uso cpu al 100%+log hijack=solución?

Iniciado por fastid, 21 Abril 2010, 23:39 PM

0 Miembros y 1 Visitante están viendo este tema.

[Zero]


"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

fastid

bueno,esto es la releche
hoy al llegar a casa y ponerme a ver si hoy sacaba algo,resulta que se me ha instalado el xp smart security 2010,y ahora no puedo ejecutar ningún tipo de herramienta ni siquiera en modo seguro!

el avira me avisa que es un troyano,pero no puedo hacer nada

total,que lo llevo a una tienda,que hagan lo que tengan que hacer y fuera
ya me cansé,necesito el pc

gracias a todos,de verdad,ya os cuento,porque va pa largo ya que resulta que en las tiendas están bastante ocupaos :huh:,jaja,en fin
por cierto no es portátil,es de sobremesa

crazykenny

Una pregunta, fastid; ¿has pensado en hacerte copias de seguridad de tus cosas importantes y hacer un formateo de tu ordenador y reinstalar el sistema operativo, y luego instalarte un antivirus?.
Puede sonar algo descarado u algo asi, pero a mi me funciona.
Saludos.
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos.
Se responsable, consecuente y da ejemplo.
http://informaticayotrostemas.blogspot.com.es/2013/12/situacion-de-la-educacion-actual-en.html
https://informaticayotrostemas.blogspot.com/

skapunky

Esto de mal en peor..te has instalado un rogue (falso antivirus): mira este enlace:

http://www.2-spyware.com/remove-xp-smart-security-2010.html

Saludos.

PD: Usa el Malwarebytes para quitarlo.
Killtrojan Syslog v1.44: ENTRAR

fastid

gracias skapunky,a ver cuando tengo tiempo y me pongo con ello,porque me desespera,supuestamente sigo ese tuto y luego ya podría ejecutar malware,no?

y sí,ya lo pensé,de hecho tengo copia de seguridad de todos los documentos,el resto se puede ir al garete,como siga así

el tema está en no llegar al engorro del formateo (además nunca lo hice),otras veces conseguía eliminar los problemas,pero de esta no me libro

gracias

winroot

hola!
me voy un día, y pasa todo lo interesante  :D
cuando saques ese falso av, entra a inicio>ejecutar y escribe msconfig
desactiva todo menos el avira, y reinicia.
ahora, pasa la  tool que menciona novlucker, un antirootkit, y manda  otro log de hjt.


luego de esto, tendremos que eliminar los archivos.
una aclaración, para ver archivos ocultos, teines que tener   desactivada la opción ocultar archivos protegidos del sistema  operativo, o algo así dice.


aunque, para borrar ese archivo que dice skapunky, solo es poner  en un cmd:

cd /d c:\
del /s /q  archivo

si existe, se eliminara .
aunque, si tiene el  atributo +h+s, tendras que usar antes de ejecutar el comando del:
attrib -h -s -r archivo
bueno, espero que esto te sea   útil de alguna  manera.
saludos!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

fastid

bueno,parece ser que he conseguido deshacerme del xp smart security,me dió problemas,pero ahora estoy en modo normal y no hace acto de presencia veremos a ver

ahora me pongo con lo de svchost que ocupa el 100%,los pasos serían estos?
-antirootkit (que comenta novlucker) y las otras propuestas por skapunky (vale más que sobre  :laugh:)
-saco y os pego otro log de hjt
-me seguís comentando

por cierto,lo que se comentaba al principio de ese mongxa.exe,qué os parece?

gracias por la yuda gente,me estáis sacando del aprieto ;)

fastid

a ver,le pasé el svchost anlyzer y me dice que tengo alguno de los procesos svchost que dan problemas,le paso la herramienta y me clasifica los procesos según potencial peligrosidad,pero va en función de usuarios y demás,qué hago?

por cierto ahora le paso el hjt y lo pego

fastid

log de hjt,qué decís?:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:35, on 23/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS.0\SOUNDMAN.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Archivos de programa\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Winamp Remote\bin\OrbTray.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS.0\system32\tcpsvcs.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\wdfmgr.exe
C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS.0\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Video Compass - {52836EB0-631A-47B1-94A6-61F9D9112DAE} - C:\Archivos de programa\Veoh Networks\Veoh Video Compass\SearchRecsPlugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Archivos de programa\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SMSTray] C:\Archivos de programa\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Archivos de programa\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Orb] "C:\Archivos de programa\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [VeohPlugin] "C:\Archivos de programa\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: monxga32.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nwprovau.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

--
End of file - 8417 bytes


tengo un montón de cosas que tengo que borrar:ares,algo de una barra de winamp,juegos y demás

le pasé el spydllremover,pero supuestamente no detecta nada raro

el tema es que sigo con el dichoso svchost al 100%

winroot

hola,
y sigue el monxga32.exe
al inicio :D
no es muy complicado abrir el  msconfig y desactivarlo.

el resto es usar  la tool svchost analicer .

saludos,
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com