SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware

El uso del CPU se dispara sin hacer apenas nada en el ordenador

<< < (2/3) > >>

seven:

--- Cita de: destroyer en 13 de Abril de 2007, 06:56:04 pm ---
Paciencia y a ser posible no dupliques las cuestiones pues asi va a ser dificil ayudarte.

Un saludo

--- Fin de la cita ---
Lo siento, no era mi intencion ser pesado, debe ser que mis problemas con el ordenador me estan trastornando  :ciego:

destroyer:

espera a ver que te dicen del log y de momento deja el pando aparcado  ;-)

171278:
En principio el log esta limpio, pero quiero que mandes analizar este proceso:

E:\setup.exe

WEBS DONDE ENVIAR ANALIZAR LOS ARCHIVOS SOSPECHOSOS PARA SEAN ANALIZADOS

Virustotal

Jotti'S

NORMAN SANDBOX

Kaspersky Lab

DR.WEB ONLINE SCANNING FOR VIRUSES


Ademas, actualiza tu sistema, Aqui
Pasale el AVG-AntiSpware . (Actualizalo y guarda el report despues de darle a eliminar infecciones)
Y esta aplicacion tambien, esta al final de la pagina (No necesita instalacion, dale si a todo)
ElistarACuando empiece el Scaneo, DESTILDAS la opcion de eliminar, a la izquierda de la ventana del programa, No te saltes este paso.



Que no elimine nada

Pega un nuevo Log del Hijackthis, mas los Reports de Avg-Antispyware, ElistarA y el analisis del Scan.

Un Saludo

seven:
AKI LE NUEVO LOG DEL HIJACTHIS


Logfile of HijackThis v1.99.1
Scan saved at 1:28:46, on 18/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Pando Networks\Pando\pando.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Archivos de programa\SpeedFan\speedfan.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Archivos de programa\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [zzGBK] E:\setup.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\pando.exe" /Minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe



REPORT DEL AVG-ANTISPWARE

---------------------------------------------------------
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------

 + Creado en:   1:11:25 18/04/2007

 + Resultado del análisis:   



D:\ALBERTO\05 Juegos\GTA San Andreas\Grand.Theft.Auto.-.San.Andreas.NoCD.Crack-HOODLUM.rar/HOODLUM\HLM-INTR.EXE -> Backdoor.Hupigon.kg : Limpios con copia de seguridad (en cuarentena).
D:\System Volume Information\_restore{1CC57DD0-8C3D-45AD-B665-29F4D804F625}\RP37\A0020959.exe -> Downloader.Bagle.ax : Limpios con copia de seguridad (en cuarentena).
C:\Documents and Settings\Administrador\Cookies\administrador@2o7[2].txt -> TrackingCookie.2o7 : Limpios.
C:\Documents and Settings\Administrador\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Limpios.
C:\Documents and Settings\Administrador\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Limpios.
C:\Documents and Settings\Administrador\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@adbrite[1].txt -> TrackingCookie.Adbrite : Limpios.
C:\Documents and Settings\Administrador\Cookies\[email protected][2].txt -> TrackingCookie.Adjuggler : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@advertising[1].txt -> TrackingCookie.Advertising : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[2].txt -> TrackingCookie.Atdmt : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@casalemedia[2].txt -> TrackingCookie.Casalemedia : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[1].txt -> TrackingCookie.Doubleclick : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@estat[1].txt -> TrackingCookie.Estat : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@fastclick[1].txt -> TrackingCookie.Fastclick : Limpios.
C:\Documents and Settings\Administrador\Cookies\[email protected][2].txt -> TrackingCookie.Live : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@mediaplex[1].txt -> TrackingCookie.Mediaplex : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@overture[2].txt -> TrackingCookie.Overture : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@revenue[2].txt -> TrackingCookie.Revenue : Limpios.
C:\Documents and Settings\Administrador\Cookies\[email protected][2].txt -> TrackingCookie.Serving-sys : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@serving-sys[1].txt -> TrackingCookie.Serving-sys : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@statcounter[1].txt -> TrackingCookie.Statcounter : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Limpios.
C:\Documents and Settings\Administrador\Cookies\[email protected][2].txt -> TrackingCookie.Webtrends : Limpios.
C:\Documents and Settings\Administrador\Cookies\[email protected][1].txt -> TrackingCookie.Yieldmanager : Limpios.
C:\Documents and Settings\Administrador\Cookies\administrador@zedo[2].txt -> TrackingCookie.Zedo : Limpios.
D:\System Volume Information\_restore{1CC57DD0-8C3D-45AD-B665-29F4D804F625}\RP37\A0020977.exe -> Trojan.Delf.li : Limpios con copia de seguridad (en cuarentena).
D:\DiscoduroAntiguo\08utilizarescritorio\escritorioultimo\DVD2SVCD\Tylo\D2SRoBa.exe -> Trojan.Starter.41 : Limpios con copia de seguridad (en cuarentena).
D:\System Volume Information\_restore{1CC57DD0-8C3D-45AD-B665-29F4D804F625}\RP38\A0023083.exe -> Trojan.Starter.41 : Limpios con copia de seguridad (en cuarentena).
D:\System Volume Information\_restore{69BAFA44-2453-4655-9BA5-57ADB90CB5E3}\RP20\A0005690.exe -> Trojan.Starter.41 : Limpios con copia de seguridad (en cuarentena).


::Fin del informe




REPORT DEL ELISTARA


     Wed Apr 18 01:15:02 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinSys%\LogFiles"

     Wed Apr 18 01:15:43 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

     Wed Apr 18 01:18:39 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Administrador\7zS4F6.tmp\SPTD138.EXE --> Infectado, Shorty (dropper)
C:\Documents and Settings\Default User\7zS4F6.tmp\SPTD138.EXE --> Infectado, Shorty (dropper)
C:\WINDOWS\system32\CMDOW.EXE --> Infectado, Tool-HideWindow
C:\WINDOWS\system32\config\systemprofile\7zS4F6.tmp\SPTD138.EXE --> Infectado, Shorty (dropper)

MClaud:
No hace mucho vi algo similar, limpio de virus limpio demalware, logs limpios, aparentemente nada malo y a los pocos minutos algo se come 1 GB de ram y nada puede correr, lamentablemente no encontre la causa pero puedes presionar Ctrl + Alt + Delete y termina el proceso de svchost que se esta comiento toda la memoria, de ahi ira la pc normal, al menos mientras se encuentra el origen del problema.

En el caso que vi, optamos por una solucion radical
Svchost es un proceso normal de host generico que ejecuta librerias dll, asi que una de las mil y pico que hay en tu sistema esta infectada y no es detectada

Cita:
El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32. Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un control mejor y una depuración más sencilla.

Antes de cortar el proceso haz lo siguiente: Ejecuta CMD en la pantalla negra tipea el comando

tasklist /svc >c:\svc.txt

busca en C:\ el archivo svc.txt y pega el contenido en un post

Navegación

[0] Índice de Mensajes

[#] Página Siguiente

[*] Página Anterior