Título: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 21 Abril 2010, 23:39 pm hola,llevo un tiempo leyendo y nunca me había decidido a registrarme y participar,pero ahora tengo un problema y espero que me echen una mano
resulta que tuve el virus de las 2 tildes pero creo que conseguí eliminarlo,pero desde hoy tengo la cpu al 1005 y no consigo solucionarlo (algún virus?),le pasé el ccleaner y malwarebytes,pero tras detectar algo (y eliminarlo) ya nada no se me ocurren más cosas,también decir que desde firefox (el explorer hace un tiempo que me dejó de funcionar porque no reconoce con qué tiene que abrir el archivo iexplore.exe) no puedo acceder aun simple archivo pdf! resumiendo,pongo el log de hijackthis,a ver si veis algo raro (vi un tutorial pero me queda grande) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:34:07, on 21/04/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\csrss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\Ati2evxx.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\Ati2evxx.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\spoolsv.exe C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe C:\WINDOWS.0\system32\svchost.exe C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS.0\SOUNDMAN.EXE C:\Archivos de programa\Winamp\winampa.exe C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Archivos de programa\Samsung\Samsung Media Studio 5\SMSTray.exe C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS.0\system32\ctfmon.exe C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe C:\Archivos de programa\Winamp Remote\bin\OrbTray.exe C:\Archivos de programa\Ares\Ares.exe C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe C:\Archivos de programa\Java\jre6\bin\jqs.exe C:\WINDOWS.0\system32\tcpsvcs.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\wdfmgr.exe C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe C:\WINDOWS.0\System32\alg.exe C:\WINDOWS.0\system32\wuauclt.exe C:\WINDOWS.0\system32\wbem\wmiapsrv.exe C:\Archivos de programa\Mozilla Firefox\firefox.exe C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS.0\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll O3 - Toolbar: Veoh Video Compass - {52836EB0-631A-47B1-94A6-61F9D9112DAE} - C:\Archivos de programa\Veoh Networks\Veoh Video Compass\SearchRecsPlugin.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Archivos de programa\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [SMSTray] C:\Archivos de programa\Samsung\Samsung Media Studio 5\SMSTray.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Archivos de programa\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe" O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Orb] "C:\Archivos de programa\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [VeohPlugin] "C:\Archivos de programa\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Startup: monxga32.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nwprovau.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe -- End of file - 8413 bytes Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: skapunky en 22 Abril 2010, 00:09 am Tienes un premio:
O4 - Startup: monxga32.exe Ese archívo nunca lo había visto, si no lo conces te recomiendo que lo elimínes, si tienes dudas puedes subirlo a www.virustotal.com pero igualmente es muy sospechoso y más la forma de auto-iniciarse. Si quieres eliminarlo una de dos, utilizas fileassasin o en el administrador de tareas buscas haber si está el proceso monxga32.exe lo cierras, y luego buscas el archivo por el pc y lo eliminas. Debería estar en: Citar C:\Documents and Settings\nombre_usuario\Menú Inicio\Programas\Inicio\monxga32.exe Si tienes dudas o problemas te ayudamos. Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 22 Abril 2010, 00:10 am estuve mirando y resulta que hay un proceso svchost.exe que me ocupa el 100% de cpu
sugerencias? trasteando por ahí,encontré esto? http://www.wilkinsonpc.com.co/free/articulos/archivo-svchost-exe.html qué opináis? Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: skapunky en 22 Abril 2010, 00:16 am Has provado de cerrar el proceso que ocupa esa cantidad de memória? Deja o no? O se vuelve a abrir al cabo de un rato?
Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 22 Abril 2010, 00:26 am sí,lo acabo de cerrar,me salió un aviso de que tenía que reiniciar,pero el maldito svchost del 100% sigue ahí!
alguna idea más? tengo el fileassassin como herramienta del malwarebytes,el problema es que no encuentroel archivo ese raro que dices para eliminarlo Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 22 Abril 2010, 00:57 am no lo encuentro :huh:
y si restauro en un punto anterior? Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: skapunky en 22 Abril 2010, 01:20 am Espera, has utilizado la opcion de buscar archivos por todo el pc? Debería estar en algun lado.
Por cierto, en la carpeta que te dicho...has puesto ver archivos ocultos? No sea que sea vergonzoso y se esconda :xD Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 22 Abril 2010, 07:14 am con lo de buscar no encuentra nada,y supuestamente tengo activado lo de mostrar todos los archivos,pero la dichosa carpeta documents and settings no la encuentro,tengo una partición,pero ahora que me fijo no sé dónde está :o
si me sigues echando una mano te lo agradezo,tú o cualquiera saludos Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: Novlucker en 22 Abril 2010, 14:26 pm Por si acaso revisa con Svchost Process Analyzer (http://www.neuber.com/free/svchost-analyzer/) para ver si no tienes algo raro "colgado" del proceso
Saludos Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: skapunky en 22 Abril 2010, 15:32 pm Podría tratarse de un rootkit, utiliza la herramienta que te ha mostrado novlucker y también pasa esta:
Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: [Zero] en 22 Abril 2010, 16:29 pm Utilizas portátil?
Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 22 Abril 2010, 19:08 pm bueno,esto es la releche
hoy al llegar a casa y ponerme a ver si hoy sacaba algo,resulta que se me ha instalado el xp smart security 2010,y ahora no puedo ejecutar ningún tipo de herramienta ni siquiera en modo seguro! el avira me avisa que es un troyano,pero no puedo hacer nada total,que lo llevo a una tienda,que hagan lo que tengan que hacer y fuera ya me cansé,necesito el pc gracias a todos,de verdad,ya os cuento,porque va pa largo ya que resulta que en las tiendas están bastante ocupaos :huh:,jaja,en fin por cierto no es portátil,es de sobremesa Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: crazykenny en 22 Abril 2010, 20:17 pm Una pregunta, fastid; ¿has pensado en hacerte copias de seguridad de tus cosas importantes y hacer un formateo de tu ordenador y reinstalar el sistema operativo, y luego instalarte un antivirus?.
Puede sonar algo descarado u algo asi, pero a mi me funciona. Saludos. Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: skapunky en 22 Abril 2010, 20:17 pm Esto de mal en peor..te has instalado un rogue (falso antivirus): mira este enlace:
http://www.2-spyware.com/remove-xp-smart-security-2010.html Saludos. PD: Usa el Malwarebytes para quitarlo. Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 22 Abril 2010, 22:08 pm gracias skapunky,a ver cuando tengo tiempo y me pongo con ello,porque me desespera,supuestamente sigo ese tuto y luego ya podría ejecutar malware,no?
y sí,ya lo pensé,de hecho tengo copia de seguridad de todos los documentos,el resto se puede ir al garete,como siga así el tema está en no llegar al engorro del formateo (además nunca lo hice),otras veces conseguía eliminar los problemas,pero de esta no me libro gracias Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: winroot en 23 Abril 2010, 02:52 am hola!
me voy un día, y pasa todo lo interesante :D cuando saques ese falso av, entra a inicio>ejecutar y escribe msconfig desactiva todo menos el avira, y reinicia. ahora, pasa la tool que menciona novlucker, un antirootkit, y manda otro log de hjt. luego de esto, tendremos que eliminar los archivos. una aclaración, para ver archivos ocultos, teines que tener desactivada la opción ocultar archivos protegidos del sistema operativo, o algo así dice. aunque, para borrar ese archivo que dice skapunky, solo es poner en un cmd: Código: cd /d c:\ aunque, si tiene el atributo +h+s, tendras que usar antes de ejecutar el comando del: attrib -h -s -r archivo bueno, espero que esto te sea útil de alguna manera. saludos! Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 23 Abril 2010, 17:30 pm bueno,parece ser que he conseguido deshacerme del xp smart security,me dió problemas,pero ahora estoy en modo normal y no hace acto de presencia veremos a ver
ahora me pongo con lo de svchost que ocupa el 100%,los pasos serían estos? -antirootkit (que comenta novlucker) y las otras propuestas por skapunky (vale más que sobre :laugh:) -saco y os pego otro log de hjt -me seguís comentando por cierto,lo que se comentaba al principio de ese mongxa.exe,qué os parece? gracias por la yuda gente,me estáis sacando del aprieto ;) Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 23 Abril 2010, 17:53 pm a ver,le pasé el svchost anlyzer y me dice que tengo alguno de los procesos svchost que dan problemas,le paso la herramienta y me clasifica los procesos según potencial peligrosidad,pero va en función de usuarios y demás,qué hago?
por cierto ahora le paso el hjt y lo pego Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 23 Abril 2010, 18:06 pm log de hjt,qué decís?:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:04:35, on 23/04/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\csrss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\Ati2evxx.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\Ati2evxx.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\spoolsv.exe C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe C:\WINDOWS.0\system32\svchost.exe C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS.0\SOUNDMAN.EXE C:\Archivos de programa\Winamp\winampa.exe C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Archivos de programa\Samsung\Samsung Media Studio 5\SMSTray.exe C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS.0\system32\ctfmon.exe C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe C:\Archivos de programa\Winamp Remote\bin\OrbTray.exe C:\Archivos de programa\Ares\Ares.exe C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe C:\Archivos de programa\Java\jre6\bin\jqs.exe C:\WINDOWS.0\system32\tcpsvcs.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\wdfmgr.exe C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe C:\WINDOWS.0\system32\wuauclt.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\wbem\wmiapsrv.exe C:\Archivos de programa\Mozilla Firefox\firefox.exe C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS.0\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll O3 - Toolbar: Veoh Video Compass - {52836EB0-631A-47B1-94A6-61F9D9112DAE} - C:\Archivos de programa\Veoh Networks\Veoh Video Compass\SearchRecsPlugin.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Archivos de programa\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [SMSTray] C:\Archivos de programa\Samsung\Samsung Media Studio 5\SMSTray.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Archivos de programa\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe" O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Orb] "C:\Archivos de programa\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [VeohPlugin] "C:\Archivos de programa\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Startup: monxga32.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nwprovau.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe -- End of file - 8417 bytes tengo un montón de cosas que tengo que borrar:ares,algo de una barra de winamp,juegos y demás le pasé el spydllremover,pero supuestamente no detecta nada raro el tema es que sigo con el dichoso svchost al 100% Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: winroot en 23 Abril 2010, 18:55 pm hola,
y sigue el monxga32.exe al inicio :D no es muy complicado abrir el msconfig y desactivarlo. el resto es usar la tool svchost analicer . saludos, Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 23 Abril 2010, 19:27 pm pero el mongxa con el msconfig no puedo cerrarlo,ni con task manager ni con hjt :huh:
para el svchost estoy en ello: y el svchost analycer bien (me detecta entradas malas),pero ahora estoy con su herramienta el task manager y estoy pegándome con él ya os cuento edito:el svchost que ocupa el 100% está en la carpeta correcta (system32) y la herramienta te saca sus datos,a primera vista no parece un archivo corrupto,qué hago?me lo cargo igual?y si fastidio algo porque es legal? Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: winroot en 23 Abril 2010, 21:33 pm hola
para el monxga32.exe abres un cmd y escribes: Código: dir /b /s c:\monxga32.exe Código: dir /as /ah /ar /s /b c:\monxga32.exe ahora, para lo del svchost me temo que: . el malware se instalo como servicio. .tienes servicios que sobran. abri un cmd y escribi net start para saber que servicios estan corriendo. saludos! Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: skapunky en 23 Abril 2010, 22:46 pm Referente al Svchost si te lo cepillas pueden pasar dos cosas, o que en unos segundos se vuelva a crear o que te salga un mensaje que se reinicia el pc en 60 segundos.
Yo personalmente y con más de uno coincidire es que se trata de un rootkit inyectado en uno de los svchost, al ser así, con un log del hijackthis no podemos ver nada en este caso. El problema tiene dos partes, este supuesto rootkit y el mongxa32 que en algún lugar del pc debe estar. Puede ser que el propio mongxa32 se beneficie de la función rootkit, eso explicaria que no hay un proceso con ese nombre o porque está hidding o está camuflado en un svchost. Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 24 Abril 2010, 13:04 pm hola
bueno,oy un poco más animado,enciendo el pc para ver si puedo hacer algo con el svchost,y resulta que me vuelve a saltar lo del xp smart security :(,volveré a intentarlo respecto al otro tema,minar el svchost,me salió el mensaje de reinicio en 60 segundos,pero tras reiniciarse seguía llí,así no sirvió winroot:no encuentra el archivo por ninguna de las 2 opciones resumiendo:que tiene mala pinta.no? :-[ de todas formas muchas gracias,seguiré en ello Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: fastid en 24 Abril 2010, 18:32 pm leyendo un poco sobre el tema y teniendo en cuenta que la infección proviene de una web (y no de un ataque o archivo infectado) ,cuáles pueden ser las consecuencias?
Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: [Decoded] en 11 Mayo 2010, 15:49 pm format c:/q ;)
Título: Re: uso cpu al 100%+log hijack=solución? Publicado por: Novlucker en 11 Mayo 2010, 15:52 pm leyendo un poco sobre el tema y teniendo en cuenta que la infección proviene de una web (y no de un ataque o archivo infectado) ,cuáles pueden ser las consecuencias? No entiendo la pregunta, las mismas ... tu ingresas a una web y te infectas por esa vía, pero al fin y al cabo te infectas con malware. Saludos |