Autor Tema: cpu sube 30% cada 15 segundos (Leído 1906 veces)

vak · « **en:** 18 de Marzo de 2005, 05:15:23 am »

Aca les dejo el log del hijack
pase el spybot sd y el adware
tambien pase stinger
y kapersky y el bitdefender litghh y nada
aun no logro cachar por que mi cpu sube su uso tanto

Logfile of HijackThis v1.97.7
Scan saved at 12:52:29, on 17-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Java\jre1.5.0_01\bin\jusched.exe
C:\Arquivos de programas\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trillian\trillian.exe
C:\WINDOWS\system32\svchost.exe

D:\HijackThis-1.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\ARQUIV~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Arquivos de programas\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Arquivos de programas\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Remote] C:\Arquivos de programas\LifeView TVR\Remote.exe
O4 - HKLM\..\Run: [RecSche] "C:\Arquivos de programas\LifeView TVR\RecSche.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Arquivos de programas\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Arquivos de programas\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKCU\..\Run: [Taskbar] C:\Arquivos de programas\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O10 - Unknown file in Winsock LSP: c:\arquivos de programas\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: c:\arquivos de programas\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: c:\arquivos de programas\google\google desktop search\googledesktopnetwork1.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc2.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5781161B-E339-4702-B186-1DF2B9ED5075}: NameServer = 200.50.96.90 200.54.144.227

destroyer · « **Respuesta #1 en:** 18 de Marzo de 2005, 08:34:32 am »

Hola:
Bienvenido al foro ..
Creo que sería muy útil descargases un hijackthis mas actualizado http://www.merijn.org/files/hijackthis.zip y colocases nuevamente el log completo.

Te muevo el post al foro de virus..

Un saludo

vak · « **Respuesta #2 en:** 18 de Marzo de 2005, 02:47:51 pm »

Cita de: destroyer

Hola:
Bienvenido al foro ..
Creo que sería muy útil descargases un hijackthis mas actualizado http://www.merijn.org/files/hijackthis.zip y colocases nuevamente el log completo.

Te muevo el post al foro de virus..

Un saludo

Gracias, acá esta el logfile con el hijacks ctulizado. Veamos is alguien puede ayudarme, gracias.

Logfile of HijackThis v1.99.1
Scan saved at 9:51:57, on 18-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\ARQUIV~1\Softwin\BITDEF~1\bdmcon.exe
C:\Arquivos de programas\Softwin\BitDefender8\bdoesrv.exe
C:\Arquivos de programas\Softwin\BitDefender8\bdswitch.exe
C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Arquivos de programas\Arquivos comuns\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Arquivos de programas\Arquivos comuns\Softwin\BitDefender Scan Server\bdss.exe
C:\Arquivos de programas\Softwin\BitDefender8\vsserv.exe
C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Arquivos de programas\Mozilla Thunderbird\thunderbird.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trillian\trillian.exe
D:\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\ARQUIV~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTStartup] C:\Arquivos de programas\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Remote] C:\Arquivos de programas\LifeView TVR\Remote.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Arquivos de programas\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BDMCon] C:\ARQUIV~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Arquivos de programas\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\ARQUIV~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Arquivos de programas\Softwin\BitDefender8\\bdswitch.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5781161B-E339-4702-B186-1DF2B9ED5075}: NameServer = 200.50.96.90 200.54.144.227
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Arquivos de programas\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Arquivos de programas\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

FatsGordon · « **Respuesta #3 en:** 18 de Marzo de 2005, 06:40:27 pm »

Hola!

Primero: abrí una carpeta para el HijackThis, como por ejemplo D:\HijackThis y mové el ejecutable allí. La razón de esto es que el HT genera backups y necesita un lugar dónde guardarlos.

Veamos qué se puede eliminar de allí. Me llama la atención no ver ningun R0, R1, R2 o R3. ¿¿Este es el log completo??

En fin, reiniciá la máquina en modo seguro ( F8 ), abrí el HijackThis, presioná el SEGUNDO botón y marcá lo que está a continuación en negrita (esta entrada no es necesaria y puede que vuelva a aparecer, pero de ningun modo es maligna, e incluso si te parece podés ignorarla):

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

Desconozco la siguiente entrada, pero en Google en un análisis de un log de HT encontré que no la consideran problemática, así que dejo a tu criterio marcarla o no (si, por ejemplo, no conocés el programa):

O4 - HKLM\..\Run: [Remote] C:\Arquivos de programas\LifeView TVR\Remote.exe

Si el rango de IP siguiente ( buscar en Google "200.50.96.90 200.54.144.227" sin las comillas ) no es de tu proveedor habitual de internet o de tu trabajo, por ejemplo (es decir que sea completamente desconocido), también marcá lo siguiente:

O17 - HKLM\System\CCS\Services\Tcpip\..\{5781161B-E339-4702-B186-1DF2B9ED5075}: NameServer = 200.50.96.90 200.54.144.227

Los Servicios NT se pueden DETENER y DESHABILITAR (pero NO eliminar) marcando las entradas O23. Hay tres entradas que tienen archivos perdidos referentes al BitDefender. Fijate de o bien desinstalar el BitDefender e instalarlo de nuevo o bien marcar las siguientes entradas (las dos cosas al mismo tiempo no):

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Arquivos de programas\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Una vez marcado todo lo que te parezca apretá Fix checked, cerrá el HT y reiniciá la máquina. Fijate de corregir el tema del BitDefender.

¿Hay algun cambio luego de todo esto o sigue todo igual?

Noticias:

Autor Tema: cpu sube 30% cada 15 segundos (Leído 1906 veces)