Pantalla congelada-KernelFaulCheck

[alex20]

Hola,ultimamente cuando menos me lo espero la pantalla se queda congelada y se queda inutilizable teniendo que apagar el ordenador,cuando pasa esto a veces no arranca el ordenador posteriormente.

Cuando se carga el escritorio me sale un aviso de spybot de si quiero permitir o bloquear un cambio referente a KernelFaulCheck.Me metí en en spybot a ver las aplicaciones que se ejectuban al iniciarse el sistema y ví este tal Kernel:



clave: valor: Línea de comando:

HK_LM:RUN (Current system) KernelFaulCheck %systemroot%\system32\dumprep 0 -k



Cuando le doy al icono del teclado para ver la descripción se subdivide en 3 apartados,uno en el que me dice que el archivo con nombre "dumprep 0 -k" y otro con nombre "dumprep 0 -u" son normalmente no necesarios y en la tercera descripción me pone casi todo lo mismo pero cambia que el nombre de archivo es "ptool32.exe" y en este caso la base de datos pone que es ineccesario-software espía-virus-maligno-u otro tipo de programa consumidor de recursos.



También tengo una aplicación que creo que es sospechosa:



HK_CU:RUN(User S1-5-21-725345.....) cftmon.exe C:\WINDOWS/system32.cftmon.exe



Que me pone que también es ineccesario-softwareespía,etc





¿Esos parones en el ordenador pueden deberse a eso? No sabía si eliminarlos por si me cargo alguna aplicación importante del sistema.

[alex20]

Os pongo también mi log de hijackthis a ver si veis algo raro:



Logfile of HijackThis v1.99.1

Scan saved at 13:04:37, on 18/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\WINDOWS\system32\Notepad.exe

C:\Documents and Settings\computerman\Escritorio\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=21871

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - avldr.dll (file missing)

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: qomnklk - C:\WINDOWS\

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

[lucl]

Tienes que actualizar el pc pues te falta el sp3 y es muy importante, y sobre esta clave



C:\WINDOWS/system32.cftmon.exe



si tienes el office instalado no te preocupes , y sobre el resto del log ya te confirmara Msc como esta, saludos

[alex20]

Ok me estoy descargando el service pack 3,en cuanto al ctfmon lo pase por virus total y no me detectó nada,ademas tengo el office 2003,espero que con eso sea suficiente,y en cuanto a lo del aviso de kernel que me da spybot ¿que es?

[flacoroo]

tienes este problema,

O20 - Winlogon Notify: qomnklk - C:\WINDOWS\



lo puedes eliminar con este programita siguiendo estos pasos:

bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt (si no puedes ejecutarlos en forma normal hazlo reiniciando tu compu en modo seguro)



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url] (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[msc hotline sat]

Y mira si tienes oculto este fichero, y en tal caso lo renombras a extension .VIR y nos lo envias para analizar:



C:\WINDOWS\system32\drivers\spools.exe



y si no lo encuentras, elimina esta clave:



O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)





saludos



ms, 18-11-2008

[alex20]

Wed Nov 19 09:39:20 2008

EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Nov 19 09:39:25 2008

EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\SPTD.SYS --> Eliminado, RootKit(SPTD)



Nº Total de Directorios: 3846

Nº Total de Ficheros: 162352

Nº de Ficheros Analizados: 75955

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Nov 19 10:16:34 2008

EliTriIP v5.27 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Nov 19 10:16:37 2008

EliTriIP v5.27 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\computerman\Configuración local\Datos de programa\Ares\My Shared Folder\memoriesontv memories on tv v3 0 2 + crack keygen + spanish(2).exe --> Eliminado, ServU-Daemon v4 (Dropper)



Nº Total de Directorios: 3910

Nº Total de Ficheros: 163983

Nº de Ficheros Analizados: 72313

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1









En cuanto a lo de borrar claves msc,nunca lo he hecho,¿como lo hago? Gracias

[msc hotline sat]

Sí, con el HJT, elegir 2ª opcion, señalar la casilla de la izquierde de dicha clave y pulsat FIC CHECKED.



Se explica en el último post de este Tema:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 19-11-2008

[alex20]

Desde HJK pude eliminar la entrada que me dijo flacoroo:



O20 - Winlogon Notify: qomnklk - C:\WINDOWS\



Pero la que tu me dices msc no me sale en la lista,aqui esta el nuevo log:



Logfile of HijackThis v1.99.1

Scan saved at 15:42:43, on 19/11/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\computerman\Escritorio\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=24931

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - avldr.dll (file missing)

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

[alex20]

Ya les envíe la muestra que me dijo,ya me dicen.Gracias una vez mas

[msc hotline sat]

Pues cuando recibamos las muestras, las analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos.



saludos



ms, 20-11-2008

[msc hotline sat]

A ver... le pediamos enviara este fichero para analizar:



C:\WINDOWS\system32\drivers\spools.exe



y ha enviado un jqs.exe ??? que tiene que ver ???



Envienos el pedido y lo analizaremos



saludos



ms, 20-11-2008

[alex20]

:? me equivoqué al enviarlo. En ese caso el spools.exe como le dije no le encuntro siquiera como oculto, ni con el HJ,ni spybot...

[msc hotline sat]

Entendido, y si bien estaba en el primer log del HJT, como fichero residente (asi que entonces existía) y en la clave que indicabamos eliminar, ahora ya no aparece ni en uso ni la clave, asi que por lo que sea (manual o automaticamente) ya ha sido eliminado, y pasamos a olvidarnos de él.



Pues tras ello indicadnos si persiste alguna anomalia o ya podemos dar por solucionado el Tema, gracias



(Si aun hubiera algun problema, procede a REPARAR windows:


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]
saludos



ms, 21-11-2008