Problemas con virus o spyware pc super lenta

xtianmode · Mensaje por **xtianmode** » 06 Jul 2007, 05:32

Hola a todos:

Es la primera vez q escribo debido al siguiente problema que creo que se debio luego de descargar algun archivo.

Cuando reiniciaba mi pc se habia tornado super lenta y la pagina de inicio se habia cambiado y en la barra de direcciones aparecia about blank descargue unos anti-spyware como: Super Antispyware free edition y SpywareBlaster, con lo cual las ventanas emergentes y el problema de la pagina de inicio se soluciono, pero ya nunca pude utilizar Aresn y cada vez que paso el antivirus McAffe y los antispyware encuentran troyanos, los limpio y elimino,incluso le he pasado la utilidad de ELISTARA, pero ahora cualquier programa que quiero abrir o cualquier web que quiero abrir se demora una eternidad para abrir y para todas las funciones me sale mensaje de error como NO RESPONDE y la velocidad de procesamiento se ha tornado en el 1% de lo que tania antes. :roll:

No soy un entendido a fondo en informatica y tal vez mi conocimiento se limita a un nivel de usuario.

Sinceramente espero que me puedan ayudar.

Saludos

Mensaje por **msc hotline sat** » 06 Jul 2007, 07:53

Posteanos log del HJT:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 6-07-2007

xtianmode · Mensaje por **xtianmode** » 06 Jul 2007, 14:37

Hola y gracias por responder rapido.

Descargue y ejecute HijackThis v1.99.1 y esto es lo que aparecio en el bloc de notas, espero os sirva.

De antemano muchas gracias

Logfile of HijackThis v1.99.1

Scan saved at 6:41:15, on 06/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Winamp3\winampa.exe

C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

c:\archivos de programa\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

C:\WINDOWS\system32\1296\smss.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\help\svhost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\help\systemb.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

c:\archivos de programa\mcafee.com\shared\mcinfo.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\CLIENTE\CONFIG~1\Temp\Rar$EX04.862\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elcomercio.com.pe/online

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [Runtime] "C:\WINDOWS\system32\1296\smss.exe" /run

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [renascimento] C:\WINDOWS\help\svhost.exe

O4 - HKLM\..\Run: [IsassRenascimento] C:\WINDOWS\help\Issas.exe

O4 - HKLM\..\Run: [Msn Messenger Live 80] C:\WINDOWS\Prefetch\msn.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [systemb] C:\WINDOWS\help\systemb.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Archivos de programa\MP3 Player Utilities 4.00\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.00\MediaManager\grab.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

Mensaje por **msc hotline sat** » 06 Jul 2007, 15:05

Tienes varios ficheros sospechosos que conviene nos envies para analizar:

C:\WINDOWS\system32\1296\smss.exe

C:\WINDOWS\help\svhost.exe

C:\WINDOWS\help\systemb.exe

C:\WINDOWS\help\Issas.exe

C:\WINDOWS\Prefetch\msn.exe

y ya puedes eliminar estas claves:

O4 - HKCU\..\Run: [systemb] C:\WINDOWS\help\systemb.exe

O4 - HKLM\..\Run: [renascimento] C:\WINDOWS\help\svhost.exe

O4 - HKLM\..\Run: [IsassRenascimento] C:\WINDOWS\help\Issas.exe

O4 - HKLM\..\Run: [Msn Messenger Live 80] C:\WINDOWS\Prefetch\msn.exe

O4 - HKLM\..\Run: [Runtime] "C:\WINDOWS\system32\1296\smss.exe" /run

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 6-07-2007

nota: tras lo indicado y reinciiar deberá quedar resuelto el problema, salvo restos y otras historias que pudieran haber creado, lo cual puliremos con nuestras utilidades en las que lo implementaremos una vez analizados los ficheros pedidos. ms.

xtianmode · Mensaje por **xtianmode** » 06 Jul 2007, 20:57

Muy agradecido...

Segui los pasos pero algunos de los ficheros/archivos no los halle, ya lo detallo en el envio a la direccion de correo electronico.

Aparentemente la funcionalidad y la rapidez de procesamiento de la pc se restablecio incluso el windws live messenger ya no me pone lenta la pc, pero tengo una pregunta ...

Desde q ocurrio este problema me fue imposible utilizar el Ares como lo hacia antes.No llegaba a cargar del todo y en la ventana del administrador de tareas de windows aparecia NO RESPONDE, lo desinstale y lo volvi a instalar incluso instale la version2.0.9 y se mantiene el error hasta ahora. :roll:

~~[b]~~Es por causa del problema anterior? o es por algun otro motivo? o ya no podre utizarlo ?[/b] :cry:

Por favor ayudarme y os agradezco de antemano su ayuda.

Mensaje por **msc hotline sat** » 06 Jul 2007, 22:19

Cuando veamos los ficheros enviados, podremos saber si han modificado alguna clave o borrado o tocado algun fichero que pueda afectarlo, pero por si hubiera sido con alguno de sistema, procede a REPARARLO:

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos

ms, 6-07-2007

xtianmode · Mensaje por **xtianmode** » 07 Jul 2007, 05:32

Disculpen la insistencia la pc marcha bien aparentemente pero mi problema con Ares persiste, he actualizado Windows pero no veo la solución ...espero poder hallar el problema pronto.

Os agradezco vuestra ayuda y espero su pronta respuesta

Mensaje por **msc hotline sat** » 07 Jul 2007, 09:30

Pero ha, no solo actualizado, sino REPARADO windows,, como le dijimos ???

[quote]Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

Si es asi, espere a que hayamos analizado y monitorizados los ficheros pedidos, para ver lo que hacen y deshacerlo con nuestras utilidades:

[quote]C:\WINDOWS\system32\1296\smss.exe

C:\WINDOWS\help\svhost.exe

C:\WINDOWS\help\systemb.exe

C:\WINDOWS\help\Issas.exe

C:\WINDOWS\Prefetch\msn.exe
[/quote]

Sobre todo que los que envie sean de estas rutas y con estos nombres y extension (.EXE) no .PF...

saludos

ms, 7-07-2007

nota y si quiere, posteenos nuevo log actual del HJT para ver que se hayan borrado bien las claves que le indicamos eliminara. ms.

xtianmode · Mensaje por **xtianmode** » 07 Jul 2007, 23:34

Gracias por la ayuda y la paciencia.

Por las dudas volvi a pasar HijackThis y aqui lo que arrojo:

Logfile of HijackThis v1.99.1

Scan saved at 15:40:06, on 07/07/2003

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

c:\ARCHIV~1\mcafee.com\vso\OasClnt.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

c:\archivos de programa\mcafee.com\vso\mcvsshld.exe

c:\archivos de programa\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Archivos de programa\Winamp3\winampa.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\CLIENTE\CONFIG~1\Temp\Rar$EX01.415\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elcomercio.com.pe/online

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Archivos de programa\MP3 Player Utilities 4.00\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.00\MediaManager\grab.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

Mensaje por **msc hotline sat** » 08 Jul 2007, 11:00

Bien, pues diganos si persiste algun problema, aparte de enviarnos igualmente los ficheros pedidos para eliminar restos no visibles en el log del HJT

saludos

ms, 8-07-2007

Mensaje por **msc hotline sat** » 09 Jul 2007, 10:47

De los ficheros enviados, 4 son .PF (prefecth, que no sirven para monitorizar) y el .EXE es una nueva variante desconocida que pasamos a controlar con la version de hoy del ELITRIIP , que estara dicponible en esta web, para pruebas de evaluaicon, a partir de las 16 H GMT:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 9-07-2007