Fenómenos extraños (SOLUCIONADO)

JRA · Mensaje por **JRA** » 14 Feb 2006, 08:32

Buenos días.

Ayer no pude conectarme a Internet, no aparece el modem en el panel de control, no puedo reinstalarlo y además el ordenador se cuelga, va lento y veo procesos raros en el administrador de tareas. He pasado el hijackthis y os pego el resultado para ver si detectáis algo raro. Gracias anticipadas.

Logfile of HijackThis v1.97.7

Scan saved at 18:46:09, on 13/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe

C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\eDonkey2000\eDonkey2000.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\adiras.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe

C:\Archivos de programa\Wanadoo\USB ADSL Modem\DSLMON.EXE

C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

C:\WINDOWS\system32\dwwin.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Jose y Marián.CASA-L1OZ8CKM0S\Mis documentos\Software\Desinfeccion\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [diagent] "C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe" startup

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [hpppta] C:\Archivos de programa\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [eDonkey2000] "C:\Archivos de programa\eDonkey2000\eDonkey2000.exe" -t

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Jreg] "C:\Program Files\Common Files\Java\Jreg2b.exe"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\Wanadoo\USB ADSL Modem\DSLMON.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Mensaje por **msc hotline sat** » 14 Feb 2006, 10:13

Ahorra te lo miro, pero actualiza el HJT y peganos nuevo log, ya que esta version es obsoleta y no muestra muchas claves actualmente impportamtes:

http://www.hijackthis.de/downloads/hijackthis_199.zip

saludos

ms 14-2-2006

Mensaje por **msc hotline sat** » 14 Feb 2006, 10:27

Y esta clave carga un adware: Eliminala :

O4 - HKLM\..\Run: [Jreg] \"C:\Program Files\Common Files\Java\Jreg2b.exe\"

Aparte esta otyra es sospechosa:

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

Mira si la conoces y obra en consecuencia

Y cuando postees el nuevo log, miraremos los 7 grupòs que faltan

saludos

ms, 14-2-2006

JRA · Mensaje por **JRA** » 14 Feb 2006, 13:47

Muchas gracias por la rapidez en contestar. Eliminaré lo que me sugieres y volveré a pasar la nueva versión del HJT y mañana te lo postearé porque el problema lo tengo en el ordenador de casa y ahora estoy en el curro.

Un saludo.

Mensaje por **msc hotline sat** » 14 Feb 2006, 14:50

Lo importante no es que postees nuevo log, sino que nos digas si persisten o no las anomaliasm gracias

saludos

ms, 14-2-2006

JRA · Mensaje por **JRA** » 15 Feb 2006, 08:10

Buenos días.

Aver, ayer borré las líneas de registro que me sugeriste, pero el ordenador sigue haciendo cosas muy raras: nada más terminar de cargar windows xp sale ventana de "Generic Host Process for Win32 Services ha detectado un error y debe cerrarse". Le digo no enviar y sigo. Intento cargar el CD de instalación del modem y no puedo terminarla porque se abre una ventana de un programa llamado "adiras.exe" que me dice algo de un error y no termina la instalación.

He pasado la nueva versión del HJT. Aquí tienes. Gracias por todo. Saludos.

Logfile of HijackThis v1.99.1

Scan saved at 21:45:57, on 14/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\eDonkey2000\eDonkey2000.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\adiras.exe

C:\Archivos de programa\Wanadoo\USB ADSL Modem\DSLMON.EXE

C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe

C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

C:\WINDOWS\system32\dwwin.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\dwwin.exe

C:\Documents and Settings\Jose y Marián.CASA-L1OZ8CKM0S\Mis documentos\Software\Desinfeccion\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [diagent] "C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe" startup

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [hpppta] C:\Archivos de programa\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [eDonkey2000] "C:\Archivos de programa\eDonkey2000\eDonkey2000.exe" -t

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\Wanadoo\USB ADSL Modem\DSLMON.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: McShield - Unknown owner - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 15 Feb 2006, 08:28

El ADIRAS.EXE forma parte de la instalacion del modem por USB

En todo casp, si esta dañado, desinstalar la aplicacopm y volverla a instyalar.

Si persiste el problema, proceder a REPARAR Windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos

ms, 15-2-2006

NOTA_: el kog del HJT está limpio. ms.

JRA · Mensaje por **JRA** » 15 Feb 2006, 08:45

De acuerdo, intentaré la reparación de windows porque lo de desinstalar la aplicación y volverla a instalar ya lo he hecho y no me deja finalizarla.

De todas formas sospecho que algo debe haber por ahí porque otra cosa que ocurre por ejemplo es que la barra de herramientas pasa de ser color azul con bordes redondeados a gris y cuadrado estilo win98 y luego vuelve a ser estilo xp (va cambiando según ejecuto alguna aplicación).

Mañana te comento como me ha ido.

Gracias y un saludo.

Mensaje por **msc hotline sat** » 15 Feb 2006, 10:18

Al respecto ver este articulo:

[quote="Ware"]
ErrorSafe y webstats4u

Por WARE el 8 Febrero, 2006 - 12:56

Hoy descubrimos que el contador de estadísticas públicas webstats4u estaba creando un pop-up que promovía (por medio de un texto engañoso) la descarga del software ErrorSafe. ErrorSafe es un supuesto programa para limpiar y detectar problemas en el registro, pero al parecer se trata de Spyware/Adware. Por este motivo resolvimos remover inmediatamente el botón de webstats4u, que no volverá a aparecer jamás en nuestro sitio.

Si alguien llegó a descargar este malware le pedimos disculpas.

Para removerlo pueden usar el soft Spybot S+D que, a partir de la actualización del 6/1/2006 lo detecta y elimina del sistema. La url de Spybot es:

http://www.safer-networking.org/es/index.html

--------------------------------------------------------------------------------

WARE no se responsabiliza por los servicios, productos o promociones realizados por sus anunciantes. Las opiniones y comentarios de nuestros usuarios son pura y exclusiva responsabilidad de ellos mismos. Todos los contenidos de esta web pueden ser reproducidos total o parcialmente con la sola mención de la fuente.
[/quote]

Por si acaso, bajar el SPYBOT., ACTUALIZARLO Y ARRANCANDO EN MODO SEGURO, LANZARLO Y ELIMINAR LO QUE DETECTE !!!

saludos

ms, 15-2-2006[/code]

JRA · Mensaje por **JRA** » 16 Feb 2006, 07:59

Buenos días msc.

Ayer pasé el spybot y el ad-aware en modo seguro y no detectaron ninguno nada.

Por otro lado, intenté reparar con el disco de instalación de winxp, pero no vi la opción de reparar en el primer menu que sale, solo la de instalar y aunque me metí en esa, me sale un aviso de que la versión que tengo instalada es posterior a la del disco y ahí me paré porque no sabía qué hacer (por no perder todo lo que ya tengo).

Por otro lado, de manera casual, intentando desinstalar el modem desde panel de control-agregar o quitar programas, vi que el edonkey ocupaba ¡¡1336,00 MB!! A continuació fui a buscar la carpeta de edonkey y en propiedades vi que ocupaba unas 4 MB.

No entiendo nada, ¿y tu?

Gracias por todo. Un saludo.

Mensaje por **msc hotline sat** » 16 Feb 2006, 10:16

Bien hecho el parar cuando hay una duda !!!

Debes usar el CD de instalacion de la misma version que tienes instalada no otra !!!

Y lo del edonkey igual de una manera te imdica 11 Gb de carpetas que tienes compartidas por él y de la otra el tamaño de la carpeta de la aplicacopm `rpoòiamnete docha, pero nmo lo sé porque no lo uso (ni nigun otro P2P !!!)

saludos

ms, 16-2-2006

JRA · Mensaje por **JRA** » 16 Feb 2006, 10:36

Hola de nuevo.

El cd de instalación que tengo es el original que venía al comprar el ordenador. ¿Puede ser que debido a las actualizaciones detecte una versión más avanzada?¿Qué me sugieres que haga?

Ayer intenté de nuevo desinstalar el modem y el famoso adiras.exe no me deja, y cada dos por tres sale lo de Generic Host Process for win32 ha detectado un problema, etc,etc.

¿será el formateo la única solución?

Y respecto al edonkey, la única carpeta compartida está vacía, lo moví todo a otra carpeta en mis documentos, es eso lo que me extraña, lo de las 11GB es imposible.

Gracias y un saludo.

Mensaje por **msc hotline sat** » 16 Feb 2006, 14:46

Sobre el edonkey ya te he indicado que no lo uso y mas bien desaconsejo los P2P por las entradas de virus que ocasonan

Y los parches no afectan, mas bien no le instalaronm la version que le dieron en CD

Hable con los que le instalaron el sistema y aclarelo, porque sino no podrá REPARAR nunca !

saludos

ms, 16-2-2006

JRA · Mensaje por **JRA** » 17 Feb 2006, 12:57

Buenos días.

Dado que el tema parece claro que no va por derroteros de virus o prgramas espías y a la espera de poder reparar windowsxp, si te parece, msc, podemos dar el tema por cerrado, y unicamente si persistieran los problemas abriría un nuevo tema en foros de software-hardware y haciendo referencia a este para no perder el hilo ¿correcto?

Y gracias por tus orientaciones para solucionar tantos problemas como aquí se plantean.

Un saludo.

Mensaje por **msc hotline sat** » 17 Feb 2006, 13:05

Bien, pues lo consideramos solucionado pero lo reabriremos cuando haga falta.

Solo tenmdrñas que indicar este link:

https://foros.zonavirus.com/viewtopic.php?p=51224#51224

saludos

ms, 17-2-2006