mi pc usa el 100% por causa del scheduler

Tema en 'Windows XP' comenzado por RicardoHP, 25/8/04.

Estado del tema:
No está abierto para más respuestas.
  1. RicardoHP

    RicardoHP Nuevo Miembro Miembro

    hola amigos del foro tengo problemas.

    tengo un pentium 4-516 de ram-80 disco duro- prosesador de 2.8

    es pc esta lento tengo instalado el ad-aware 6.0-spybot searchr y el system works . el problema es que al entrar al administrador de programas me doy cuenta que hay un proseso de nombre scheduler.exe que de repente usa casi el 98% de la cpu le pongo terminar y el pc vuelve a la normalidad pero despues de poco rato vuelve con lo mismoy sube de porcentaje hasta saturarme el pc porfavor si alguien sabe me podria ayudar a y el pc esta formateado hace menos de 2 semanas y lo hice por lo mismo per no se gracias de antemano espero su sabiduria chauuuuuuuu
  2. jbex

    jbex El que peca y reza empata Administrador

  3. RicardoHP

    RicardoHP Nuevo Miembro Miembro

    hola gracias por responder mira si la vi pero aca envio lo que me salio con el hijackthis. para que me ayuden si pueden por fa ya que no quiero borrar cosas de mas



    Logfile of HijackThis v1.98.2

    Scan saved at 3:23:49, on 25-08-2004

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

    C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

    C:\Archivos de programa\Ultimate Popup Killer\Popupkiller.exe

    C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

    C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

    C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

    C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

    C:\WINDOWS\System32\taskmgr.exe

    C:\Archivos de programa\Winamp\winamp.exe

    C:\Archivos de programa\The Cleaner\cleaner.exe

    C:\Archivos de programa\The Cleaner\tca.exe

    C:\Archivos de programa\The Cleaner\tcm.exe

    D:\Instaladores\Hijackthis\HijackThis.exe

    C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

    C:\WINDOWS\System32\scheduler.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: SetupHtml Class - {51641EF3-8A7A-4D84-8659-B0911E947CC8} - C:\WINDOWS\DOWNLO~1\DOWNLO~1.DLL

    O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll

    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

    O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll

    O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O4 - HKLM\..\Run: [mmtask] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe

    O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

    O4 - HKLM\..\Run: [Service Scheduler] scheduler.exe

    O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe

    O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe

    O4 - HKLM\..\RunServices: [Service Scheduler] scheduler.exe

    O4 - HKCU\..\Run: [Ultimate Popup Killer] C:\Archivos de programa\Ultimate Popup Killer\Popupkiller.exe

    O8 - Extra context menu item: Allow popups - file://C:\Archivos de programa\Ultimate Popup Killer\Popupkiller.html

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

    O16 - DPF: {51641EF3-8A7A-4D84-8659-B0911E947CC8} (SetupHtml Class) - http://www.contenidospc.com/instalador.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

    O16 - DPF: {C4CA6559-2CF1-48B6-96B2-8340A06FD129} - http://www.adbars.com/adbars.cab
  4. jbex

    jbex El que peca y reza empata Administrador

    Tendrás q esperar a ver q te dicen alnitak o Arwing, pero tu problema se debe a scheduler.exe, y en ese log se ven las entradas perfectamente:





    Lo q si te recomiendo es q no tengas activados tantos servicios en el inicio:

    Todos esos servicios lo único q hacen es consumirte recursos y ralentizarte el arranque de tu windows.

    Un saludo, jbex
  5. RicardoHP

    RicardoHP Nuevo Miembro Miembro

    pero como desactivo lo que no necesito para que el pc me corra con lo justo y necesario?. esperando respuesta para ver que hago con el schedule
  6. alnitak

    alnitak Nuevo Miembro Miembro



    Hola.



    Estás infectado por este gusano:



    http://uk.trendmicro-europe.com/enterprise...=WORM_AGOBOT.UP



    Que es el que te provoca mas problemas.



    Tambien estás infectado por un par de adwares:



    El Adbars > http://www.pestpatrol.com/pestinfo/a/adbars.asp



    y



    El eXact Advertising > http://www.doxdesk.com/parasite/BargainBuddy.html



    Entra primero al panel control > agregar / remover programas y trata de desinstalar los adwares si se te da la opción.





    Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:



    http://service1.symantec.com/SUPPORT/INTER...4b?OpenDocument



    Reinicia el sistema en modo seguro:



    http://service1.symantec.com/SUPPORT/INTER...65?OpenDocument



    Desactiva la opción de restaurar el sistema:



    http://service1.symantec.com/SUPPORT/INTER...020515173946924



    Abre el administrador de tareas y de estar presente termina este proceso(no deberia estar):



    C:\WINDOWS\System32\scheduler.exe



    Inicia el HijackThis.



    Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)



    Corre el HijackThis, dale a Scan , cheka las casillas de las siguientes entradas y dale a fix:



    O2 - BHO: SetupHtml Class - {51641EF3-8A7A-4D84-8659-B0911E947CC8} - C:\WINDOWS\DOWNLO~1\DOWNLO~1.DLL

    O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll

    O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll

    O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll



    O4 - HKLM\..\Run: [Service Scheduler] scheduler.exe



    O4 - HKLM\..\RunServices: [Service Scheduler] scheduler.exe



    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)



    O16 - DPF: {51641EF3-8A7A-4D84-8659-B0911E947CC8} (SetupHtml Class) - http://www.contenidospc.com/instalador.cab

    O16 - DPF: {C4CA6559-2CF1-48B6-96B2-8340A06FD129} - http://www.adbars.com/adbars.cab





    Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:



    http://www.trucoswindows.net/detalles-110-...ner_151190.html



    O si prefieres te lo bajas desde la pagina del autor para asegurarte que sea la ultima versión (es freeware)



    http://www.xs4all.nl/~mp2004



    Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).







    Elimina estos archivos(los nombres exactos los puedes ver en las paginas que te he linkado arriba)



    C:\WINDOWS\DOWNLO~1\DOWNLO~1.DLL

    C:\WINDOWS\System32\nvms.dll

    C:\WINDOWS\System32\mscb.dll

    C:\WINDOWS\System32\msbe.dll



    scheduler.exe



    Ahora abre el editor de registro:



    Inicio>>ejecutar>>escribes regedit y aceptas:



    Respaldalo (archivo>>exportar y lo salvas)



    Navegalo hasta esta rama:



    HKEY_LOCAL_MACHINE\

    System\

    CurrentControlSet\

    Control\

    Lsa\



    Localiza la siguiente entrada y cambia el valor a 0



    restrictanonymous = "0"



    Ahora navegalo hasta esta rama:



    HKEY_LOCAL_MACHINE\

    Software\

    Microsoft\

    Ole\



    Localiza la siguiente entrada y cambia el valor a Y



    EnableDCOM = "Y"



    Cierra el editor de registro y ubica ahora el archivo Host que se en encuentra en:



    C:\WINDOWS\System32\ Drivers\etc\Hosts



    Abrelo con el bloc de notas (boton derecho > abrir con > eliges el bloc de notas)



    Elimina todas las siguientes entradas:



    127.0.0.1 avp.com

    127.0.0.1 ca.com

    127.0.0.1 customer.symantec.com

    127.0.0.1 dispatch.mcafee.com

    127.0.0.1 download.mcafee.com

    127.0.0.1 f-secure.com

    127.0.0.1 kaspersky.com

    127.0.0.1 liveupdate.symantec.com

    127.0.0.1 liveupdate.symantecliveupdate.co

    127.0.0.1 mast.mcafee.com

    127.0.0.1 mcafee.com

    127.0.0.1 my-etrust.com

    127.0.0.1 nai.com

    127.0.0.1 networkassociates.com

    127.0.0.1 rads.mcafee.com

    127.0.0.1 secure.nai.com

    127.0.0.1 securityresponse.symantec.com

    127.0.0.1 sophos.com

    127.0.0.1 symantec.com

    127.0.0.1 trendmicro.com

    127.0.0.1 update.symantec.com

    127.0.0.1 updates.symantec.com

    127.0.0.1 us.mcafee.com

    127.0.0.1 viruslist.com

    127.0.0.1 www.avp.com

    127.0.0.1 www.ca.com

    127.0.0.1 www.f-secure.com

    127.0.0.1 www.kaspersky.com

    127.0.0.1 www.mcafee.com

    127.0.0.1 www.my-etrust.com

    127.0.0.1 www.nai.com

    127.0.0.1 www.networkassociates.com

    127.0.0.1 www.sophos.com

    127.0.0.1 www.symantec.com

    127.0.0.1 www.viruslist.com



    Y salvalo



    Reinicia normalmente y ejecuta el Windows Update para actualizar tu sistema, despuis postea otro log par aver como ha quedado.



  7. RicardoHP

    RicardoHP Nuevo Miembro Miembro

    hice todo lo que me mencionaste exactamente pero este maldito esta igual en el pc alguna otra sugerencia plisssssss
  8. RicardoHP

    RicardoHP Nuevo Miembro Miembro

    bueno esto es lo que me sale ahora y sigue saliendo en procesos del pc el scheduler.



    Logfile of HijackThis v1.98.2

    Scan saved at 0:42:01, on 26-08-2004

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

    C:\Archivos de programa\The Cleaner\tca.exe

    C:\Archivos de programa\The Cleaner\tcm.exe

    C:\ARCHIV~1\FASTDE~1\FAST2.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

    C:\WINDOWS\System32\scheduler.exe

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

    D:\Instaladores\Hijackthis\HijackThis.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchby.net/

    O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

    O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe

    O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe

    O4 - HKLM\..\Run: [Service Scheduler] scheduler.exe

    O4 - HKLM\..\RunServices: [Service Scheduler] scheduler.exe

    O4 - HKCU\..\Run: [FAST Defrag] C:\ARCHIV~1\FASTDE~1\FAST2.EXE -tray
  9. RicardoHP

    RicardoHP Nuevo Miembro Miembro

    me falto mencionar algo que creo que es importante cuando me dijiste que borrara unos archivos este el scheduler encontrado en windows\system32\scheduler no me dejo borrarlo este es un archivo de aplicacion que es el que me sigue saliendo en procesos de sistemas y continua usando un alto porcentaje del pc ya no se que hacerrrrr :D
  10. jbex

    jbex El que peca y reza empata Administrador

    Inicio->Ejecutar msconfig o si tienes instalado el RegCleaner, ábrelo vete a la segunda pestaña Lista de Inicio y elimina menos tu antivirus todas las demás, ya q lo único q hacen es consumirte recursos.

    Al iniciar el servicio
    y tenerlo activo no podrás borrarlo, para ello necesitas matar primeramente ese proceso .

    Un saludo, jbex
  11. alnitak

    alnitak Nuevo Miembro Miembro

    No puedes simplemente desactivarlo desde la lista de inicio como suguiere jbex puesto que tambien se inicia como servicio.



    Haz lo siguiente:



    Desactiva restaurar el sistema.



    Inicia el sistema a prueba de errores.



    Abre el administrador de tareas y si existe el proceso scheduler.exe terminalo.



    Cierra el administrador de tareas y vuelvelo a abrir para asegurarte que el proceso se haya terminado.



    Abre el editor de registro:



    Inicio>>ejecutar>>escribes regedit y acepta.



    Respalda el registro dándole a exportar y salvándolo como archivo.



    Ahora navega el registro hasta esta rama:



    HKEY_LOCAL_MACHINE>Software>Microsoft>

    Windows>CurrentVersion>Run



    Elimina esta entrada:



    Service Scheduler = "scheduler.exe"



    Ahora navega hasta esta rama:



    HKEY_LOCAL_MACHINE>Software>Microsoft>

    Windows>CurrentVersion>RunServices



    Elimina esta entrada:



    Service Scheduler = "scheduler.exe"



    Ahora ubica esta rama:



    HKEY_LOCAL_MACHINE>System>CurrentControlSet>

    Services>Service Scheduler



    Eliminala completamente



    Ahora navega hasta esta rama:



    HKEY_LOCAL_MACHINE>System>CurrentControlSet>Control>Lsa



    Restaura:



    restrictanonymous = 0 (el gusano lo cambia a 1)



    Navega hasta esta rama:



    HKEY_LOCAL_MACHINE>Software>Microsoft>Ole



    Restaura:



    EnableDCOM = Y (el gusano lo cambia a N)



    Elimina el archivo scheduler.exe



    Reinicia y dime si ya se ha solucionado.



    Después bájate todos los parches del Windows Update o te volverás a infectar.



    Revisa y limpia el archivo Host.



    Reactiva la opcion de restaurar el sistema.



    De ser posible instala un firewall.



    Tienes un problema con la pagina de inicio que no tenias antes, por favor despues de solucionar el problema del gusano postea otro log para arreglar la pagina de inicio y no te metas en paginas raras usando el Internet Explorer así como actualiza tu sistema operativo.
  12. RicardoHP

    RicardoHP Nuevo Miembro Miembro

    Logfile of HijackThis v1.98.2

    Scan saved at 0:26:24, on 27-08-2004

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus



    hola al fin con tu ayuda creo que se fue ese maldito gracias sino estaria mas colgado jajaaj. bueno me sale eso ahora y lo otro es como poder eliminar o mejor dicho comenzar windows con los minimos de recursos solo los necesarios y lo otro es que me paso algo raro ahora cuando entro a windows no ingresa como antes osea altiro con todos los iconos en el monitor ahora me sale un fondo azul como dividido en dos que tengo que iniciar la secion cosa que no era asi antes .y despues sale cargando la configuracion y despues entra como antes me gustaria dejarlo como antes porque tengo hermanas y que saben menos que yo jajajj y pensaron que era algo malo bueno gracias y vale



    Titanium\APVXDWIN.EXE

    C:\ARCHIV~1\FASTDE~1\FAST2.EXE

    C:\Archivos de programa\Ultimate Popup Killer\Popupkiller.exe

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

    C:\Archivos de programa\MSN Messenger\msnmsgr.exe

    C:\WINDOWS\System32\javaw.exe

    C:\Archivos de programa\Diet Kaza\DietK.exe

    C:\Archivos de programa\Kazaa Lite Resurrection\kazaalite.kpp

    C:\Archivos de programa\Winamp\winamp.exe

    C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

    D:\Instaladores\Hijackthis\HijackThis.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchby.net/
  13. alnitak

    alnitak Nuevo Miembro Miembro

    Hola.



    El log que colocas no está completo, solo alcanzo a ver que tienes algun malware redireccionandote la pagina de inicio, o eso supongo pueso que http://www.searchby.net/ no es una pagina de inicio muy comun, pero no salen las demas entradas, por favor toma el log entrando en modo seguro para ver si sale completo y de no ser así intenta tomar el log del startuplist de la siguiente manera:



    corres el HijackThis, le das a Config, despues a Misc Tools, ahora marca la casilla que dice "list empty sections (complete)" y despues le das a generate Startuplist log.
  14. RicardoHP

    RicardoHP Nuevo Miembro Miembro

    ahora sip sorry esto me sale espero que este bien.chao y vale



    StartupList report, 27-08-2004, 11:48:48

    StartupList version: 1.52.2

    Started from : D:\Instaladores\Hijackthis\HijackThis.EXE

    Detected: Windows XP (WinNT 5.01.2600)

    Detected: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    * Using default options

    * Including empty and uninteresting sections

    ==================================================



    Running processes:



    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

    C:\Archivos de programa\Ultimate Popup Killer\Popupkiller.exe

    C:\ARCHIV~1\FASTDE~1\FAST2.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

    C:\WINDOWS\System32\javaw.exe

    C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

    D:\Instaladores\Hijackthis\HijackThis.exe



    --------------------------------------------------



    Listing of startup folders:



    Shell folders Startup:

    [C:\Documents and Settings\Casa\Menú Inicio\Programas\Inicio]

    *No files*



    Shell folders AltStartup:

    *Folder not found*



    User shell folders Startup:

    *Folder not found*



    User shell folders AltStartup:

    *Folder not found*



    Shell folders Common Startup:

    [C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

    *No files*



    Shell folders Common AltStartup:

    *Folder not found*



    User shell folders Common Startup:

    *Folder not found*



    User shell folders Alternate Common Startup:

    *Folder not found*



    --------------------------------------------------



    Checking Windows NT UserInit:



    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

    UserInit = C:\WINDOWS\system32\userinit.exe,



    [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]

    *Registry key not found*



    [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

    *Registry value not found*



    [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]

    *Registry key not found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run



    APVXDWIN = "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

    tcmonitor = C:\Archivos de programa\The Cleaner\tcm.exe

    tcactive = C:\Archivos de programa\The Cleaner\tca.exe



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce



    *No values found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx



    *No values found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices



    *No values found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce



    *Registry key not found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run



    Ultimate Popup Killer = C:\Archivos de programa\Ultimate Popup Killer\Popupkiller.exe

    FAST Defrag = C:\ARCHIV~1\FASTDE~1\FAST2.EXE -tray



    --------------------------------------------------



    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce



    *No values found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx



    *Registry key not found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices



    *No values found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce



    *Registry key not found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run



    *Registry key not found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run



    *Registry key not found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run



    [OptionalComponents]

    *No values found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

    *No subkeys found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

    *No subkeys found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

    *No subkeys found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

    *Registry key not found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    *No subkeys found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

    *No subkeys found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

    *Registry key not found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

    *No subkeys found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

    *Registry key not found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

    *Registry key not found*



    --------------------------------------------------



    Autorun entries in Registry subkeys of:

    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

    *Registry key not found*



    --------------------------------------------------



    File association entry for .EXE:

    HKEY_CLASSES_ROOT\exefile\shell\open\command



    (Default) = "%1" %*



    --------------------------------------------------



    File association entry for .COM:

    HKEY_CLASSES_ROOT\comfile\shell\open\command



    (Default) = "%1" %*



    --------------------------------------------------



    File association entry for .BAT:

    HKEY_CLASSES_ROOT\batfile\shell\open\command



    (Default) = "%1" %*



    --------------------------------------------------



    File association entry for .PIF:

    HKEY_CLASSES_ROOT\piffile\shell\open\command



    (Default) = "%1" %*



    --------------------------------------------------



    File association entry for .SCR:

    HKEY_CLASSES_ROOT\scrfile\shell\open\command



    (Default) = "%1" /S



    --------------------------------------------------



    File association entry for .HTA:

    HKEY_CLASSES_ROOT\htafile\shell\open\command



    (Default) = C:\WINDOWS\System32\mshta.exe "%1" %*



    --------------------------------------------------



    File association entry for .TXT:

    HKEY_CLASSES_ROOT\txtfile\shell\open\command



    (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1



    --------------------------------------------------



    Enumerating ICQ Agent Autostart apps:

    HKCU\Software\Mirabilis\ICQ\Agent\Apps



    *Registry key not found*



    --------------------------------------------------



    Load/Run keys from C:\WINDOWS\WIN.INI:



    load=*INI section not found*

    run=*INI section not found*



    Load/Run keys from Registry:



    HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

    HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

    HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

    HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

    HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

    HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

    HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

    HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

    HKCU\..\Windows NT\CurrentVersion\Windows: load=

    HKCU\..\Windows NT\CurrentVersion\Windows: run=

    HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

    HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

    HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=



    --------------------------------------------------



    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:



    Shell=*INI section not found*

    SCRNSAVE.EXE=*INI section not found*

    drivers=*INI section not found*



    Shell & screensaver key from Registry:



    Shell=Explorer.exe

    SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

    drivers=*Registry value not found*



    Policies Shell key:



    HKCU\..\Policies: Shell=*Registry key not found*

    HKLM\..\Policies: Shell=*Registry value not found*



    --------------------------------------------------





    Enumerating Browser Helper Objects:



    *No BHO's found*



    --------------------------------------------------



    Enumerating Task Scheduler jobs:



    *No jobs found*



    --------------------------------------------------



    Enumerating Download Program Files:



    [MSSecurityAdvisor Class]

    InProcServer32 = C:\WINDOWS\System32\mssecadv.dll

    CODEBASE = http://download.microsoft.com/download/0/5...b?1092015795248



    [Java Plug-in 1.4.2_05]

    InProcServer32 = C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

    CODEBASE = http://java.sun.com/products/plugin/autodl...indows-i586.cab



    [{9F1C11AA-197B-4942-BA54-47A8489BB47F}]

    CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/...8207.1974421296



    [Java Plug-in 1.4.2_05]

    InProcServer32 = C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

    CODEBASE = http://java.sun.com/products/plugin/autodl...indows-i586.cab



    [Shockwave Flash Object]

    InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

    CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab



    --------------------------------------------------



    Enumerating Winsock LSP files:



    NameSpace #1: C:\WINDOWS\System32\mswsock.dll

    NameSpace #2: C:\WINDOWS\System32\winrnr.dll

    NameSpace #3: C:\WINDOWS\System32\mswsock.dll

    Protocol #1: C:\WINDOWS\system32\mswsock.dll

    Protocol #2: C:\WINDOWS\system32\mswsock.dll

    Protocol #3: C:\WINDOWS\system32\mswsock.dll

    Protocol #4: C:\WINDOWS\system32\rsvpsp.dll

    Protocol #5: C:\WINDOWS\system32\rsvpsp.dll

    Protocol #6: C:\WINDOWS\system32\mswsock.dll

    Protocol #7: C:\WINDOWS\system32\mswsock.dll

    Protocol #8: C:\WINDOWS\system32\mswsock.dll

    Protocol #9: C:\WINDOWS\system32\mswsock.dll

    Protocol #10: C:\WINDOWS\system32\mswsock.dll

    Protocol #11: C:\WINDOWS\system32\mswsock.dll

    Protocol #12: C:\WINDOWS\system32\mswsock.dll

    Protocol #13: C:\WINDOWS\system32\mswsock.dll



    --------------------------------------------------



    Enumerating Windows NT logon/logoff scripts:

    *No scripts set to run*



    Windows NT checkdisk command:

    BootExecute = autocheck autochk *



    Windows NT 'Wininit.ini':

    PendingFileRenameOperations: *Registry value not found*



    --------------------------------------------------



    Enumerating ShellServiceObjectDelayLoad items:



    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

    CDBurn: C:\WINDOWS\system32\SHELL32.dll

    WebCheck: C:\WINDOWS\System32\webcheck.dll

    SysTray: C:\WINDOWS\System32\stobject.dll



    --------------------------------------------------

    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run



    *Registry key not found*



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run



    *Registry key not found*



    --------------------------------------------------



    End of report, 13.918 bytes

    Report generated in 0,375 seconds



    Command line options:

    /verbose - to add additional info on each section

    /complete - to include empty sections and unsuspicious data

    /full - to include several rarely-important sections

    /force9x - to include Win9x-only startups even if running on WinNT

    /forcent - to include WinNT-only startups even if running on Win9x

    /forceall - to include all Win9x and WinNT startups, regardless of platform

    /history - to list version history only
  15. RicardoHP

    RicardoHP Nuevo Miembro Miembro

    y esto me salio despues que lo corri denuevo







    Logfile of HijackThis v1.98.2

    Scan saved at 11:50:55, on 27-08-2004

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

    C:\Archivos de programa\Ultimate Popup Killer\Popupkiller.exe

    C:\ARCHIV~1\FASTDE~1\FAST2.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

    C:\WINDOWS\System32\javaw.exe

    C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

    D:\Instaladores\Hijackthis\HijackThis.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchby.net/

    O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
  16. alnitak

    alnitak Nuevo Miembro Miembro

    Estás seguro que estás copiando todo el log ??



    Vamos que me parece que es que no lo estás copiando todo porque ahora me has colocado una linea mas del anterior, por favor asegurate de copiarlo todo, le das a edicion>>seleccionar todo y despues a edicion>>copiar y lo pegas aqui completo pq tienes un malware redireccionandote el archivo host y la pagina de inicio pero si no colocas el log completo ni modo.
  17. RicardoHP

    RicardoHP Nuevo Miembro Miembro

    sorry el dilema del gusano ya se fue y gracias por eso. ahora te mando todo el log. creo que tengo un drama con la pagina de inicio y ademas creo que tengo cosas de mas en el inicio



    Logfile of HijackThis v1.98.2

    Scan saved at 14:10:41, on 29-08-2004

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Ultimate Popup Killer\Popupkiller.exe

    C:\ARCHIV~1\FASTDE~1\FAST2.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\apvxdwin.exe

    C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

    C:\WINDOWS\System32\javaw.exe

    C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe

    D:\Instaladores\Hijackthis\HijackThis.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchby.net/
  18. alnitak

    alnitak Nuevo Miembro Miembro

    Nada, no sale completo y así no te puedo ayudar.



    En el log del Startuplist que has colocado anteriormente no salia nada fuera de lugar y el log del HijackThis no sale completo.



    Solo Cheka esta y dale a fix:



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchby.net/



    Desde el mismo internet Explorer restaura la configuracion por defecto y ve que pasa.



    Para eliminar cosas inecesarias en el arranque de sistema:



    Inicio>>ejecutar>>escribes msconfig y aceptas



    en Inicio desmarca lodo lo que no consideres indispensable.



    Lamentablemente no puedo hacer mas
  19. Zorquan

    Zorquan Guest

    saby yo tengo el mismo problema pero tengo 2000 pro y tengo el programa ejecute el programa y me salio uan lista y ahora nus e k poner
  20. alnitak

    alnitak Nuevo Miembro Miembro

    Si tienes el log abre un nuevo tema en el foro de seguridad y postealo para verlo.



    Por favor no lo postees en este mismo tema.
Estado del tema:
No está abierto para más respuestas.

Comparte esta página