(Problema) Anomalías extrañas y fantasmales en Win7

Iniciado por [Arg] $triker;, 16 Febrero 2016, 23:13 PM

0 Miembros y 2 Visitantes están viendo este tema.

[Arg] $triker;

Hola a todos. Me acabo de crear esta cuenta en el foro y soy nuevo en elhacker. Creo este tema porque tengo problemas en mi netbook Win7 debido a extrañas anomalías internas que sufre al realizar ciertas acciones.

Me considero un usuario avanzado con bastante experiencia y conocimiento sobre Windows en general, a pesar de nunca haberme comparado a mí mismo con otros usuarios con un enorme nivel de conocimiento sobre el tema, pero se puede decir que Windows 7 tiene pocos secretos para mí en este punto.
Durante todo el tiempo que estuve frente a la computadora, me deshice de varias y diferentes infecciones, y aprendí cómo tratarlas, pero esto ya está fuera de mi nivel.

Mi netbook tiene un sistema operativo Windows 7 Professional de 32 bits con 2 GB de RAM, y uso el antivirus AVAST (la versión free). Tengo la capacidad de ver archivos ocultos y de sistema y dispongo de derechos de administrador. Soy el único usuario en esta PC.
No descarto que en realidad estas anomalías se deban a lo gastada que podría estar esta PC en algunos aspectos, así que se debería considerar esta posibilidad.

Yendo al grano después de todas esas aburridas explicaciones, he notado que hay algo así como un "fantasma" en el sistema operativo. Estas son algunas de las anomalías que noté.

1. Muestra de las variables en batch
Yo me dedico a programar batch en mis tiempos libres. También tengo bastante experiencia con eso. El problema es el siguiente: Uno de mis mayores desafíos en la programación siempre fue hacer una ventana de CMD con una barra de progreso que fuera aumentando según las condiciones que se le dieran. Tengo la capacidad de hacer esto, pero este fantasma no me lo permite. Un día hice esto: una cuenta regresiva de un virus falso.
-----------------------------------------------------------------------------------------------
@echo off
title Advertencia
color 0c
mode con cols=60 lines=5
:preproc
set varvarvar=0
:preproc1
set /a varvarvar=%varvarvar% + 1
set %varvarvar%=:
if %varvarvar%==20 goto varproc
goto preproc1
:start
cls
echo        Estado del procesador
echo %1% %2% %3% %4% %5% %6% %7% %8% %9% %10% %11% %12% %13% %14% %15% %16% %17% %18% %19% %20%
echo %1% %2% %3% %4% %5% %6% %7% %8% %9% %10% %11% %12% %13% %14% %15% %16% %17% %18% %19% %20%
echo %1% %2% %3% %4% %5% %6% %7% %8% %9% %10% %11% %12% %13% %14% %15% %16% %17% %18% %19% %20%
echo     Desde esta vista se ve el fin de tu reino del terror.
goto varproc1
:varproc
set varvar=21
:varproc1
goto delay
:resume1
set /a varvar=%varvar% - 1
set %varvar%=-
if %varvar%==1 goto shiet
goto start
goto varproc1
:delay
set vaar=0
:delay1
set /a vaar=%vaar% + 1
if %vaar%==100 goto resume1
goto delay1
:shiet
exit
------------------------------------------------------------------------------------------------
La parte que importa es la parte que muestra el progreso con todas esas variables. (%1% a %20%)
Si abro el archivo, todo lo que pasa es que muestra "1234567891011121314151617181920", en vez de lo que realmente debería pasar, "::::::::::::::::::::" (el valor que todas las variables tienen). Agradecería si alguien probara esto en su PC y me dijera si pasa lo mismo o si funciona bien, para indicar si es mi error o si es el fantasma. En caso de que lo primero sea cierto y fuera mi error, agradecería si se me señalara el error.
Otra pista clave es que si hago que todas las variables (desde %1% hasta %20%) tengan el valor ":" en una ventana de CMD normal (no el archivo ejecutado), funciona y sale "::::::::::::::::::::" cuando introduzco "echo %1% %2% %3% %4% %5% %6% %7% %8% %9% %10% %11% %12% %13% %14% %15% %16% %17% %18% %19% %20%".

2. Problemas con el administrador en la CMD
Otro problema relacionado con el batch es que algunos módulos de la CMD (como es el caso de FINDSTR y otros) ejecutados como archivos .cmd responden bien y sin errores cuando se trata de estar siendo ejecutados sin privilegios de administrador, pero al agregarle privilegios de administrador, responden mal.
FINDSTR no funciona cuando es ejecutado con privilegios de administrador, no reconoce cadenas de texto, en otras palabras.

Estos problemas son sólo resúmenes. El batch del problema 1 no es el único que me trajo problemas con ECHO junto con variables y FINDSTR tampoco es el único comando que tiene ese defecto, hay muchos más.
Intentar rodear estos problemas cuesta mucho esfuerzo mental y ya se están volviendo muy, muy molestos, contando con lo dicho en el anterior párrafo.

3. Procesos fantasmas
Este es uno de los dos problemas que pienso que no pertenecen al fantasma. Al abrir el administrador de tareas en la pestaña de Procesos y terminar un proceso, el proceso no desaparece completamente de la visión del administrador de tareas. Queda un "Residuo" del proceso, que es llanamente el proceso que acabo de terminar, pero que consume nada más que 64, 32, o 160 KB de memoria, y que no se puede terminar (Es decir que al intentar hacerlo no pasa nada, es como si lo hubieras terminado pero sigue ahí, por eso se llama "proceso fantasma"). Si trato de terminar el proceso con la CMD (TASKKILL) figura que el proceso no está en ejecución. (Otra razón para llamarlos fantasma)

Hipótesis
¿Será que a estos procesos les pasa lo mismo que les pasa a mis batches en el problema 5?

4. Problemas de gráficos
El otro problema que creo que no pertenece al fantasma. Al abrir ciertos juegos en pantalla completa, se presentan problemas de todas las formas y tamaños.
El Age of Empires II presenta problemas de texturas; el pasto presenta pixeles de color rojo entre los verdes y los mares presentan pixeles de color blanco entre los diferentes tonos de azul.
El Multi Theft Auto tiene tearing en la parte inferior izquierda. (creo que es por la resolución)
Jugar al Super Mario 64 en Project64 hace que las texturas se vean dobladas y fuera de perspectiva, haciendo el juego más difícil.
El Unreal Tournament GOTY o UT99 se volvía loco (literalmente, no se podían reconocer ni los botones) cuando intentaba usar gráficos renderizados por Direct3D y se veía mal al ser renderizado por OpenGL. Tuve que instalar un driver especializado para el juego (Direct3D 9), y funciona bien en gráficos a pesar de tener mal sonido.

5. Please check
Usando notepad++, no puedo sobreescribir un archivo batch que se ejecutó hace unos minutos antes. Es decir, si guardo un batch con notepad++, lo ejecuto, espero a que termine de ejecutarse, modifico el batch en notepad++, y lo intento sobreescribir, me tira un error diciendo "Please check if this file is opened in another program.", que no desaparece hasta que pasan unos minutos. Después de unos minutos me deja guardar el archivo.
En el momento del error, puedo garantizar que no tengo ningún proceso que no conozca ni ningún programa más que el notepad++ con ese archivo abierto, tanto ejecutando el administrador de tareas como administrador como sin los privilegios. Al administrador de tareas no se le puede esconder nada, pero sí se puede camuflarse ante él, como dijo un amigo. También usé un programa de terceros confiable llamado Process Explorer, que muestra las librerías DLL y todos los datos abiertos por los procesos, pero tampoco. Nada.

Hipótesis
¿Será que la CMD tiene problemas con respecto a terminar su ejecución?
¿O será que el fantasma está espiando lo que se ejecuta en mi computadora?

6. Problemas de eliminación de archivos
Al intentar eliminar ciertos archivos (archivos que no coinciden en ningún atributo, como si fueran aleatorios) se me presenta  un mensaje que me pide validación de administrador, si la proporciono, no me permite eliminar los archivos porque se necesitan permisos de "Todos". Se puede eliminar la carpeta eliminando los archivos adentro y luego eliminando la carpeta raíz, salvo algunos casos en los que tengo que utilizar la CMD, que representa otras credenciales, por lo tanto puede eliminar los archivos.
Este mensaje me da una pista: Hay otro/s usuario/s (posiblemente el fantasma) que no consiente/n la eliminación de dichos archivos.

Hipótesis
¿Será que el usuario "SYSTEM" está "poseído" por el fantasma mediante ejecutables o DLLs infectados, y hace que no consienta la eliminación de los archivos?
¿Será que hay un conjunto de credenciales (que windows considera como usuario independiente) puestas por el fantasma que no permite que elimine los archivos, ya que ese usuario fantasma está incluido en "Todos"?

7. Los ejecutables de juegos se tienen que correr dos veces
Cuando ejecuto un acceso directo a ciertos juegos, se aparece un proceso fantasma del ejecutable (como los del problema 3.) que consume entre 1.000 y 2.000 KB de memoria. Al insistir y ejecutar el acceso directo otra vez, el juego abre. El juego siempre abre la segunda vez que se ejecuta, tanto si se está ejecutando el proceso fantasma como si no se ejecuta (en algunas ocasiones en las que se cierra el proceso fantasma por insistencia).
Este problema tiene efecto con The Conquerors (Expansión de Age of Empires II), Project64 y Crayon Physics Deluxe.

Hipótesis
¿Será que pasa lo mismo que con mis batches en el problema 5?

8. Mensaje de error driver de pantalla
Cada tanto cuando estoy mirando videos de YouTube, se me presenta una congelación efímera de la computadora en general (tanto audio como video como mouse y teclado) y entonces la pantalla se torna negra (pixeles apagados) y luego se reanuda todo y en el área de notificaciones se me indica que el controlador de pantalla colapsó y luego se recuperó.

Hipótesis
¿Será que pasa lo mismo que en el problema 4?

9. Corte repentino de la música
Al programar batches tengo la costumbre de escuchar algunos buenos dubsteps que tengo guardados como mp3 en una tarjeta SD de 1 GB que nunca saco de la computadora, y en algunos momentos el reproductor de Windows Media se corta. Sí, se corta. Se corta por unos segundos y luego sigue andando desde el mismo punto en que se cortó, como si buscara un lugar en la memoria para seguir reproduciendo la música.
Esoya es bastante malo hasta sin mencionar que el Reproductor de Windows Media ya me consume bastante memoria RAM.

10. Papelera en D:
Así como lo leen. Tengo una papelera en D. Lo más probable es que sea una secuela del virus Recycler, del que me deshice hace unos meses (No me crean si no quieren. https://norfipc.com/virus/eliminar-recycler.html), pero no pierdo nada con preguntar.

11. Sospechosas entradas del registro
Conozco dos entradas  en el registro de mi computadora que parecen altamente sospechosas. Es posible que haya muchas más.
HKCU\Control Panel\don't load
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR
El primero no contiene nada, pero es sospechoso por su nombre... No parece creado por el sistema operativo.
El segundo contiene registros y datos sobre algunos ejecutables, como última ejecución, etc.

------------------------------------------------------------------------------------------------

Perdón si hice demasiado largo el post (para ser el primero que hago).
Repito: no descarto que en realidad estas anomalías se deban a lo gastada que podría estar esta PC en algunos aspectos, así que se debería considerar esta posibilidad.
Necesito un exterminador de fantasmas urgente! xD
Saludos a todos.
8Noobs - Comunidad para todos y todas, sin importar sus conocimientos en informática.

--> Unirse a 8Noobs <--

andavid

La verdad bastante resumido el problema...pregunta: ya le pasate un antirootkit yu el hijackthis?, si tienes un log del hijackthis lo puedes poner aca y lo revisamos.


[Arg] $triker;

Tengo la suficiente seguridad como para decir que nada pasa en mi computadora sin mi consentimiento; diariamente reviso mis reglas de firewall, mismo con procesos en ejecución, con servicios, programas de arranque, entradas de registro, pruebo la vitalidad de mi antivirus con un virus falso que considera ofensivo; lo actualizo, reviso sus excepciones, también tengo actualizado WinDefender, no tengo ni un simple problema en el centro de actividades, reviso el archivo hosts, reviso los handles de los procesos con ProcessExplorer y reviso las conexiones activas con NetStumbler. Todo eso, todos los días y hasta ahora no me reportó nada.
Estoy seguro de conocer absolutamente todas las entradas de este resumen.
Perdón si está mal el formato del resumen, recuerden que soy nuevo en elhacker.

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 10:25:08 a.m., on 17/02/2016
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.18163)

FIREFOX: 40.0.2 (x86 es-ES)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\explorer.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\On Screen Indicator\bin\FnKeyHook.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\Alumno\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.111.255.4:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=C:\Windows\system32\explorer.exe
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file)
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [FnKeyHook] C:\Program Files\Intel\On Screen Indicator\bin\FnKeyHook.exe
O4 - HKLM\..\Run: [AlwaysAware Hard-Disk Drive] "C:\Program Files\Intel(R) Learning Series\HDD Protection\HDD Protection\HPUtility.exe" /p
O4 - HKLM\..\Run: [GfxServiceInstall] C:\Windows\system32\GfxCUIServiceInstall.vbs
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - (no file)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe
O23 - Service: AlwaysAware HDP Service - OEM - C:\Program Files\Intel(R) Learning Series\HDD Protection\HDD Protection\HDPService.exe
O23 - Service: @%systemroot%\system32\appidsvc.dll,-100 (AppIDSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @appmgmts.dll,-3250 (AppMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (Audiosrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\bdesvc.dll,-100 (BDESVC) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Device Control Service - Intel Corporation - C:\Program Files\Intel\Device Control Service\DeviceControlService.exe
O23 - Service: @%SystemRoot%\system32\dhcpcore.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\UtcResources.dll,-3001 (DiagTrack) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\FntCache.dll,-100 (FontCache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Google Update Servicio (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update Servicio (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-500 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn Hamachi\LMIGuardianSvc.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\FirewallAPI.dll,-23090 (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe
O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
O23 - Service: Agente de Protección de acceso a redes (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netprofm.dll,-202 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\peerdistsvc.dll,-9000 (PeerDistSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpauto.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpo.dll,-100 (Power) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @regsvc.dll,-1 (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%windir%\system32\RpcEpMap.dll,-1001 (RpcEptMapper) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Ubicador de llamada a procedimiento remoto (RPC) (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: RzKLService - Razer Inc. - D:\Razer Cortex\RzKLService.exe
O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\ipnathlp.dll,-106 (SharedAccess) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe
O23 - Service: @%SystemRoot%\system32\sppuinotify.dll,-103 (sppuinotify) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Servicio de protocolo de túnel de sockets seguros (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (StiSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\StorSvc.dll,-100 (StorSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Superfetch (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\themeservice.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
O23 - Service: @%SystemRoot%\system32\umrdp.dll,-1000 (UmRdpService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe
O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe
O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wscsvc.dll,-200 (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Unknown owner - C:\Windows\system32\SearchIndexer.exe
O23 - Service: @%systemroot%\system32\wuaueng.dll,-105 (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wwansvc.dll,-257 (WwanSvc) - Unknown owner - C:\Windows\system32\svchost.exe

--
End of file - 17080 bytes
8Noobs - Comunidad para todos y todas, sin importar sus conocimientos en informática.

--> Unirse a 8Noobs <--

andavid

Bueno como indicas no veo procesos extraños...

Supongo que esta entrada corresponde al filtro puesto por el firewall que tienes correcto?
CitarR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.111.255.4:80

Borrale los siguientes huerfanos:
Citar
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file)
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - (no file)

Veo tambien que hay muchas llamadas a archivos .dll, prueba pasandole el vundofix

Saludos


[Arg] $triker;

Cita de: andavid en 17 Febrero 2016, 22:36 PM
Bueno como indicas no veo procesos extraños...

Supongo que esta entrada corresponde al filtro puesto por el firewall que tienes correcto?
Borrale los siguientes huerfanos:
Veo tambien que hay muchas llamadas a archivos .dll, prueba pasandole el vundofix

Saludos
La entrada no corresponde a ningún filtro de firewall, es del actual servidor proxy que tengo configurado (a pesar de no estar activado puesto que la entrada en esa misma clave llamada ProxyEnabled está en 0).
Me podrías explicar exactamente cómo "borrar" esas líneas? No sé usar muy bien el HijackThis, lo descargué apenas me lo pediste.
Y tal como lo hice con el HijackThis voy a ver cómo va con el vundofix aunque no sepa que es exactamente.
8Noobs - Comunidad para todos y todas, sin importar sus conocimientos en informática.

--> Unirse a 8Noobs <--

andavid

Despues de hacer el escaneo en los espacios de la izquierda se marcan las entradas y abajo se le da "FIX"


[Arg] $triker;

#6
El vundofix analizó todo y no encontró ningún problema.
También pasé el Malwarebytes Anti-Rootkit sin resultado.
Aprovecho para reportar un nuevo problema.

Al ejecutarse un comando START que abra un archivo, no se ejecuta el archivo sino que se abre una ventana de la CMD cuyo título es el nombre del archivo que intento ejecutar con START.
Ya está, necesito una solución urgente, no puedo seguir así.

Ya borré todas las entradas que mencionaste.
8Noobs - Comunidad para todos y todas, sin importar sus conocimientos en informática.

--> Unirse a 8Noobs <--

Flipeador

1.
CitarMe considero un usuario avanzado con bastante experiencia y conocimiento [bla bla bla]

2.
CitarAl ejecutarse un comando START que abra un archivo, no se ejecuta el archivo sino que se abre una ventana de la CMD cuyo título [...]

3.
Citardiariamente reviso mis reglas de firewall, mismo con procesos en [...]

Creo que el problema es que el punto 1 no es verdadero, y esto hace que el 2 y el 3 tampoco lo sean. El 2 te aconsejo que veas la sintaxis. Con respecto al 3, demasiada metida de mano innecesaria, tal vez ahí está el problema.

Saludos!

andavid

Cita de: Flipeador en 18 Febrero 2016, 22:23 PM
1.
2.
3.
Creo que el problema es que el punto 1 no es verdadero, y esto hace que el 2 y el 3 tampoco lo sean. El 2 te aconsejo que veas la sintaxis. Con respecto al 3, demasiada metida de mano innecesaria, tal vez ahí está el problema.

Saludos!
Estoy de acuerdo, me parece que problema de malware no es, mas parece que por tanto software pueden aparecer falsos positivos. Puede ser o el firewall o el antivirus que estan bloqueando procesos de ejecucion del sistema.


[Arg] $triker;

#9
Cita de: Flipeador en 18 Febrero 2016, 22:23 PM
1.
2.
3.
Creo que el problema es que el punto 1 no es verdadero, y esto hace que el 2 y el 3 tampoco lo sean. El 2 te aconsejo que veas la sintaxis. Con respecto al 3, demasiada metida de mano innecesaria, tal vez ahí está el problema.

Saludos!

Para empezar, voy a intentar no tomar la primera oración como un insulto. Además lo que yo puedo razonar a partir de eso, es que los puntos 2 y 3 aseguran la validez del punto 1, y que a su vez el punto 1 responde a los puntos 2 y 3, asegurando en base al punto 1 que en el punto 2, la básica sintaxis de START ya fue revisada antes de tu pregunta, y es exactamente la misma que tenía cuando funcionaba. Teniendo en cuenta la confiabilidad del punto 1 se puede decir que no cometería un error como ese.
También en base al punto 1 se puede decir que tengo suficiente habilidad como para saber qué son todas las cosas que reviso.
Y además también intenté desactivar los programas que tuvieran que ver con la manipulación de archivos (antivirus, ProcessExplorer, NetStumbler, blablabla)

Seamos comprensivos. Si digo que no soy un newbie, es porque no lo soy.
8Noobs - Comunidad para todos y todas, sin importar sus conocimientos en informática.

--> Unirse a 8Noobs <--