PC lenta e impresiones tambien

thefla · Mensaje por **thefla** » 02 Dic 2007, 04:01

MI pc se puso lenta asi como las impresiones que mando, no se si habra sido por un virus que encontre en la makina y ya salio totalmente. Ahi dejo mi logg

Logfile of HijackThis v1.99.1

Scan saved at 22:00:20, on 01/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

E:\INstall\servidor1.469\servidor.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\Install\NDP20-KB928365-X86.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\MsiExec.exe

E:\INstall\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [EagleEye] C:\ARCHIV~1\tuEagles\EagleSvr.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Runonce] C:\WINDOWS\system32\runouce.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Acceso directo a servidor.lnk = E:\INstall\servidor1.469\servidor.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188970918859

O17 - HKLM\System\CCS\Services\Tcpip\..\{3EAC61F3-F05C-440E-8160-1C2CCB91A2AB}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter: text/html - {F79B2338-A6E7-46D4-9201-422AA6E74F43} - C:\WINDOWS\EagleFlt.dll

O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll

O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

Mensaje por **msc hotline sat** » 02 Dic 2007, 07:34

Descaradamente este fichero usa el intento de confundir con un nombre parecido a RUNONCE, sin ser el mismo...

C:\WINDOWS\system32\runouce.exe

Envianoslo para analizar y tras ello, si es como pensamos, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 2-12-2007

thefla · Mensaje por **thefla** » 02 Dic 2007, 20:41

desgraciadamente busque el archivo en todo el disco pero n lo encontre, parece k el antivirus cuando le pase lo elimino. solo queda sacar o reparar esa entrada que menciona al archivo, solo diganme si el resto de mi log esta limpio.aki les mando el log corregido

Logfile of HijackThis v1.99.1

Scan saved at 13:41:55, on 02/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

E:\INstall\servidor1.469\servidor.exe

C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

E:\INstall\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [EagleEye] C:\ARCHIV~1\tuEagles\EagleSvr.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Acceso directo a servidor.lnk = E:\INstall\servidor1.469\servidor.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188970918859

O17 - HKLM\System\CCS\Services\Tcpip\..\{3EAC61F3-F05C-440E-8160-1C2CCB91A2AB}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

nota: lo de las impresiones lentas se corrigio.

saludos

Mensaje por **msc hotline sat** » 02 Dic 2007, 21:04

Ahora el log ya está limpio, y lo que haya podido tocar mas el RUNOUCE.EXE, sin la muestra no podemos saberlo, esperemos que su antivirus que se lo ha eliminado, tambien le haya restaurado las claves modificadas.

Si le vuelve a aparecer dicho fichero, envienoslo para analizar, aunque sea renombrado a .VIR u otra extension no ejecutable (busque RUNOUCE.*) independientemente que demos por solucionado el Tema y procedamos a cerrarlo

saludos

ms, 2-12-2007

Mensaje por **msc hotline sat** » 02 Dic 2007, 21:05

Ahora el log ya está limpio, y lo que haya podido tocar mas el RUNOUCE.EXE, sin la muestra no podemos saberlo, esperemos que su antivirus que se lo ha eliminado, tambien le haya restaurado las claves modificadas.

Si le vuelve a aparecer dicho fichero, envienoslo para analizar, aunque sea renombrado a .VIR u otra extension no ejecutable (busque RUNOUCE.*) independientemente que demos por solucionado el Tema y procedamos a cerrarlo

saludos

ms, 2-12-2007