Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

¡Hola!

Antes a que nada les quiero agradecer por su tiempo y molestia en ayudarme. A continuación detallaré mi problema con el mayor detalle posible. Y al final pegaré el log creado por el HijackThis.

Desde que conocí vuestra página trato de resolver todos mis problemas de software malicioso en general con el método “tradicional” a esta altura y por ende empleando los programas que uds. recomiendan como: Ad-Aware SE Personal, Spybot – Search & Destroy, SpywareBlaster, Disk Cleaner y la revisión on-line gratuita de Panda antivirus.

Mi PC tiene instalado el SO Windows XP Pro. con todos los upgrades a la fecha. Mi disco rígido es la suma de 2 discos duros de 80GB cada uno que trabajan en RAID y conforman 1 único disco de 149GB aprox. Lamentablemente no suelo hacer respaldos y en la actualidad poseo libres unos 2.87GB aprox. Sin embargo llegué a tener este mismo disco con menos de 1GB libre y la máquina de hecho funcionaba bien y no como ahora (que es lo mismo que no funcionar).

En definitiva, no me quería olvidar del RegSeeker otro de los programas que uso bastante seguido “Limpiar el registro” siempre marcando la opción de: “Backup antes de suprimir”.

En fin, continúo contándoles. De repente de la nada (aparentemente) ya que todo lo que había instalado antes de que ocurriera el error ya fue desinstalado, no otros programas que instalé posterior a este problema. La luz de la PC correspondiente al funcionamiento del disco rígido comenzó a parpadear sin parar, sin parar hasta resetear la PC. De hecho he efectuado algunas pruebas para poder brindarles más datos y en definitiva comprobé que el equipo comienza a realizar ese proceso de un instante a otro aprox. a los 7 min. de aparecida la pantalla de Bienvenida del SO. Este mismo error del disco me ocurre con los 2 usuarios que poseen derechos de administrador y emplean normalmente la PC.

Los últimos datos que les puedo brindar son que un poquito antes de que el disco rígido enloquezca, aparece entre los procesos del sistema un archivo llamado: “cidaemon.exe” que come aprox. el 50% de los recursos del sistema. De hecho he intentando terminar dicho proceso respondiendo que sí, sin embargo el proceso sigue funcionando como si nada. Lo mismo ocurre cuándo selecciono la opción de Finalizar árbol de procesos. Y dicho proceso no pertenece a ningún usuario sino al SYSTEM.

Llegué a pensar que quizá el disco rígido estuviera muy fragmentado pero no, el propio Desfragmentador de Windows me indicó que no era necesario efectuar una desfragmentación del mismo. Sin embargo no le hice caso y probé con el Diskeeper 9 quién consiguió desfragmentar un poco el disco pero igualmente el problema siguió ahí.

Es la primera vez que postéo en el foro de HijackThis, ojalá que la ayuda para resolver este problema (muy importante para mi) que no me deja usar la PC pueda venir de la mano de este programita. De lo contrario igual les estaría sumamente agradecido por brindarme algún que otro consejo.


A continuación el log:


Logfile of HijackThis v1.99.1
Scan saved at 07:50:34 a.m., on 28/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Copernic Summarizer\CSAgent.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Davo\Escritorio\Último Software Bajado y más!\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Archivos de programa\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CopernicSummarizerWatchdog] "C:\Archivos de programa\Copernic Summarizer\CSAgent.exe" /thisismandatory
O4 - Startup: AntiCrash.lnk = C:\Archivos de programa\Dachshund Software\AntiCrash\AntiCrash.exe
O4 - Global Startup: DUSuperControler.lnk = C:\Archivos de programa\DU Super Controler\DUSuperControler.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS
O8 - Extra context menu item: =>&Español - http:\\wordreference.com\es\j\iees69.htm
O8 - Extra context menu item: =>English - http:\\wordreference.com\es\en\j\iespen109.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Summarize Using Copernic Summarizer - C:\Archivos de programa\Copernic Summarizer\Web\SummarizePage.htm
O9 - Extra button: Summarize - {0F2D17A0-E7DF-4847-995B-6F3ABF5BF187} - C:\ARCHIV~1\COPERN~1\COPERN~2.DLL
O9 - Extra button: LiveSummarizer - {6170AB22-F1E5-4D4F-8F6C-826C73838581} - C:\Archivos de programa\Copernic Summarizer\CopernicSummarizerApp.dll
O9 - Extra button: (no name) - {B533C4C2-3FE2-4728-8661-AC93DF5D35A2} - C:\ARCHIV~1\COPERN~1\COPERN~2.DLL
O9 - Extra 'Tools' menuitem: Summarize Using Copernic Summarizer - {B533C4C2-3FE2-4728-8661-AC93DF5D35A2} - C:\ARCHIV~1\COPERN~1\COPERN~2.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O16 - DPF: Yahoo! Canasta - http://download.games.yahoo.com/games/clients/y/yt1_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/Spanish%20to%20English.cab
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe


En fin, muchas gracias a todos por su ayuda.

Saludos desde Uruguay!
Davo

A juzgar por la cantidad de memoria que tienes entre los dos discos, deduzco que utilizas un RAID 0, es decir, no hay redundancia de datos entre los discos para aumentar la velocidad pero sin un autentico RAID.

Aunque la memoria libre que tienes parece suficiente no es como tenerla de verdad en un solo disco, no tengo RAID pues opté por tener varias unidades ya que a fin de cuentas prefiero tener algo de seguridad en mis datos y la mejor de las particiones es tener varios discos.

Esto parece mas bien un problema físico, intenta actualizar el raid.

Este proceso sirve para hacer busquedas rapidas, algo que estaría relacionado con la naturaleza raid del sistema, pero el hecho de que se meriende esa memoria confirmaría los problemas que tiene para encontrar los ficheros lo cual estaría relacionado con un problema físico con uno de los discos o con la placa.


Sinceramente tengo mis dudas sobre la eficacia de una desfragmentacion en RAID.


El log no parece muy sucio, y no creo que esté relacionado con el problema que expones.

En cualquier caso puedes marcar para eliminar

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS
O20 - AppInit_DLLs: PAVWAIT.DLL

Outsider gracias por intentar ayudarme, te cuento lo que acabo de hacer hace casi una hora atrás y por ahora parece haber solucionado el problema.

Simplemente revisé el registro a fondo con el RegSeeker por entradas y archivos llamados "cidaemon" o "cidaemon.exe" y los borré todos. Al final el principal "cidaemon.exe" ubiado en C:\WINDOWS\system32 se me resistió a ser borrado pero lo terminé eliminando con el KillBox, fácil, mediante el método "Standard Kill File". Y antes de reiniciar el equipo me apareció una ventanita de Windows que decía algo así como "inserte su cd original de Windows para restaurar algunos archivos fundamentales del sistema", entoncés tomé el cd lo introduje, y a la misma vez precioné un botoncito que decís "Más detalles", no recuerdo con exactitud lo ocurrido pero no me pidió el cd o por lo menos como que no copió nada de él a la Pc y no pude leer nada de los "detalles". Entonces reinicié el equipo y revisé nuevamente por las dudas que no llegara a quedar algún rastro de "cidaemon" en algún lugar. Y listo, hasta ahora va 1 hora que la PC me funciona igual que antes.

Aún mantengo en la Papelera (por si a caso) todo lo borrado: entradas de registro y archivos.

Ahora me surgen otras interrogantes respecto al problema:

1) ¿Para que sirve realmente el cidaemon.exe? ¿Es fundamental para el SO Windows Profesional XP? ¿Me recomendarían restablecerlo a su ubicación original?

2) Refiriéndote a la función del "cidaemon.exe" dijiste...

¿Puede que el funcionamiento de dicho archivo esté ligado de alguna manera con el "Index Server"? Porque fijándome en la herramienta clásica "Buscar" del Windows XP, (por lo menos ahora) no dispondo de los servicios de "Index Server".

3) Por último, ¿cómo tengo que hacer para eliminar las lineas que anteriormente me indicaste? Te pregunto porque nunca antes usé dicho programa y no quiero meter la pata! je

Bueno, muchísimas gracias de paso a todos los que lean este mensaje y muy especialmente a Outsider!

Saludos desde Uruguay!
Davo

PD: No quiero dar por solucionado el tema hasta estar 100% seguro, hablo de esperar algunas horas más o un día más a reventar.

Hola

el cidaemon.exe es parte del Index Server, es decir, el servicio del sistema que se encarga de indexar tus archivos para que cuando hagas una búsqueda, las cosas sean más rápidas.

No es fundamental, pero ahora el servicio estará generando errores.

Es mejor que restaures el archivo y luego deshabilites el servicio para ahorrarte los problemas. Para deshabilitarlo ve a: Inicio > configuración > panel de control > herramientas administrativas > administrador de equipos > servicios. Ahí deberás buscar un servicio llamado Index Server.

Seguramente te causaba problemas porque segua trabajando y trabajando para indexar el contenido que debe indexar de tu disco, puede que no lo haya logrado hasta ahora por diversos motivos, pero lo imprtante es que si te da problemas, lo deshabilites.

Para "eliminar" esas líneas, solo has de volver a ejecutar el hijackthis y marcar las casillitas que están junto a ellas, luego presiona el botón que dice fix.

Felicidad

A mi me paso lo mismo, y me costo descubrir que era el Index Server. Parece que nadie se había dado cuenta hasta ahora. Parece que mata la máquina cuando tenesmos discos rígidos grandes con muchos archivos. Yo por ejemplo tengo 160 GB con un total de 60000 archivos. Simplemente desabilite Index Server en C: propiedades deshabilitar index server para las unidades. Lástima que tardo todo un día en indexar todo el disco y que tan facilmente nos borre todos los archivos indexados. A mi opinion debería de haber mas información sobre esto.