POR FAVOR AYUDA CON ESTE PROBLEMA.........

[latuyita]

Buenos dias amigos:

El problema que tengo es el siguiente..: luego de utilizar el reproductor de sonido (de windows )-, la pc se pone lentisima, lo que no es usual en ella, pasado unos 8 minutos despues de haberlo cerrado, continua a velicidad casi normal.



CUANDO SE PONE LENTA le reviso el administrador de tareas, y el componente [u][b]svchost.exe[/b][/u] esta en 99., si lo cierro se pone raipida pero me quedo si audio.



tengo isntalado :xp -, sp2 -disco duro de 40-, y la pc es un AMD Duron



Mi nombre de usuario es : latuyita





Muchas gracias, espero su respuesta.

[lucl]

Hola, pasate un antivirus on line si quieres y el elistara a ver que sucede, una cosa, no se pueden dar direcciones de correo privadas!! Msc la intervendra y te lo dira, pero te voy avisando yo....respecto a tu problema dinos los resultados que te da el antivirus , y del elistara ya sabes en c:infosat.txt y nos lo copias como respuesta, saludos





https://www.virustotal.com/es/



http://www.zonavirus.com/descargas/elistara.asp

[latuyita]

por favor ., indiquenme donde publicaran las indicaciones??



ya que donde postee los resultados de los analisis ,me informaron que alla no es el sitio.

gracias

[lucl]

pues aqui mismo, ya te las copio yo pero en lo sucesivo sigue contestando aqui



[b]Usuario : latuyita



Resultado antivitus online:





hdr.dll Win32/ProcHide.C infected C:\Archivos de programa\Hide Folders XP 2\

A0031834.dll Win32/Spax.AM infected C:\System Volume Information\_restore{87061975-4E17-4F8A-A5A9-D02909661915}\RP53\

A0035079.dll Win32/Spax.AM infected C:\System Volume Information\_restore{87061975-4E17-4F8A-A5A9-D02909661915}\RP55\

A0047422.dll Win32/ProcHide.C infected C:\System Volume Information\_restore{87061975-4E17-4F8A-A5A9-D02909661915}\RP71\

A0047737.dll Win32/ProcHide.C infected C:\System Volume Information\_restore{87061975-4E17-4F8A-A5A9-D02909661915}\RP78\

A0048753.dll Win32/ProcHide.C infected C:\System Volume Information\_restore{87061975-4E17-4F8A-A5A9-D02909661915}\RP78\

A0048783.dll Win32/ProcHide.C infected C:\System Volume Information\_restore{87061975-4E17-4F8A-A5A9-D02909661915}\RP78\

A0049837.dll Win32/ProcHide.C infected C:\System Volume Information\_restore{87061975-4E17-4F8A-A5A9-D02909661915}\RP78\

A0049864.dll Win32/ProcHide.C infected C:\System Volume Information\_restore{87061975-4E17-4F8A-A5A9-D02909661915}\RP78\

A0050920.dll Win32/ProcHide.C infected C:\System Volume Information\_restore{87061975-4E17-4F8A-A5A9-D02909661915}\RP78\



Resultado infosat:



C:\Archivos de programa\INAC\StartUp Manager\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Raul Rodriguez G\Configuración local\Archivos temporales de Internet\Content.IE5\MR28N1N7\REGCURESETUP_46[1].EXE --> Eliminado, Beginto

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\LIMEWIREWIN.EXE --> AutoExtraible

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\UNLOCKER1.8.5 BORRAR ARCHIVOS QUE NO SE DEJAN.EXE --> AutoExtraible

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\UNLOCKER1.8.5.EXE --> AutoExtraible

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\VEOTV.EXE --> Eliminado, Guiños(msn)

C:\WINDOWS\4-EFB7BAB6499FC415EE93F4097033DEAE.EXE --> Eliminado, Beginto

C:\WINDOWS\7-7C15EB3352BCC3049D7E9E974AD283BF.EXE --> Eliminado, Beginto

C:\WINDOWS\system32\SearchEnhancer\SEARCHENHANCER.DLL --> Eliminado, Beginto

C:\WINDOWS\system32\SearchEnhancer\UNINSTALLSE.EXE --> Eliminado, Beginto



Mon Feb 12 14:42:07 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\INAC\StartUp Manager\UNINSTALL.EXE --> AutoExtraible

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Mon Feb 12 14:53:27 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.60,85.255.112.136



Mon Feb 12 14:53:49 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\INAC\StartUp Manager\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\LIMEWIREWIN.EXE --> AutoExtraible

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\UNLOCKER1.8.5 BORRAR ARCHIVOS QUE NO SE DEJAN.EXE --> AutoExtraible

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\UNLOCKER1.8.5.EXE --> AutoExtraible



Mon Feb 12 14:59:29 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\INAC\StartUp Manager\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\LIMEWIREWIN.EXE --> AutoExtraible

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\UNLOCKER1.8.5 BORRAR ARCHIVOS QUE NO SE DEJAN.EXE --> AutoExtraible

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\UNLOCKER1.8.5.EXE --> AutoExtraible

Instalada Utilidad "ELINOTIF.DLL"





Muchas gracias , espero indicaciones! [/b]





mirate esto y hazlo



http://www.zonavirus.com/datos/articulos/63/Deshabilitar_Restaurar_Sistema_Windows_XP.asp



y luego de escanearlo de nuevo con un par de antivirus on line nos cuentas tus avances, saludos.

[latuyita]

POR FAVOR RECOMIENDAME LOS DOS ANTIVIRUS ONLINE QUE ME ACONSEJAS LE PASE A LA PC!........(EL LINK)





GRACIAS

[MrKogoyo]

Pues el que recomendamos es este



[b]AV ONLINE:[/b]

https://www.eset.es/analisis-online/



[b]Slds. ¡¡

Mr.K.[/b]

[latuyita]

MrKogoyo

.......GRACIAS!

[msc hotline sat]

Cuando se trata de eliminar virus, ademas de desactivar la restauracion de sistema es importante arrancar en modo seguro para que no estén en uso los malwares y windows permita eliminarlos, y en el caso de usar AV ONLINE desde Internet, el modo seguro necesario es el de MODO SEGURO CON FUNCIONES DE RED, que con XP y router ADSL no hay problema en navegar arrancando en este modo



saludos



ms, 15-02-2007

[latuyita]

Buenas tardes., realice lo recomendado, pero en modo seguro no pude pasar el antivirus oline por que tuve que hacerlo no pulsandp f8, si no por inicio, msconfig ...etc ...y alli no me da la opcion de modo seguro con funciones de red.



Aun continuo con el problema, podrian sugerirme otra manera de reparar mi problema?

muchas gracias

[msc hotline sat]

Pues hagalo pulsando repetidamente F8 y le ofrecerá en el centro de las tres opciones de modo seguro, la de CON FUNCIONES DE RED



saludos



ms, 15-02-2007

[latuyita]

LO HICE PULSANDO F8- Y ME APARECE UNA PANTALLA AZUL MONTADA SOBRE UNA NEGRA., LA[b] AZUL[/b] MAS PEQUEÑA QUE DICE: SELECT FIRST BOOT DIVACE.

Y LA [b]NEGRA [/b] DICE : AMBIOS SISTEM CONFIGURATION.



- NINGUNA ME DA LA OPCION DE MODO SEGURO CON FUNC.... DE RED



GRACIAS

[msc hotline sat]

Estas son para acceder al SETUP del BIOS, luego le ha de aparecer la del menu de inicio, a no ser que no sea un clonico y la tecla de acceso sea otra ...



Vea el manual de instrucciones



saludos



ms, 15.02.2007

[MrKogoyo]

Pues si tienes Windows XP, Puedes hacerlo atravez de msconfig:



Inicio->Ejecutar y escribe msconfig, Ve a la pestaña de BOOT.INI, Y Marca la cassilla: /SAFEBOOT Y Luego veras que hay otra casilla mas pequeña al lado (red), marcala y de Aplicar, Aceptar y Reiniciar

Ve si Funciona



[b]Slds. ¡¡

Mr.K.[/b]

[lucl]

indicanos si tienes router o que sistema usas de conexion, que igual no puedes aunque consigas entrar en modo seguro con funciones de red, pues msc ya te lo indico mas arriba



[b]que con XP y router ADSL no hay problema en navegar arrancando en este modo [/b]



y como tu ya nos has dicho antes



[b]si no por inicio, msconfig ...etc ...y alli no me da la opcion de modo seguro con funciones de red. [/b]



nos vas contando.... saludos.

[latuyita]

Amigo Mr Kogoyo muchas gracias( gracias a todos) como usted me indico pude pasar el antivirus online , no se encontro virus, la maquina al usar el repro de windows media player , se pone lenta que casi no se puede usar, por favor denme otra alternativa.......al final si dios quiere venceremos

mil gracias

[Nuker]

Prueba con esta Herramienta en modo seguro y posteanos el log como ya sabes (igual que ELISTARA), algo me dice que la solucion puede estar en la libreria de Elitriip.



ELITRIIP:



http://www.zonavirus.com/descargas/elitriip.asp



Y en caso no llegara a detectar nada, posteanos tu log de HJT en modo normal para checar los procesos dentro de tu pc.

Abres programa, scan and save log file, copias contenido de bloc y pegas aqui.



HJT:



http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

[latuyita]

AMIGOS BUENOS DIAS!!



[b]RESULTADOS DEL EliTriIP EN MODO NORMAL Y, TAMBIEN EN MODO SEGURO[/b] Thu Feb 15 21:04:33 2007

EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.



Thu Feb 15 21:05:09 2007

EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\gmailfs110.exe --> Eliminado, ServU-Daemon v4 (Dropper)

C:\Documents and Settings\Raul Rodriguez G\Mis documentos\PENDRIVE001\AUTORUN.INF --> Eliminado, DownLoader.Horst (inf)



Thu Feb 15 21:13:23 2007

EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Thu Feb 15 21:28:41 2007

EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

ALERTA. WindowsUpdate Incompleto.



Thu Feb 15 21:28:56 2007

EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Feb 15 21:32:45 2007

EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\







[b]RESULTADO DEL HijackThis EN MODO NORMAL[/b]



ogfile of HijackThis v1.99.1

Scan saved at 21:53:18, on 15/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S0BIC1.EXE

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Google\Google Talk\googletalk.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\RAULRO~1\CONFIG~1\Temp\Rar$EX00.552\HijackThis.exe

C:\WINDOWS\system32\Notepad.exe

C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e5c24ac25cd35f4c014f07227fcc84ba\update\update.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S0BIC1.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by125fd.bay125.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166192786625

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B53EA98-FEE7-4B01-B580-A9694841A7A5}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CCS\Services\Tcpip\..\{A8876FD4-5141-4CFB-85BD-E6D3A491D944}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CCS\Services\Tcpip\..\{C04F7A6D-BA14-4DB0-BAFF-AED4381F6021}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136

O17 - HKLM\System\CS1\Services\Tcpip\..\{1B53EA98-FEE7-4B01-B580-A9694841A7A5}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136

O17 - HKLM\System\CS2\Services\Tcpip\..\{1B53EA98-FEE7-4B01-B580-A9694841A7A5}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

ESPERO SU DIAGNOGTICO

Y MUCHAS GRACIAS.

[msc hotline sat]

Desinstalar el MSN PLUS, es un foco de adwares.



y eliminar estas claves:



O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - (no file)



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y ojo con el servidor de DNS !!!:



O17 - HKLM\System\CCS\Services\Tcpip\..\{1B53EA98-FEE7-4B01-B580-A9694841A7A5}: NameServer = 85.255.115.60,85.255.112.136



O17 - HKLM\System\CCS\Services\Tcpip\..\{A8876FD4-5141-4CFB-85BD-E6D3A491D944}: NameServer = 85.255.115.60,85.255.112.136



O17 - HKLM\System\CCS\Services\Tcpip\..\{C04F7A6D-BA14-4DB0-BAFF-AED4381F6021}: NameServer = 85.255.115.60,85.255.112.136



O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136



O17 - HKLM\System\CS1\Services\Tcpip\..\{1B53EA98-FEE7-4B01-B580-A9694841A7A5}: NameServer = 85.255.115.60,85.255.112.136



O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136



O17 - HKLM\System\CS2\Services\Tcpip\..\{1B53EA98-FEE7-4B01-B580-A9694841A7A5}: NameServer = 85.255.115.60,85.255.112.136



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136





Todas apuntan a servidores de DNS maliciosos de Ukraina !!!



85.255.115.60 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



85.255.112.136 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company









Tras informarte con tu ISP de cuales te recomiendan, puedes probar cambiarlos con CONFGDNS.EXE



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp





saludos



ms, 16-02-2007

[latuyita]

DISCULPA ,YA LEI COMO PUEDO HACER PARA BORRAR LAS CLAVES INDICADAS!!!

GRACIAS

[msc hotline sat]

Sí. lo decimos en todas partes: :lol:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 16-02-2007

[latuyita]

Amigo ya elimine todas las claves que me indicaste, y aun asi la pc continua en extremo lenta!!.......para que continue trabajando rapida como siempre , lo que hago es entrar en el alministrador de tares y alli cierro la que dice svschost.exe , o tambien la dejo por 6 o 7 minutos sin tocar nada ,hasta que se ponga rapida, pero eso no es normal en ella.



gracias.......... que puedo hacer??





pero si cierro el svchost , me quedo sin audio!! :cry:

[msc hotline sat]

Tienes 3 procesos lanzados por el SVCHOST.EXE, el cual es el normal de windows ya que está en la carpeta de sistema:


[quote]
Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S0BIC1.EXE

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Google\Google Talk\googletalk.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\RAULRO~1\CONFIG~1\Temp\Rar$EX00.552\HijackThis.exe

C:\WINDOWS\system32\Notepad.exe

C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e5c24ac25cd35f4c014f07227fcc84ba\update\update.exe
[/quote]



Ya sabes que el SVCHOST podría ser malware si no fuera el de dicha carpeta o tuviera nombre ligeramente diferente:




[quote]
El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP



Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.



Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...



En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.



Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario



Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares.
[/quote]

En consecuencia si te va rápido cerrandolos, mira de cerrarlos de uno en uno, viendo cual es el que te libera la Carga de la CPU, y desinstalando la aplicacion en cuestion y volviendola a instalar si es necesaria



Pero probablemente no sea virus sino una coruupcion de una aplicacion o colision de residentes



Informanos de tus progresos, gracias



saludos



ms, 16-02-2007

[latuyita]

ESTIMADOS AMIGOS, COMPRENDI BASTANTE BIEN LO EXPUESTO, SOLO QUIERO ADEMAS DE AGRADECERLES SU AMPLISIMA COLABORACION QUE TANTO APRECIO!

UNA ULTIMAS PREGUNTAS:

1- DONDE SE ENCUENTRA EXACTAMENTE EL SVCHOST.EXE PARA ASI ELIMINARLO?



2-Y EN CASO DE QUE LO ELIMINE , DONDE LO PUEDO [b]BUSCAR [/b]PARA INSTALARLO NUEVAMENTE?



MUCHAS GRACIAS

[msc hotline sat]

Relea lo indicado en el segundo cuadro del post anterior, y vea que el SVCHOST.EXE es el lanzador de tareas de windows, si está, como en su caso, en la carpeta de sistema



No es cuestion de eliminarlo !!! El fichero es bueno y necesario



Alguna de las aplicaciones que tiene programadas en el inicio puede estar corrupta, y ello lo podrá saber deteniendo los procesos que carga a traves del SVCHOST, desde el Administrador de tareas



Si tras detener uno de ellos sele resuelve el problema, vea lo que no le funciona para saber lo que ha detenido, y desinstalelo e instalelo de nuevo desde Panel de control -> Agregar o quitar programas



saludos



ms, 16-02-2007