PC LENTO A LOS CINCO MINUTOS

[IVANELFUERTE]

Hola.

hace unos dias el ordenador me empezo a ir lento.es decir arranco ,todo bien,despues de unos cinco mintuos que hago algo,o navego empieza a ir lento,tambien me esta ultimamente entrando ventanas publicitarias que no doy sacado.os dejo mi log,por si veis algo.

gracias de antemano.

saludos.

Logfile of HijackThis v1.99.1

Scan saved at 16:52:54, on 05/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\ARCHIV~1\SCROLL~1\MouseElf.EXE

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\SCROLL~1\MouseElf.EXE

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [DentFunk] C:\DOCUME~1\User\DATOSD~1\HTMONL~1\Great Open.exe

O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/compaq.v2/vet_install_popup.pl?1&4&04.00.05.04&http://www.smb.compaq.com/html/interactive/1020/model.html?ID=6675

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.tvkoo.com/update/KooPlayer.ocx

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.rav.ro/scan/ravonline.cab

O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-es.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4576/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9D0F74AE-932E-4612-91D0-AF9355B30B9F}: NameServer = 194.224.52.36,194.224.52.37

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ASP.NET State Service (aspnet_state) - Adaptec - (no file)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

[msc hotline sat]

De entrada se ven 7 navegadores Internet Explorer abiertos !!!



Vamos a analizar que aqui hay gato encerrado !

[msc hotline sat]

Bueno pues algo tenemos en esta carpeta que es malware:



C:\DOCUME~1\User\DATOSD~1\HTMONL~1\



envianos todos sus ficheros, para que podamos analizarlos e informaremos



entre ello este que es el especial sospechoso:



C:\DOCUME~1\User\DATOSD~1\HTMONL~1\Great Open.exe







Y por lo demas, elimine estas claves:



O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)



O23 - Service: ASP.NET State Service (aspnet_state) - Adaptec - (no file)





recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334





saludos



ms, 5-03-2007



nota y tras recibir los ficheros, los analizaremos e informaremos



Mientras, renombre el fichero de marras, C:\DOCUME~1\User\DATOSD~1\HTMONL~1\Great Open.exe



a extension .VIR y tras reiniciar vea con el HJT si persisten tan gran numero de navegadores abiertos



ms.

[msc hotline sat]

Recibidos 5 ficheros, 4 EXE son varientes del Swizzor y uno es de datos, inocuo



Los 4 malwares pasan a ser controlados con el ELISTARA 13.47 de hoy, que subiremos a esta web para evaluacion a partor de las 20 h GMT



Tras probarlo y reiniciar, postenos el contenido del C:\infosat.txt





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





saludos



ms, 6-03-2007

[IVANELFUERTE]

Hola.

en principio muchisimas gracias,por vuestra amabilidad y eficiencia.

bueno pues he hecho todo paso por paso.lo que si no he eliminado lo que me ha dicho elistara,simplemente preguntaros primero si los puedo eliminar sin problemas todo lo que ha encontrado elistara,hasta un dll de ahead.

Wed Mar 07 01:58:27 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 07 02:06:46 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Infectado, CyDoor

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\WorldUnlock Codes Calculator\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Scr For Gram Dash\DOWNLOAD FREE.EXE --> Infectado, Swizzor(lop)

C:\Documents and Settings\User\Datos de programa\htm online\GREAT OPEN.VIR --> Infectado, Swizzor(lop)

C:\Documents and Settings\User\Datos de programa\htm online\MEMO PROXY ROAM.EXE --> Infectado, Swizzor(lop)

C:\Documents and Settings\User\Datos de programa\htm online\UPWGTDDW.EXE --> Infectado, Swizzor(lop)

C:\Documents and Settings\User\Datos de programa\htm online\YIQGAGAS.EXE --> Infectado, Swizzor(lop)

C:\Documents and Settings\User\Mis documentos\5-10_XP-2K_DD_CP_WDM_27256.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\5-13_XP-2K_DD_CCC_WDM_ENU_29124.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\5-8_XP-2K_DD_CCC_WDM_ENU_25203.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\AZUREUS_2.3.0.4_WIN32.SETUP.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\FEIDIAN.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\INSTALLSPEEDFAN427.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\INSTALLSPEEDFAN428.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\ISCRIBE-WIN32-V187.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\MATROSKA.PACK.-.LITE.[22-03-2005].EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\MENSAJERIAWEB.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\NV11ESD-NORTON ANTIVIRUS 2005.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\SETUPDVDDECRYPTER_3.5.4.0.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\SLSK156C.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\7 Segundos [RatDvD][[WwW.DiVxReLeAsE.CoM]\RATDVDSETUP-0.76.1408.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\eDonkey2000 Downloads\LAME MP3 ACM CODEC.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\My Pando Packages\PROGRAMAS\CDCHECKSETUP.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\My Pando Packages\PROGRAMAS\SUITESETUP.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\NEW\DVD95COP.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\3B-.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\3B.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\5-8_XP-2K_DD_CP_WDM_25203.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\5-9_XP-2K_DD_CP_WDM_26409.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\BITTORRENT-4.0.4.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\CDCHECKSETUP.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\CONVERTMOVIE.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\EWIDO-SETUP.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\FOTOALBUM-SETUP.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\INSTALLSPEEDFAN427.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\INSTALLSPEEDFAN431-MIDE TEMPERATURAS ,ETC..EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\LIMEWIREWIN.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\MATROSKA.PACK.-.LITE.[22-03-2005].EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\MATROSKASPLITTER.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\MATROSKA_PACK_FULL_V1.1.1.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\MATROSKA_PACK_LITE_V1.1.1.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\MENSAJERIAWEB.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\OGGCODECS_0.71.0946.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\SETUP-AUTOSEND-COMPACT.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\SETUPDVDDECRYPTER_3.5.4.0.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\SFTPDEV.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\SLSK156C.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\ST-SETUP.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\UNLOCKER1.8.4.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\VLC-0.8.2-WIN32.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS\XVID_INSTALL-G6Y7.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS P2P\LIMEWIREWIN.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS P2P\SLSK156C.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS,ETC,PARA EL MOVIL MOTOROLA MPX200\CHESS-OTRO HUEJO DE AJEDREZ.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS,PANDOS,VIDEOS CORTOS\7-2_XP_DD_CCC_WDM_ENU_41238.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\PROGRAMAS,PANDOS,VIDEOS CORTOS\VistaDrivers[1]\VistaDrivers\UIU\A7\IGFXPPH.DLL --> Infectado, NetNucleus (BHO)

C:\Downloads\6-2_XP-2K_DD_CCC_WDM_ENU_30152.EXE --> AutoExtraible

C:\Downloads\SETUP-AUTOSEND-COMPACT.EXE --> AutoExtraible

[msc hotline sat]

Evidentemente en estos que ha encontrado tras implementar su deteccion por la muestra enviada, no parece haber dudas, eliminelos:





C:\Documents and Settings\All Users\Datos de programa\Scr For Gram Dash\DOWNLOAD FREE.EXE --> Infectado, Swizzor(lop)



C:\Documents and Settings\User\Datos de programa\htm online\GREAT OPEN.VIR --> Infectado, Swizzor(lop)



C:\Documents and Settings\User\Datos de programa\htm online\MEMO PROXY ROAM.EXE --> Infectado, Swizzor(lop)



C:\Documents and Settings\User\Datos de programa\htm online\UPWGTDDW.EXE --> Infectado, Swizzor(lop)



C:\Documents and Settings\User\Datos de programa\htm online\YIQGAGAS.EXE --> Infectado, Swizzor(lop)





En este que se detecta contener las cadenas de identificacion del Cydoor, si la aplicacion es voluntaria, puede tratarse de un falso positivo:



C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Infectado, CyDoor



Envienos este fichero como muestra para analizar, indicandonos POSIBLE FALSO POSITIVO DE CYDOOR y lo analizaremos y, si aun conteniendo la rutina de identificacion, no resultara ser vírico, cambiariamos dicha cadena por otra que siguiera identificando igualmente los ficheros infectados, pero no estuviera en este...



recuerde enviarla siguiendo las instrucciones:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



e informaremos, indicando en su caso, la version en la que implementamos dicha mejora, si es el caso, que evidentemente será la siguiente a la recepciondel fichero.



Saludos



ms, 7-03-2007