Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Saludos a todos, es la 1era vez q posteo algo aki, me parece una excelente pagina de soporte comun, me he registrado para poder postear mi caso, tengo al parecer un spyware q al iniciar mi makina x lo general usa todos sus recursos x medio del proceso svchost.exe exactamente, ya he tenido problemas con esto antes y tuve q formatear y d hasta cambiar d disco duro, aunk mi backup lo puse en otra particion q luego volvi a compartir con el nuevo disco duro, y depsues d unos meses el problema ha vuelto, el atake es lento, poco a poco va consumiendo recursos x mas tiempo, antes solo cerraba y abria sesion pa q no molestara pero poco a poco se hace mas constante y no deja hacer nada x unos 5 min maxino aveces, espero q sus sugerencias, tengo aki mi Logfile of HijackThis v1.99.1 espero q les sirva d algo.
Porsiacaso ya le pase el ad-adaware y el spybot en modo seguro y naa, tengo el nod32 aunk no lo he pasado en modo seguro.
De lo q veo del hijackthis me parece sospechoso los 1eros registros q muestra, los de internet explorer en especial, para q tengan una idea yo tengo en mi PC el firefox, nod32, jdk 1.5.0.09 con su jre, creative (por mi mp3 player), office 2003 (nose xq sale ahora eso del excel), adobe acrobat 7.08, Rational Suite Enterprise (Rational Rose), macromedia Studio 8, Esa cochinada de buskador d escritorio d windows q no puedo borrar, los 2 anti-spyware, reg seeker (limpie registro y naa), uso el outlook pa mi correo ahora (hotmail. gmail), visio, project, reproductor windows media 11, no tengo windows genuino (no se xq dice ahi), Active scan y spy sposer d panda Online, nero 6.08, winamp 5.31, y asi. Espero les sirve d algo trato d explicar en lo poco q se q podria ser, espero q me kiten mis dudas para tambien poder saber como usar el hijackthis, gracias JEASSON. Aki les dejo el .log:

Logfile of HijackThis v1.99.1
Scan saved at 10:47:16 p.m., on 13/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Administrador\Escritorio\hijackthis\Hijac kThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Live Search:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search:
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Live Search:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1155421582578
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38BA0EA9-5F26-4ADC-95C5-22A970411323}: NameServer = 200.48.225.146,200.48.225.130
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

Hola y Bienvenid@ a forospyware

El log no muestra ningún problema, esta limpio

¿Por qué el svchost.exe me consume el 99% de los recursos del sistema?

salu2

Que tal Next Spy, gracias por ver mi log, me siento algo aliviado al no tener virus, aunque no entiendo aun xq el tiempo de consumo va en aumento, asi como me paso con mi disco antiguo, conste q ese disco ya no lo aguantes el tiempod demora y lo cambie jeje. Bueno lei el informe q Linkeaste y bueno supongo q lo mio podria ser lo del wuauclt.exe q busca actualizarse aunq sigo sin entender xq tanto tiempo, le verdad tengo miedo q me pase lo d la ultima vez. Hay un punto q no se como hacer lo: 2. Configurar las actualizaciones automáticas para "no" iniciarse junto al sistema. Nose como hacer para q no se inicie con el sistema?. Tengo q desactivarlo?. Bueno ojala y me puedas aconsejar xq no se xq pasa eso con mi PC y con otras no. Como trabajo exclusivamente con esa PC y tengo info muy importante, no kiero perderla ni tampoco perder tiempo cambiando Disco duro y haciendo backup si al final va aser lo mismo. Gracias x tu rpta. JEASSON

Hola

Ve a inicio/panel de control/actualizaciones automáticas/ seleccionas "desactivar actualizaciones automáticas"

Ve a inicio/ejecutar y escribes "msconfig"/pestaña "Servicios"/ Buscas y desmarcas la "Actualizaciones automáticas"/ luego aplicar y aceptar, reinicias y luego me cuentas

salu2

Q tal next spy, bueno probe recien lo q me dijist y bueno parece q si era eso, pero aun tengo dudas. Porque la vez anterior q tuve ese problema ya la makina no me respondio, bueno kisaz ese si fue un spyware, pero mucha coincidencia me hace dudar. Tambien keria saber xq ese consumo cada vez se nota mas o va en aumento (empieza con 1 min y despues ya esta mas d 5min) kisaz sea x el internet?. Bueno y la otra es q tome la imagen d los procesos xq como dice el link q me pusist, lo q consume gran parte en el svchost.exe es el wuauclt.exe, pero mi duda es q en la imagen q tome esta el svchost.exe al 99% pero con 2 wuauclt.exe debajo, entonces, los esta ejecutando en 2do plano? xq salen ahi entonces?
PD: Jeje no se como insetar una imagen d mi PC aki, kisaz no se pueda x espacio pero bueno en el administrador d tareas dice: svchost.exe 99% y 84.336KB Usuario SYSTEM (Yo soy administrado), y los 2 wuauclt.exe son del administrador y SYSTEM 00% y 4.400KB y 5.420KB respectivamente. Espero puedas kitarme las dudas.
Porsea algo q no dije es q tengo instalado el msgplus pero le desactive la famosa opcion q activa el spyware, y tambien inserte en el registro un caracter alfanumerico como "Alexa Toolbar" para q me reconosca el megaupload, no creo q haya porblemas con eso no?
Gracias x tu rpta. JEASSON

Hola

wuauclt.exe es el encargado de verificar las actualizaciones de Windows, si tienes las actualizaciones automáticas activas este proceso iniciara con el sistema y se mantendrá activo a menos que tu lo termines

¿Instalaste la Alexa Toolbar?

Alexa es un spyware

1.- Desactiva Restaurar Sistema

2.- Utiliza el Ccleaner - Manual para eliminar las cookies y temporales

3.- Utiliza el Regseeker - Manual para limpiar el registro

4.- Analiza el sistema con Kaspersky online - Manual y con Ewido Online

Luego pegas ambos reportes

salu2