explorer.exe (SOLUCIONADO)

CHIKkY · Mensaje por **CHIKkY** » 14 May 2007, 23:28

Hola a todos!

Es la segunda vez que vengo x aki por temas de virus.... a ver si me podeis ayudar.

Hace un par de dias que mi pc iba mas lento de lo normal, pero hoy ha sido el boom, he mirado el administrador de tareas y he visto que el proceso explorer.exe utiliza un 99% de la CPU gran parte del tiempo.

Le he pasado el elistara en modo a prueba de fallos (varias veces porque he tenido que reiniciar, os pego todo lo que me ha salido hoy)

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Mon May 14 21:49:40 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 14 21:50:11 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Irene\Escritorio\Pa virus\hijackthis\backups\BACKUP-20070414-175228-657.DLL --> Infectado, JuanSearch(BHO)

Mon May 14 22:07:15 2007

EliTriIP v3.55 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Mon May 14 22:07:25 2007

EliTriIP v3.55 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon May 14 22:11:45 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 14 22:11:56 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Irene\Escritorio\Pa virus\hijackthis\backups\BACKUP-20070414-175228-657.DLL --> Infectado, JuanSearch(BHO)

Mon May 14 22:15:26 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\RECYCLER\S-1-5-21-1644491937-651377827-725345543-1003\DD20.EXE --> Infectado, Puper-Is

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

No sabía si eleminar el archivo infectado en c porque no se lo que es.

El elistip no ha encontrado nada, el spyboot tampoco, también le he pasado el ccleaner.

Y este es mi log de Hijackthis pasado también en modo a prueba de fallos.

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Logfile of HijackThis v1.99.1

Scan saved at 22:22:31, on 14/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Irene\Escritorio\Pa virus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKLM\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKLM\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKLM\..\RunOnce: [nlpo_04] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKLM\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKLM\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://chikky5.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{55FCB2EE-8487-42F0-8F44-04AEFFFFBBBB}: NameServer = 80.58.0.33,195.235.113.3

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: {FCE7420C-99E0-411E-82DB-336B799BD727} - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Player\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Un saludo y 1000 gracias por ayudar a gente como yo

PERDON SI LO DEL HIJACKTHIS NO VA AQUÍ, ES QUE COMO HE PUESTO TODO A LA VEZ.....

Claudia34 · Mensaje por **Claudia34** » 15 May 2007, 00:51

Mientras esperas a ver que te dicen realiza un windows update completo porque te faltan varios parches.

Ademas de eso no te vendria mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

Realiza un escaneo en modo a prueba de fallos con el Spybot-Search and Destroy y con el Adware S.E. los dos obviamente actualizados por completo.

Saludos.

Mensaje por **msc hotline sat** » 15 May 2007, 06:47

Pues envienos este fichero para analizar:

C:\Documents and Settings\Irene\Escritorio\Pa virus\hijackthis\backups\BACKUP-20070414-175228-657.DLL

Y estas claves puedes eliminarlas:

O4 - HKLM\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKLM\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKLM\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKLM\..\RunOnce: [nlpo_04] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKLM\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O4 - HKLM\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSectionEx nlite.inf,U,,4,N

O20 - Winlogon Notify: {FCE7420C-99E0-411E-82DB-336B799BD727} - C:\WINDOWS\

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras ello reinicia y nos cuentas el resultado

saludos

ms, 15-05-2007

CHIKkY · Mensaje por **CHIKkY** » 15 May 2007, 13:13

OK, ya he enviado los log a esa dirección, a ver si me dicen algo...

He eliminado lo que me has dicho, le he pasado un antivirus online que me ha eliminado algunas cosas, pero el problema sigue estando ahí. Creo que es cuando abro una carpeta concreta, pero la he analizado y ningún programa me encuentra nada raro en ella.

elimino lo que me encuentra el elistara???

BACKUP-20070414-175228-657.DLL->JuanSearch(BHO)

¿Qué más puedo hacer?

Mensaje por **msc hotline sat** » 15 May 2007, 13:30

Si, claro, lanza el ELISTARA sin desmarcar el ELIMINAR AUTOMATICAMENTE y procederá con ellos.

Y dices que nos envias los logs ??? SOLO HAS DE ENVIAR LA MUESTRA SOLICITADA:

C:\Documents and Settings\Irene\Escritorio\Pa virus\hijackthis\backups\BACKUP-20070414-175228-657.DLL

Y ESPERAR NOTICIAS

saludos

ms, 15-.05-2007

CHIKkY · Mensaje por **CHIKkY** » 15 May 2007, 13:57

AHH!!!

Lo siento, ya hice lo que me dijiste, envié ese archivo.

Lo he eliminado con el elistara, pero mi problema sigue estando ahí :-(

Alguna sugerencia?

Mensaje por **msc hotline sat** » 15 May 2007, 13:59

Tras eliminar claves y demas indicaciones hasta el momento, posteenos de nuevo el log del HJT actual, gracias

saludos

ms, 15-05-2007

CHIKkY · Mensaje por **CHIKkY** » 15 May 2007, 14:14

Al final las entradas no eran nada malo,

Creo que ya está solucionado, no era un virus ni nada de eso

Estaba haciendo pruebas a ver qué carpeta era la que daba problemas y era una en la que tenía videos, el explorer la tenía como carpeta de videos e intentaba hacer una vista previa o algo así, a si que la he puesto como carpeta de documentos y que cuando los abra se abran con el media player classic. ¿podía ser por eso verdad?

Muchas gracias por las molestias :-D

Mensaje por **msc hotline sat** » 15 May 2007, 14:52

Pues damos el Tema por solucionado y procedemos a cerrarlo

saludos

ms

Mensaje por **msc hotline sat** » 15 May 2007, 17:13

recibida muestra poscierre, sí que tenia virus JuanSearch pero que el ELISTARA actual controla y elimina

solo a titulo de informacion, pues el Tema ya esta solucionado

saludos

ms, 15-05-2007