Bienvenido: ( Identificarse | Registrarse )      
Foros de Trucos Windows
 
 Closed TopicStart new topicStart Poll

Outline · [ Estándar ] · Lineal+

> CPU al 100%, me anda todo lento

caradecocou
post May 9 2005, 06:18 PM
Publicado: #1


Maestro
*****

Grupo: Members
Mensajes: 323
Registrado: 19-January 05
Desde: Ensenada - Bs. As. - Argentina
Miembro nº: 64.042
Hola, el problema es que me sale uso de CPU al 100%, la mayoría de los recursos los usa el proceso svchost.exe y a cada rato se crean procesos con el nombre ftp (los detecta el kasperksy) Pongo mi log del hijack

Logfile of HijackThis v1.99.1
Scan saved at 10:07:05 a.m., on 09/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=3082
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus CX3500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BL.EXE /P26 "EPSON Stylus CX3500 Series" /O6 "USB001" /M "Stylus CX3500"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Ajuste del explorador de Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{03EF822A-ACE5-4FB5-A914-CFAF6589D7E0}: NameServer = 200.51.212.7 200.51.211.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{03EF822A-ACE5-4FB5-A914-CFAF6589D7E0}: NameServer = 200.51.212.7 200.51.211.7
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)


Gracias, salu2
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Arwing
post May 10 2005, 01:14 AM
Publicado: #2


Maestro Perfecto
Group Icon

Grupo: Miembros Vitalicios
Mensajes: 1.738
Registrado: 10-January 04
Miembro nº: 62
¿ftp.exe? ¿En qué carpeta se encuentra ese archivo? Si es en un System32 entonces debería ser el archivo legítimo de Windows.

Veamos si con esto se arregla:

Nota: Si desconoces alguno de los procedimientos que te pido (generalmente remarcados en negritas), visita el siguiente enlace donde se explica acerca de esos procedimientos:

http://www.arwinianos.net/foro/index.php?topic=39

Reinicia en Modo Seguro.

Abre el Administrador de Procesos y cierra los siguientes procesos (pueden o no estar los que menciono):

SCardClnt.exe

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis, cierra todos los navegadores y administradores de archivos que tengas abiertos (por ejemplo Internet Explorer y/o el Explorador de Windows) y selecciona las siguientes entradas (las que estén presentes):

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe

Y da click en el botón "Fix Checked"

Para borrar las entradas O23 de los servicios, primero dirígete a Inicio >> Ejecutar >> services.msc >> e identifica los siguientes servicios:

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe

Da click derecho sobre ellos y selecciona Propiedades, si el servicio está Iniciado, entonces deténlo y cambia su tipo de inicio a Deshabilitado y acepta.

Ahora con HijackThis ve a Config >> Misc Tools >> Delete a NT Service y escribes el nombre del servicio:

SCardClnt

Y aceptas.

Reinicia el sistema, pruébalo y dime si ha mejorado. Postea otro Log para ver si tu sistema ha quedado limpio de malware.

Saludos
Arwing


User is offlineProfile CardPM
Go to the top of the page
+Quote Post
caradecocou
post May 10 2005, 01:25 PM
Publicado: #3


Maestro
*****

Grupo: Members
Mensajes: 323
Registrado: 19-January 05
Desde: Ensenada - Bs. As. - Argentina
Miembro nº: 64.042
Hola. El problema lo pude solucionar activando el firewall. Hice lo que dijiste, pero ahora cuando arranca la máquina se cierra solo el outpost. También hay dos procesos que se cargan siempre (antes también estaban) que no sé qué son. Se llaman: DKService.exe y wdfmgr.exe Sirven para algo? Yo los cierro y todo funciona igual. Ahí pego otro log para ver si ya está todo ok. Gracias por la ayuda. Salu2 bye1.gif

Logfile of HijackThis v1.99.1
Scan saved at 09:22:00 a.m., on 10/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=3082
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus CX3500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BL.EXE /P26 "EPSON Stylus CX3500 Series" /O6 "USB001" /M "Stylus CX3500"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Ajuste del explorador de Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{03EF822A-ACE5-4FB5-A914-CFAF6589D7E0}: NameServer = 200.51.212.7 200.51.211.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{03EF822A-ACE5-4FB5-A914-CFAF6589D7E0}: NameServer = 200.51.212.7 200.51.211.7
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Arwing
post May 10 2005, 05:58 PM
Publicado: #4


Maestro Perfecto
Group Icon

Grupo: Miembros Vitalicios
Mensajes: 1.738
Registrado: 10-January 04
Miembro nº: 62
Hola, tu log se ve limpio, el DKService es del DisKeeper y el wdfmgr.exe es el Windows Driver Foundation Manager, parte del Windows Media Player 10, si te dan problemas me parece que ambos los puedes deshabilitar en Inicio >> Ejecutar >> services.msc, sólo cambias su forma de arranque a Deshabilitado y observa si dejan de dar problemas.

Lo del Outpost no sabría decirte notengoidea.gif

Saludos
Arwing
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
 

 
 Closed TopicTopic OptionsStart new topic

Invision Power Board v2.0.4 © 2008  IPS, Inc. Licensed to: ©trucoswindows.net