Mi pc va muy lento, POR FAVOR AYUDA y gracias adelantadas

Iniciado por lord-xavi, 8 Diciembre 2010, 23:30 PM

0 Miembros y 1 Visitante están viendo este tema.

lord-xavi

Bueno, en verdad no es mi pc sino el de un amigo si torre está mas que devastada XD, y el ordenador NO SE APAGA, se queda en "windows está cerrando" hoy he conseguido (y sinceramente no se como) que le vaya 0, mas rápido y se reinicie pero cuando lo he apagado ha salido un error diciendo que "win logon se ha cerrado demasiado rápido"
(o algo asi... XD) para ser honestos el no tenía un antivirus y tiene un disco duro con bipartición, (hoy le puse un AV el nod32 v4 y le detecto 4 troyanos en el almacén de los programas [tal vez por eso le vaya un poco más rapido])  y he descubierto que en su PC se arranca un .exe (nada más iniciarse el ordenador) se abre una aplicación (que no se ve masque por el administrador de tareas) y es "TWALINK.exe" no he conseguido obtener mucha informacion de ese archivo... aquí pongo el informe de hijackthis (que por desgracia no se leer bien) pero hay parte de el hijackthis que no me convence porque pone "(noname) y (nofile)" ejemplo:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)



(le he dicho de formatear pero no se fia de que se le borren TODOS los datos en vez de una parte de la biparticion)


AH, se me olvidaba comentar que no se puede acceder al modo seguro ya que su teclado "pierde" la "conexion" hasta que se termina de iniciar windows normalmente ...
aquí pongo el hijackthis completo, y espero que me den alguna idea para ayudarle con su pc... XD!

Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21293)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\TuneUp Utilities 2007\MemOptimizer.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Telefonica\bin\sprtsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Telefonica\bin\sprtcmd.exe
C:\Archivos de programa\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {EA35911C-1B6A-4AF3-B803-913BA025C271} - (no file)
O3 - Toolbar: Lphant MediaBar - {7FED05BE-14FB-4A41-B0D9-79ABBC36FEE4} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Camera Detector] C:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\WINDOWS\inf\unregmp2.exe /EnsureFileVersions
O4 - HKLM\..\Run: [{EC2170E3-0FB2-4C41-ACB9-F2C494F92C67}] E:\AT\ASISTE~B.EXE C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\GLFE.tmp\settings.ini
O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\StartCmd.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [edvgggph] "c:\documents and settings\administrador\configuración local\datos de programa\edvgggph.exe" edvgggph
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: HotKey.lnk = C:\Archivos de programa\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.18\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe
O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/ADMINI~1/CONFIG~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 9418 bytes


Gracias adelantadas.

Axus

Bueno veamos ahi que darle fix a estas entradas que nada tienen que hacer en esa pc.

Citar
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {EA35911C-1B6A-4AF3-B803-913BA025C271} - (no file)
O3 - Toolbar: Lphant MediaBar - {7FED05BE-14FB-4A41-B0D9-79ABBC36FEE4} - (no file)

Si e encontrado informacion del exe que dices que arranca con el ordenador una vez encendidida, pues bien es un virus.

Descarga:

Malwarebytes' Anti-Malware
http://www.malwarebytes.org/mbam.php

Has un scan completo a y elimina lo que encuentre y nos cuentas como te a hido.

PD:Despues de eliminar lo que encuentres con el Malwarebyte, estaria bien que hicieras una limpieza con el Ccleaner

Un saludo ;)

lord-xavi

Cita de: Axus en  9 Diciembre 2010, 20:15 PM
Bueno veamos ahi que darle fix a estas entradas que nada tienen que hacer en esa pc.

Si e encontrado informacion del exe que dices que arranca con el ordenador una vez encendidida, pues bien es un virus.

Descarga:

Malwarebytes' Anti-Malware
http://www.malwarebytes.org/mbam.php

Has un scan completo a y elimina lo que encuentre y nos cuentas como te a hido.

PD:Despues de eliminar lo que encuentres con el Malwarebyte, estaria bien que hicieras una limpieza con el Ccleaner

Un saludo ;)
gracias por tu respuesta, en cuanto pueda descargar el malwarebites y provarlo te comento que tal, y gracias de nuevo.

winroot

#3
Buenas!

O4 - HKLM\..\Run: [{EC2170E3-0FB2-4C41-ACB9-F2C494F92C67}] E:\AT\ASISTE~B.EXE C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\GLFE.tmp\settings.ini //un malware podría haber cambiado a .ini para que se abra como exe
O4 - HKCU\..\Run: [edvgggph] "c:\documents and settings\administrador\configuración local\datos de programa\edvgggph.exe" edvgggph //de este no encontre info en google

Si todo sigue igual, log de autoruns y eset sys inspector.
Lo del apagado, si no mal recuerdo, winlogon y csrss, se van cambiando mensajes, por lo que el error puede ser en winlogon, en csrss, o un driver que cuando le llega el mensage que manda el scm de apagado, termina a winlogon.
Saludos
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

lord-xavi

Cita de: winroot en  9 Diciembre 2010, 21:06 PM
Buenas!

O4 - HKLM\..\Run: [{EC2170E3-0FB2-4C41-ACB9-F2C494F92C67}] E:\AT\ASISTE~B.EXE C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\GLFE.tmp\settings.ini //un malware podría haber cambiado a .ini para que se abra como exe
O4 - HKCU\..\Run: [edvgggph] "c:\documents and settings\administrador\configuración local\datos de programa\edvgggph.exe" edvgggph //de este no encontre info en google

Si todo sigue igual, log de autoruns y eset sys inspector.
Lo del apagado, si no mal recuerdo, winlogon y csrss, se van cambiando mensajes, por lo que el error puede ser en winlogon, en csrss, o un driver que cuando le llega el mensage que manda el scm de apagado, termina a winlogon.
Saludos
Pero ¿como hago para que se arregle lo de el apagado?

Novlucker

Intenta primero limpiar esos bichos :P

SysInspector, debes de generar un log "público", eso lo haces desde Archivo > Generar > Para enviar, luego guardalo desde Archivo > Guardar registro, y posteriormente sube el archivo a algún servidor como megaupload o mediafire

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

winroot

Buenas!
Y también envía log de autoruns,
http://technet.microsoft.com/en-us/sysinternals/bb963902
Lo que escribí en mi anterior mensage son meras suposiciones, envianos los 2 logs, si es posible a megaupload.
Saludos
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

lord-xavi

bueno, gracias por todo, he decidido regalarle a mi amigo una ram (ya que la que tiene es de 512MB) y formatearle el pc XD pero repito muchas gracias por todo