Virus spyware???

hola buenas tardes escribo poruq en realidad el problema es que mi pc esta super lenta y no se porque aparece ese win32... que es un exe y me parece sospechoso ademas hay un spyware que se llama scandksx.exe algo asi que entre ambos me consumen alrededor de 80 megabytes del recurso del sistema y me ponen la maquina lentiiiisima!! el opera no se porq consume 60 mb!!! alguien me puede ayudar por fa???? estaria muy agradecido

Hola ivor, para tener un mayor panorama de los archivos que pueden estar ocasionando el problema te recomiendo que descargues el Hijackthis y pegues tu log en este mismo mensaje para su análisis.

Saludos

hola:

que antivirus estas usando.....
cuando terminas el proceso que marcas con rojo, ¿que pasa?

pues es evidente que tienes un intruso haciendo fiesta en tu pc, lo del opera no es un virus, es el navegador que estas ejecutando, me imagino que ese consumo es debido a que tienes varias pestañas abiertas.

escanea a prueba de fallos desabilitando el restaurador, luego procede a un escaneo on line, bajate el regseeker para que limpies el registro.

en mi web tengo posteado un tema en donde toco el mejoramiento del windows asi como recomendaciones (por experiencia propia) para este tipo de casos.

saludos!

Hola:

tienes VNC, ese programita funciona igual que un troyano, si no tienes claro como usarlo te recominedo que si no lo ocupas desintalalo. Este programa te abre puertos para control remoto del equipo. Cuidado con el.

hola:

otra cosa, sabes que hace cada uno de los procesos activos de tu sistema. Seria recomendable empezar a terminar cada uno para ver que pasa???, aparte de apagarte el computador con algunos, no te pasara nada. La idea es ver que pasa cuando terminas cada uno de ellos, y saber que hacen.

recomiendo este link es muy bueno, ya que hay se especifican muchos procesos de windows de la cual muchos desconocen. echale una mirada y cuentanos..

saludos

Hola gpastor gracias por responder! Hijackthis es muy bueno de hecho lo tengo apenas responda a todos los que con amabilidad me intentan ayudar pongo el log... gracias!



uso el zona alarm (antivirus, firewall y anti spyware) es excelente aunque me consume mucho recurso. Cuando intento terminar el proceso de lo que esta en rojo Windows no me deja.


si reduardowise tienes razon es un spyware pero esta medio dificilon (creo) porq lo elimino con el killbox y aparece de nuevo , obvio que esta en otra parte ademas del c:/Windows/system32/ y claro se que el opera no es un virus pero aun con una sola pestañita me consume muchos recursos. Y si vale voy a regseekear la maquina no lo habia pensado … cual es tu web?


no n101111 si lo uso y es muy bueno esta protegido con un pin ademas del zone alarm aunque no es imposible que se metan por ahí pero ese programita es lo que menos me preocupa.


ya lo intente


gracias muy buena información!! Excelente!!

Logfile of HijackThis v1.99.1
Scan saved at 21:54:44, on 30/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netsecurity.exe
C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\nprotect32.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\PnpManager\upnpmngr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32fprebupv.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Opera\Opera.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: HTML Source Editor - {0E1B2879-88FF-11D2-8D96-D7ACAC95951F} - C:\WINDOWS\system32\adjhdf.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Datos de programa\Prevx\pxbho.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Win-Hand] C:\Documents and Settings\ivorpadilla\Escritorio\Win-HandFreeSer.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe se que es un spyware pero no lo muevo sin sus recomendaciones jejeje no me atrevo todavia
O4 - HKLM\..\Run: [PrevxOne] "C:\Archivos de programa\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/installd...erstart_es.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lidermaximus.spaces.live.com/...d/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1136839548419
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B86E46D4-F181-4312-904A-6D4144D09B9B}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{B86E46D4-F181-4312-904A-6D4144D09B9B}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS2\Services\Tcpip\..\{B86E46D4-F181-4312-904A-6D4144D09B9B}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS3\Services\Tcpip\..\{B86E46D4-F181-4312-904A-6D4144D09B9B}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS4\Services\Tcpip\..\{B86E46D4-F181-4312-904A-6D4144D09B9B}: NameServer = 212.55.8.132,212.55.8.133
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: pushow98.dll
O23 - Service: .NETSecurity - Unknown owner - C:\WINDOWS\system32\netsecurity.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Protected Exchange (MainService) - Unknown owner - C:\WINDOWS\system32\nprotect32.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Archivos de programa\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: UPnPDevService - xxxcodec.com - C:\Archivos de programa\Archivos comunes\PnpManager\upnpmngr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Bien ivor, tu log tiene infecciones, sigue estos pasos:

1.- Apaga el "Restaurar Sistema"

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo Seguro

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O1 - Hosts: 66.98.136.25 auto.search.msn.es

O2 - BHO: HTML Source Editor - {0E1B2879-88FF-11D2-8D96-D7ACAC95951F} - C:\WINDOWS\system32\adjhdf.dll

O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe

O23 - Service: Protected Exchange (MainService) - Unknown owner - C:\WINDOWS\system32\nprotect32.exe

5.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\WINDOWS\system32\adjhdf.dll

C:\WINDOWS\system32\scandskx.exe

C:\WINDOWS\system32\nprotect32.exe

C:\WINDOWS\system32fprebupv.exe

6.- Pasa el Disk Cleaner para limpiar cookies y temporales

7.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

8.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

9.- Reinicia la maquina y realiza un escaneo con Panda Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

10.- Deshaz los pasos 1 y 2.

11.- Este archivo lo desconozco:

pushow98.dll

Para descartar que se trate de un malware sube ese archivo a la página de VirusTotal y pega el reporte en este mismo mensaje para su análisis.

De preferencia imprime las indicaciones para que se te haga mas fácil seguirlas.

Saludos

la que esta en mi firma...

saludos

Logfile of HijackThis v1.99.1
Scan saved at 21:06:25, on 14/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\PowerISO\PWRISOVM.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC 1.EXE
C:\Archivos de programa\Winamp\winamp.exe
C:\ARCHIV~1\MSNMES~1\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Opera\Opera.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Familia\CONFIG~1\Temp\Rar$EX00.603\Hij ackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC 1.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1163435240222
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

se me olvidaba agradecer!!! graciaaaaaaaaaaaaaaaaas!!!!! =D que buenos son de pana man! espero q este hilo ayude a otra persona coño que depinga

Muy bien, tu nuevo log está limpio, un gusto haberte sido de ayuda

Saludos

Buen trabajo GPASTOR !!!

Me gustaría que la desaparecida señora formateo leyese esto, para que viese que las cosas se pueden solucionar sin un drastico formateo.

Un saludo.