Computadora lentiiiiisima (SOLUCIONADO)

[Lafiel]

Mi madre estaba navegando, cuando me llama porque se le colgo la compu. La reinicio y veo en el escritorio, tres archivos 1.ese 2.exe 3.exe :shock: y tres accesos directos al programa internet explorer (tambien en el escritorio) y... la compu andaba lentiiisima. Asi sigue hasta ahora que puedo usar los programas y demas porque estoy en modo a prueba de errores, cuando puse eliminar los seis archivos (los .exe y los acc. direct) se eliminaron, pero sigue lenta. Ya pase el spybot, Nod32 y nada.

Dejo mi log.



Logfile of HijackThis v1.99.1

Scan saved at 11:41:04 p.m., on 31/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Noe\Mis documentos\Noelia Ines\Programas\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?prd=10920&pver=5.1&plcid=0x409&clcid=0x409&ar=AppCompatVendors&sar=AppHelpVendor&o1=23

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Noe\CONFIG~1\Temp\winlogon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Save Picture to Mobile Phone - C:\Archivos de programa\Pix2Fone\p2fd.html

O9 - Extra button: Upload File - {A2F93841-DEAB-0392-4958-BA333CF05732} - C:\Archivos de programa\Pix2Fone\p2fup.html (HKCU)

O9 - Extra 'Tools' menuitem: Upload File to Mobile Phone - {A2F93841-DEAB-0392-4958-BA333CF05732} - C:\Archivos de programa\Pix2Fone\p2fup.html (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117160694267

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~3\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~3\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\NavNT\defwatch.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\NavNT\rtvscan.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\5248\SAService.exe

[msc hotline sat]

De entrada, tiene instalados NOD32 y Norton ! No deben haber dos antivirus juntos por las colisione sy ralentizacion que ello produce ! Desinstale uno de los dos !!!



______



Y luego enviarnos muestras de :



c:\windows\system32\kxlhxsjvdgo.dll



C:\WINDOWS\Temp\startdrv.exe



C:\DOCUME~1\Noe\CONFIG~1\Temp\winlogon.exe



C:\Archivos de programa\Pix2Fone\p2fd.html



programa\Pix2Fone\p2fup.html





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



_______





Luego, para estas claves (NO ELIMINARLAS), se ha de pasar el LSPFIX y restaurarlas:



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



O10 - Unknown file in Winsock LSP: c:\windows\system32\kxlhxsjvdgo.dll



para ello:



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)





______





y eliminar estas claves:



O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe



O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Noe\CONFIG~1\Temp\winlogon.exe



O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll



________





y tras ello rematar los restos con el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 1-06-2007

[Halduke]

Debo decir que me pasó exactamente lo mismo y ando buscando alguna solución al respecto.... si es que ayuda en algo, lo que he conseguido hasta ahora es:



1. El momento en que me ocurrió esto fue a traves de una página web, en que me apareció el aviso de "ActiveX control" y le puse OK, considerando que se trataba de otro video quicktime. Inmediatamente después se quedó pensando y se crearon esos archivos 1.exe 2.exe 3.exe archivos que borre de inmediatamente y no hice mas que parar todo lo que tenía y reiniciar.



2.1 Al reiniciar la computadora...en este caso un Notebook, corre lentisimo como dices tú. Al final, después de varias busquedas... a pesar de que uno borra el archivo [b]startdrv.exe [/b]de la carpeta TEMP de windows, se vuelve a crear. Para poder trabajar en el notebook, note en mi caso, que el virus habia agarrado a qttask.exe para saturarlo y hacer que mi computador trabajar a una velocidad muy lenta. La solucion temporal, para poder utilizar el PC (no en SAFE mode) fue otorgarle una prioridad baja en el Windows Task Manager (Ctrl+Alt+Supr)...o sino tratar de matarla pero con "End Process Tree". Ahi recien pude utilizar el PC a una velocidad normal y empezar a hacer las busquedas para solucionar el problema de manera definitiva.



2.2 Tambien opte por desinstalar aquel programa que corria qttask (en este caso Quicktime) y funcionó, pero al rato empezó a saturar otro programa... por lo que desisntalar o borrar el programa afectado no fue la solución.



3.1 El archivo Startdrv.exe, con el AVAST detecto tener el troyano: [b]Win32:Small-EPJ[/b] Aun asi, borrandolo con el Antivirus vuelve a aparecer... y al aparecer vuelve a saturar alguna aplicacion.



3.2 De pasada encontre un par de viruses más que ya no están...creo. C:\WINDOWS\system32\rpcc.dll también estaba infectado y lo borre con el modo de reparación del CD de Windows de manera externa.





4. Ojalá aparesca una pronta solución al problema. Es bueno saber que no soy el único. Mi pc fue infectado el Jueves 31.



5. Si bien la experiencia de tener dos o más antivirus corriendo hace que el PC corra más lento... esta lentitud es mucho más que lo esperado. A veces para abrir una carpeta se demora 30 o más segundos.

[Lafiel]

Hola, perdon por la tardanza y agradezco las indicaciones, pero me vio mi cuñado la compu (que trabajo en esto) y me dijo....formateo... asi que me le hice backup a lo que pude y luego chau compu. Igual fue para mejor, porque desde que ha tengo (2 años) jamas tuve que formatear... asi que ahora anda como relojito y con varios programitas y chiches nuevos :D

Halduke, espero que lo tuyo tenga mejor final, ya que por lo que contas minimamente la podes usar... la mia tardaba 5 min en responder a un click sobre inicio...el anitivirus la colgaba y ni hablar abrir una carpeta (por eso solo podia usarla en modo seguro) tampoco podia acceder a nada del sistema en si (panel de control... ejecutar... ni siquiera a al administrador de tareas). Suerte en tu problema y NO publiques en este tema su log de hijack, porque esta prohibido...sino abrite un nuevo tema y pedi ayuda.

Saludos

[msc hotline sat]

Pues a "Lafiel", tal como tenía era lógico que le fuera lenta, pero con lo que le indicabamos creo que lo hubieramos soluciona, pero si han preferido matar moscas a cañonazos... por lo menos recuerden que no debn instalar mas que un antivirus y en principio procurar [url=https://foros.zonavirus.com/viewtopic.php?p=52059#52059][b]NAVEGAR PROTEGIDO[/b][/url]



y para "Halduke", postea en otro Tema tu caso con el log del HJT de tu ordenador , tras haber pasado el ELISTARA actual para solucionar la infeccion del RPCC.DLL, claves y demas, asi como si aun tienes el problema del startdrv.exe envianos muestra para controlarlo con nuestras utilidades, pero ello lo vemos en Tema aparte que edites al respecto, gracias



Y dando por solucionado este Tema, procedemos a cerrarlo



saludos



ms, 3-06-2007

[msc hotline sat]

nota postcierre:



Analizadas muestras enviadas por Lafiel, EXE y DLL, se añaden en el ELISTARA de hoy 14.13



saludos



ms, 6-06-2007