analizar:

C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart17.exe

recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

y aparte dar un vistazo a este Tema:

https://foros.zonavirus.com/viewtopic.php?f=5&t=11159

saludos

ms, 14-02-2007

Mensaje por **lucl** » 14 Feb 2007, 20:44

Hola, dices en tu post

~~[b]~~y el Spy.Bot (que tuve que volver a instalar porque el Elistara detector y eliminó un fichero del SpyBot). [/b]

de que fichero se trata? no seria este?

C:\Archivos de programa\Spybot - Search & Destroy\BLINDMAN.EXE --> Eliminado, PWS-Lineage

te lo pregunto porque a varios usuarios incluida yo nos lo ha eliminado, al leer tu post mire yo mi spybot lo actualize y al pedir la actualizacion me decia

archivo blindman corrupto

lo he actualizado y en este momento esta analizando, lo estoy probando porque quiero ver si es por ese archivo o que ocurre si es un falso positivo o que, asi los admin y moderadores lo tendran tambien en cuenta, espero tu respuesta gracias, saludos

fifito69 · Mensaje por **fifito69** » 14 Feb 2007, 21:50

El Autocad 2006 llevo utilizandolo mucho tiempo sin problemas, eso si, he instalado el Autocad 2007 hace poco y aún no he empezado a usarlo.

El fichero que comentas no sé si pertenece al 2006 o al 2007.

x lucl

Efectivamente, se trataba del Blindman.exe PSW-lineage.

Cuando lo eliminó el Elistara el Spybot dejó de funcionar.

Deduen · Mensaje por **Deduen** » 15 Feb 2007, 02:39

En la ayuda del Spybot encontré esto.
[quote]
¿Para qué sirve blindman.exe? FAQ #025

Puede que se haya visto un nuevo archivo llamado blindman.exe en la carpeta de Spybot-S&D y se haya preguntado para qué sirve. En pocas palabras: no hace nada.

Supongo que es necesario explicar por qué un archivo que no hace absolutamente nada viene incluido con Spybot-S&D. Spybot-S&D incluye una herramienta para controlar el Inicio del sistema en su sección de Herramientas. Esto incluye la posibilidad de desactivar o activar entradas del grupo de programas de Inicio automático (que se encuentran en el menú Inicio dentro de Programas). Este grupo contiene vínculos a los archivos reales. Windows guarda estos vínculos como archivos con la extensión .lnk. Cuando Windows encuentra un archivo *.lnk en esa carpeta al arrancar, iniciará la aplicación vinculada. En este momento la forma más sencilla de desactivar estas entradas es cambiarle la extensión. La herramienta Inicio del sistema de Spybot-S&D simplemente cambia la extensión de .lnk a .disabled. Esto es una forma sencilla de evitar que la aplicación vinculada sea ejecutada. Sin embargo, como Windows no conoce esta extensión, eso podría ralentizar el proceso de inicio del sistema. Por tanto Spybot-S&D enlace esa aplicación con blindman.exe. Ahora Windows intentará ejecutar el archivo .disabled con blindman.exe y, como blindman no hace absolutamente nada, no habrá ralentización alguna en el inicio del sistema.

Puede que algunas personas piensen que blindman.exe es un programa espía. Para ellos les mostraré el código fuente en Delphi de blindman.dpr aquí:

(El archivo de recursos incluido esblindman.res y sólo contiene el icono)

program blindman;

{$R *.res}

begin

end.

Cualquier que sepa un poco de programación debería ver que este programa es totalmente inofensivo.

[/quote]

Por lo que yo he decidido no actualizarlo ni repararlo.

Mensaje por **msc hotline sat** » 15 Feb 2007, 05:43

Lo que nos dice de:

"Efectivamente, se trataba del Blindman.exe PSW-lineage.

Cuando lo eliminó el Elistara el Spybot dejó de funcionar."

Si no le va el Spybot desde entonces, por favor, reinstalelo y pruebe el ELISTARA desactivando la casilla de "eliminar automaticamente" situada en la parte inferior izquierda de la ventana principal, donde hay el boton de EXPLORAR

Si le detecta de nuevo el indicado fichero, envienoslo como muestra indicando que es un falso positivo y tras analizarlo buscaremos otra cadena de deteccion para el malware que no esté contenida en dicho fichero para que no suceda en proximas versiones

recuerde: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

Pero por lo que respecta al problema de los cuelgues, diganos si ha visto algo relativo a lo que se indica en el Tema de las "7 causas mas probables de reinicios y cuelgues" que le indicaba en mi primer post en este Tema, gracias.

saludos

ms,15-02-2007

fifito69 · Mensaje por **fifito69** » 15 Feb 2007, 07:57

He probado las 7 causas problables de los cuelges y mi caso no estça incluido en ellas.

Estoy pasando eñ Kaspersky on line (lleva 11 horas con el 40% del dico duro). De momento pone virus found 2 y 3 files infected, pero no especifica cúales.

Postearé resultados cuando termine de pasar el antivirus.

saludos

Mensaje por **msc hotline sat** » 15 Feb 2007, 08:08

Pues extrapolando un poco, despues de cenar, sobre las 11 de la noche, ya habrá terminado !

Dios, pero qué tienes ???

Es que si realmente es algo virico, convenia haber arrancado en modo seguro para hacer el escaneo, no hubiera estado el bicho en memoria y hubiera ido mas rápido ademas de que windows no hubiera impedido su eliminacion, mientras que si es en modo normal, si está en uso, no lo va a permitir...

Bueno, ya nos contarás...

saludos

ms, 15-02-2007

Mensaje por **lucl** » 15 Feb 2007, 09:24

y sobre el spybot y el blindman exe he de deciros que ayer lo pase como os comentaba y a mi si me hizo el analisis, es mas me encontro un sagataurus de esos y me lo limpio y a mi el elistara tambien me lo quito, lo unico que me aparece al darle a actualizar el spybot es esto

La aplicacion externa Blindman esta corrupta

Please use the update function to get it again

y me lo actualiza normal y funciono. Esto habra que estudiarlo no? saludos.

Mensaje por **msc hotline sat** » 15 Feb 2007, 10:59

Solo hay que ver si el ELISTARA actual lo detecta como malo (desactivando el eliminar automaticamente, para que no lo elimine), y si es asi, enviarnoslo

saludos

ms, 15-02-2007

fifito69 · Mensaje por **fifito69** » 15 Feb 2007, 12:58

Creo que seguiré tu consejo y cuando vuelva a casa esta tarde,

reiniciaré en modo seguro y pasaré el Kaspersky para que tarde menos.

Ya os comentaré.

saludos

Mensaje por **msc hotline sat** » 15 Feb 2007, 13:12

Bien pensado, pues aunque detectaras virus, asi igual no podrias eliminarlo, por estar en uso.

Y aparte de arrancar en modo seguro, puestos a hilar fino, desactiva ademas la restauracion de sistema:

http://www.zonavirus.com/datos/articulos/63/Deshabilitar_Restaurar_Sistema_Windows_XP.asp

saludos

ms, 15-02-2007

fifito69 · Mensaje por **fifito69** » 16 Feb 2007, 08:26

Este es el resultado del escaneo ON LINE :

KASPERSKY ONLINE SCANNER REPORT

Thursday, February 15, 2007 2:22:05 PM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.83.0

Kaspersky Anti-Virus database last update: 14/02/2007

Kaspersky Anti-Virus database records: 252958

Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true

Scan Target My Computer

A:\

C:\

D:\

E:\

F:\

G:\

Scan Statistics

Total number of scanned objects 60244

Number of viruses found 2

Number of infected objects 3 / 0

Number of suspicious objects 0

Duration of the scan process 15:44:37

Infected Object Name Virus Name Last Action

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-02-12.15-30-18.log Object is locked skipped

C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked skipped

C:\Archivos de programa\ESET\infected\4YQDCJAA.NQF Infected: Backdoor.Win32.Rbot.aym skipped

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked skipped

C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\pp\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\pp\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\pp\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\pp\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\pp\Configuración local\Historial\History.IE5\MSHist012007021420070215\index.dat Object is locked skipped

C:\Documents and Settings\pp\Configuración local\Temp\IMG6EF.tmp Object is locked skipped

C:\Documents and Settings\pp\Configuración local\Temp\Perflib_Perfdata_d40.dat Object is locked skipped

C:\Documents and Settings\pp\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\pp\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\pp\NTUSER.DAT.LOG Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\ODiag.evt Object is locked skipped

C:\WINDOWS\system32\config\OSession.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped

C:\WINDOWS\system32\drivers\sptd2637.sys Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

D:\eMule0.47a-StulleMule_v3.3-bin\Incoming\Foxit PDF Editor & Reader Pro v1.4.0.1231 incl patch-Snd by ChingLiu updated-fixed 10-2006.rar/setup.exe Infected: P2P-Worm.Win32.Kapucen.b skipped

D:\eMule0.47a-StulleMule_v3.3-bin\Incoming\Foxit PDF Editor & Reader Pro v1.4.0.1231 incl patch-Snd by ChingLiu updated-fixed 10-2006.rar RAR: infected - 1 skipped

D:\Risk\[PC GAME MULTILANGUAGE] Europa Casino - Free games for play with money or just for fun.exe Object is locked skipped

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

D:\Temp\001.part Object is locked skipped

D:\Temp\002.part Object is locked skipped

D:\Temp\003.part Object is locked skipped

D:\Temp\004.part Object is locked skipped

D:\Temp\005.part Object is locked skipped

D:\Temp\006.part Object is locked skipped

D:\Temp\007.part Object is locked skipped

D:\Temp\008.part Object is locked skipped

D:\Temp\010.part Object is locked skipped

D:\Temp\011.part Object is locked skipped

D:\Temp\012.part Object is locked skipped

D:\Temp\013.part Object is locked skipped

D:\Temp\014.part Object is locked skipped

G:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.

~~[b]~~ACCIONES[/b]

1º He desinstalado el NOD32

2º He instalado el Panda 2007

3º He borrado los dos ficheros que figuran con virus.

4º He arrancado en modo seguro y pasado el Elistara (no encontró nada), el Panda (elimino 2 virus) y el Spybot (eliminó algo).

He arrancado en modo normal y sigue colgandose, aunque parece que menos.

¿Cómo continuo?

saludos

Mensaje por **msc hotline sat** » 16 Feb 2007, 08:43

Pues envianos estos ficheros y los analizaremos y veremos como eleiminarlos:

C:\Archivos de programa\ESET\infected\4YQDCJAA.NQF

D:\eMule0.47a-StulleMule_v3.3-bin\Incoming\Foxit PDF Editor & Reader Pro v1.4.0.1231 incl patch-Snd by ChingLiu updated-fixed 10-2006.rar/setup.exe

D:\eMule0.47a-StulleMule_v3.3-bin\Incoming\Foxit PDF Editor & Reader Pro v1.4.0.1231 incl patch-Snd by ChingLiu updated-fixed 10-2006.rar/setup.exe

recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 16-02-2007

Pero veo que luego dices que los has eliminado... Si no los puedes enviar, no ppodremos analizarlos, dinoslo en tal caso para poder cerrar el Tema. ms.

Mensaje por **lucl** » 16 Feb 2007, 08:56

prueba una cosa, desinstala el emule y sobre todo el alcohol 120, y haz de nuevo revision general y a ver que te sale y sobre todo si te mejora el pc, no perdemos nada por probar no? saludos.

fifito69 · Mensaje por **fifito69** » 16 Feb 2007, 08:59

Gracias lucl

La verdad es que estaba a punto de hacerlo, aunque el emule me da pena (llevo 2 años con esta versión sin problemas). El Alcohol lo instalé hace muy poco para grabar una imagen que no podia con Nero.

Me voy al cuuro, luego lo haré.

Gracias de nuevo.

saludos

Mensaje por **lucl** » 16 Feb 2007, 09:04

los pcs son muy caprichosos, el mio el que mas, y a veces nos la lian por que si, y la mula ya sabes lo que conlleva, bichos, bichos ah y tambien bichos :lol: , el alcohol120 te puede ralentizar mucho el pc y crear conflictos que ni sospechas!! que yo no digo que no sean buenos los programas o no, guardatelo en un pc, si es legal , si estaba craqueado y te lo bajaste de la mula pos... vete tu a saber lo que puede tener. pero siempre puedes volver a conseguirlos , no crees? ya nos contaras, saludos.

fifito69 · Mensaje por **fifito69** » 16 Feb 2007, 17:06

El alcohol lo he desinstalado sin problemas, pero la mula no tiene ningún "uninstall". ¿que hago?, ¿borro la carpeta?

saludos

Nuker · Mensaje por **Nuker** » 16 Feb 2007, 18:42

Prueba asi:

Inicio/Todos los programas/Emule/Uninstall

fifito69 · Mensaje por **fifito69** » 16 Feb 2007, 23:32

El emule no esta en el inicio.

Esta en una carpeta en el disco D

saludos

fifito69 · Mensaje por **fifito69** » 17 Feb 2007, 09:39

Os comento los avances:

- He desinstalado el Autocad 2007

- He desinstalado el Office 2007

- He borrado la carpeta RISK (Karpersky decia que tenia un trojano)

El ordenador continua lento (no como antes).

Aquí os pego un nuevo log del Hijackthis para ver si me asesorais en como continuar.

Logfile of HijackThis v1.99.1

Scan saved at 8:40:23, on 17/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE

c:\archivos de programa\panda software\panda internet security 2007\WebProxy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AVENGINE.EXE

E:\autorun.exe

E:\AutoPlay\Docs\OFFICE11\autorun.exe

E:\AutoPlay\Docs\OFFICE11\OFFICE\SETUP.EXE

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\pp\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\Inicio.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Startup: Pinnacle Systems - Studio Family.lnk = C:\Archivos de programa\Pinnacle\Studio PCTV\ERegister\Remind32.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4964/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CD93CAA4-104A-4BB4-ACE7-2D3A422EABFB}: NameServer = 194.179.1.100,194.179.1.101

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe

Muchas gracias por la ayuda y paciencia que teneis.

saludos

Mensaje por **msc hotline sat** » 17 Feb 2007, 09:46

Dice:

"- He borrado la carpeta RISK (Karpersky decia que tenia un trojano)"

Ojo con el Kaspersky donde hay Panda !!! podría ser la causa de la ralentizacion-

Ni siquiera conviene tenerlo instalado aunque desactivado ! O uno u otro, pero los dos no!!!

Desinstale el Panda si quiere usar el Kaspersky, o al reves, pero TOTALMENTE.

saludos

ms, 17-02-2007

fifito69 · Mensaje por **fifito69** » 17 Feb 2007, 11:05

El Kaspersky que uso es on line, no está instalado en mi pc.

Solamente uso el Panda desde ayer (tenia el NOD32 con un virus) y lo desinstalé.

saludos

Mensaje por **msc hotline sat** » 17 Feb 2007, 11:22

Y antes de tener el virus , del que no nos dices su nombre, y puede ser importante, te pasaba con el NOD32 ???

Tras indicarnos el nombre del virus que "eliminastes", quizas no totalmente, y sabiendo si te pasaba antes de tener dicho virus, cuando usabas NOD32, seguiremos, bien eliminando restos, bien desinstalando Panda...

saludos

ms, 17-02-2007

fifito69 · Mensaje por **fifito69** » 17 Feb 2007, 11:34

El virús me lo detectó el Kaspersky "on line"

~~[b]~~C:\Archivos de programa\ESET\infected\4YQDCJAA.NQF Infected: Backdoor.Win32.Rbot.aym skipped[/b]

Por eso tomé la determinación de desinstalar el NOD32

Anoche arranqué en modo seguro y el Elistara, el Ad-Aware y el SpyBot no detectaron nada, el Kaspersky me detectó un troyano solamente en la carpeta RISK (que eliminé).

saludos

Mensaje por **msc hotline sat** » 17 Feb 2007, 11:47

Si pero y las claves y los restos ...

No se deben eliminar los virus simplemente eliminando los ficheros !!! Hay que restaurar las claves y demas modificaciones que hubieran hecho !

Siempre enviar la muestra y asi podemos monitorizarlo, ver lo que hace y hacemos la utilidad que lo deshaga, pero si ya eliminaste la muestra, poco podemos hacer

saludos

ms, 17-02-2007

fifito69 · Mensaje por **fifito69** » 17 Feb 2007, 13:13

Si hedesinstalado el programa y borrado las claves ¿cómo sigo?

Aparte de volver a arrancar en modo seguro y pasarle algún antivirus on line.

saludos

Mensaje por **msc hotline sat** » 18 Feb 2007, 21:10

No podrás si no lo haces con funciones de red.

Hazlo asi y nos comentas el resultado, pero si persiste la lentitud, prueba de desinstalar el Panda y prueba sin él, luego si quieres ya lo volveras a instalar, este u otro...

saludos

ms, 18.02.2007

fifito69 · Mensaje por **fifito69** » 19 Feb 2007, 20:07

[color=red]No podrás si no lo haces con funciones de red. [/color]

¿Cómo se hace con funciones de red?, es la primera vez que me encuentro en esta situación.

Te recuerdo que el Panda lo instalé después de desinstalar el NOD32 para tener un antivirus.

saludos

Nuker · Mensaje por **Nuker** » 19 Feb 2007, 20:12

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Aqui le explican como...

Es exactamente igual que entrar en modo seguro solo que escoje con funciones de red...