Tags Palabras claves

La PC se pone lenta y hace procesos extraños. Virus?

11/03/2008 - 18:30 por Fernando | Informe spam
Saludos a todos y disculpen si este no es el mejor sitio para postear este
mensaje, pero es que forospyware.com no permite registros nuevos y otros
sitios tienen problemas, no se que pasa.

Estimados amigos me gustaria pedir su apoyo en este momento, ya que mi
sistema no esta respondiendo correctamente ya desde hace unos dias. He
generado el respectivo activo .log con hijackthis y asimismo use el
startuplist (ambos de merijin.org) para reforzar la busqueda de elementos
extraños en mi sistema. Lo que ocurre principalmente es que pareciera como
que mi equipo para actualizando no se que, cada cierto tiempo, asimismo
ciertos archivos como .ini y .dat se actulizan sin necesidad aparente...
conozco bien mi sistema y estoy casi seguro que hay extraño, pero que
lamentablemente no puedo determinar.

He estado revisando los resultados y me parece hallar unas .dll misteriosas
pero temo desconfigar algo, por favor si pueden colaborar con sus comentarios
o indicarme un sitio activo donde postear esto les estare muy agradecido,

Javier,
a continuacion les envio los reportes.

*** Este es el log de Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:03:12, on 10/03/08
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\ARCHIVOS DE PROGRAMA\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\ARCHIVOS DE PROGRAMA\THE HACKER\THAV.EXE
C:\ARCHIVOS DE PROGRAMA\CYBERLINK DVD SOLUTION\POWERDVD\PDVDSERV.EXE
C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft
Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Vínculos
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} -
C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [TheHackerConsola] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD
Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI
Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [ANIWZCS2Service] C:\Archivos de
programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKUS\.DEFAULT\..\Run: [PowerBar] (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Archivos de
programa\Microsoft Office\Office\OSA9.EXE (User 'Default user')
O4 - .DEFAULT Startup: Control de sonido 3D Crystal.lnk =
C:\WINDOWS\CWD3DSND.EXE (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft
Office\Office\OSA9.EXE
O4 - Startup: Control de sonido 3D Crystal.lnk = C:\WINDOWS\CWD3DSND.EXE
O8 - Extra context menu item: Download using Offline &Explorer -
file://C:\ARCHIVOS DE PROGRAMA\OFFLINE EXPLORER PRO\Add_Url.htm
O8 - Extra context menu item: Download the &current page with Offline
Explorer - file://C:\ARCHIVOS DE PROGRAMA\OFFLINE EXPLORER PRO\Add_All.htm
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\ARCHIVOS DE
PROGRAMA\FLASHGET\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\ARCHIVOS DE
PROGRAMA\FLASHGET\jc_all.htm
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no
file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\ARCHIVOS DE PROGRAMA\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet -
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIVOS DE
PROGRAMA\FLASHGET\FLASHGET.EXE
O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
http://www.pandasoftware.es/actives...asinst.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} -
http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) -
http://ax.emsisoft.com/asquared.cab
O24 - Desktop Component 0: (no name) - file:///C:/Mis documentos/Mis
imágenes/Resize of Neo.gif

End of file - 4392 bytes

Preguntas similare

Leer las respuestas

#1 josepe
17/03/2008 - 22:09 | Informe spam
Y esto vos los has creado?
*** C:\ARCHIVOS DE PROGRAMA\THE HACKER\THAV.EXE
No tiene pinta de programa legitimo.
Respuesta Responder a este mensaje
#2 Fernando
19/03/2008 - 07:22 | Informe spam
Hola que tal. Bueno, el archivo THAV.exe es el ejecutable de un antivirus
(The Hacker Antivirus), no hay problema con eso; espero.

Recientemente he estado haciendo los siguientes analisis, sin mucha suerte
por ahora:

Primeramente el BitDefender Online Scanner no llego a concluir su
actualizacion de firmas de virus y se presento una ventana extraña sin
mensajes solo con un boton cancel. Le di continuar pero se detuvo;
posteriormente segui con el analisis, en el cual inicialmente no encontro
nada pero de un momento a otro se reinicio la PC de golpe.

Luego reinicie en modo seguro (prueba de fallos en Windows98) e hize el
analisis con el SpyBot y elimine las entradas: oleext.dll, coder.ini y
related.htm. Cuando ejecuto Lavasoft AdAware el equipo se cuelga no termina
el analisis ya que se detiene en "Scanning IE Favorites" Objetos Escaneados
64580. El ultimo analisis fue el 07/08/08, pero de ahi ya no pude hacerlo.
CWShredder no encontro nada en su analisis.

Realize una limpieza con WinBrush muy semejante a Disk Cleaner y CCleaner,
lo cual hizo una limpieza exhaustiva de la cual adjunto su log:

WinBrush - Date : 18/03/08 20:41:11

Clear Documents menu recent files
Clear Stream Documents history
Clear Paint recent files
Clear Wordpad recent files
Clear Media Player's recent files
Clear Find files history
Clear Find computers history
Clear Find containing text history
Clear Run history
Clear MS-Word recent files
Clear MS-Excel recent files
Clear MS-PowerPoint recent files
Clear MS-Access recent files
Clear MS-Photo Editor recent files
Clear IE's URL drop down list box
Clear IE's history
Clear IE's cache files
Clear IE's cookies files
Clear IE's auto complete password data
Clear IE's auto complete forms data
Clear Recycle Bin
Deleted files :

Total deleted files (including IE's cache files) :
Number of files : 7
Total size : 0 B

Posteriormente elimine de forma manual los archivos index.dat de:
C:WINDOWSArchivos temporales de InternetContent.IE5
C:WINDOWSCookies
Al reiniciar en modo normal, me di cuenta que se generan cuatro carpetas
dentro de C:WINDOWSArchivos temporales de InternetContent.IE5 que contienen
un archivo desktop.ini, las elimino y aparecen cuando reinicio. Igualmente
dentro de la papelera, C:Recycled hay unos archivos: dc1.dat y info2 (que
esta oculto). Pienso en eliminarlos.

El archivo EliStarA, no puedo descargarlo correctamente.

Quisiera saber tu punto de vista, comentarios sobre como limpiar
definitivamente el sistema ya que como se ve, lo que sea que este presente
intenta anular a los antivirus.

Muchas gracias,
.JF.

"josepe" wrote:

Y esto vos los has creado?
*** C:\ARCHIVOS DE PROGRAMA\THE HACKER\THAV.EXE
No tiene pinta de programa legitimo.

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida