Cuando inicio ciertos ejecutables, después de unos segundos se cierra la ventana del ejecutable, pero queda el proceso sin consumo de procesador y ocupando menos de 1 MB de RAM. Estos procesos que quedan no se pueden cerrar de ninguna forma (literalmente de ninguna forma más que reiniciando). Si esos programas los inicio desde la consola ocurre exactamente lo que acabo de contar, pero si los inicio desde el explorador, además de eso, también queda trabada la ventana en la cual ejecuté el exe. El resto del explorer sigue andando normalmente (escritorio, barra de tareas, las otras carpetas abiertas, etc.). Y acá viene lo más raro, cuando cierro el proceso del explorer (de la forma que sea), en realidad no se cierra, sino que se mueren todos los hilos (desapareciendo las carpetas abiertas, la barra de tareas, etc.) pero queda un hilo corriendo que no hace nada y que es diferente a cualquiera de los hilos que normalmente tiene corriendo el explorer antes de que suceda todo esto (todo esto visto desde Process Explorer).
Cuando inicio de nuevo el explorer se abre un nuevo proceso explorer.exe que funciona perfecto (mientras no abra nuevamente uno de esos ejecutables sino ocurre todo nuevamente, pero con el nuevo proceso). En este nuevo proceso aparecen en la barra de tareas las aplicaciones que tengo corriendo y también la ventana que antes se había tildado en el otro proceso (y que obviamente tampoco puedo cerrar).
Bueno, lo primero fue tratar de cerrar esos procesos tildados, pero son imposibles de cerrar. Desde el administrador de tareas hace como que lo cierra, sin ninguna advertencia, pero el proceso sigue ahí. Desde la consola con el comando kill dice que lo cerró pero sigue ahí (realmente sigue ahí, no es que se volvió a abrir instantáneamente, es el mismo, sigue manteniendo el árbol de procesos hijos intacto). Desde Process Explorer también hace como si lo cerrara, es más, me selecciona automáticamente el proceso anterior en la lista, como si explorer.exe ya no existiera. En el menú Options tengo activada la opción "Confirm Kill" pero no cambia nada.
Lo más curioso es que también intenté cerrarlo usando el usuario SYSTEM y desde ahí hace exactamente lo mismo, hace como si lo cerrara pero el proceso sigue activo, tanto desde el administrador de tareas como desde la consola misma.
Para ver si era el archivo explorer.exe el que estaba modificado, lo comparé con el explorer.exe de otra instalación de Windows que tengo en otro disco, pero que está sin uso (lo instalé desde otra PC diferente y después lo puse como esclavo en esta y como tienen diferente hardware ese sistema no arranca, lo tengo por los archivos personales). Esos archivos son idénticos (comparando sus hashes) así que el archivo no está modificado. Tenía ganas de hacer eso mismo con cada uno de los archivos del sistema que están abiertos, pero voy a perder menos tiempo preguntando por acá
En la PC de escritorio tengo un Windows XP Professional SP3 modificado pirata. No se exactamente como se llama ni que modificaciones tiene, pero se que está modificado porque tiene algunas opciones sobre redes y compartir carpetas diferentes a las del Windows instalado en el segundo disco (el que usaba antes en otra PC, la que uso ahora en realidad es prestada), este segundo Windows que no uso también es SP3 pirata, pero sin modificaciones.
En la netbook (las que entregó el gobierno argentino) tengo instalado (además de otros sistemas) un Windows XP Professional SP2 pirata pero sin modificaciones.
Todo el tiempo tuve en ambas PC la versión gratuita del Avast, actualizado y nunca detectó nada. También hice un escaneo completo al sistema en la PC de escritorio y después de que analizara ambos discos con el modulo que se inicia antes de la sesión, detectó varios virus que tenía y los eliminó, pero contra lo que creía, el problema no se solucionó para nada.
Después usé el Malwarebytes Anti-Malware y haciendo un análisis completo detectó algunos virus más, pero parece que ninguno de ellos era el que busco.
Siempre son las misma las que lo producen, es decir, no ocurre con cualquiera y son minoría. Lo raro es que no tienen nada que ver unas con otras y algunas son extremadamente simples. Algunos ejemplos son:
[i]shader.exe
[i]PixelWords.scr
[i]Cualquier programa que cree con Visual C++ 2008
Bueno, parece que no me queda nada más que contar, si necesitan más información solo díganme y trataré de responder lo más rápido posible. Muchas gracias por su tiempo.
msc hotline sat Virus Research Engineer