Virus o algo no deja que antivirus analize (Solucionado)

Foro referente al sistema operativo Windows XP
MarZela
Usuario linuxero
Usuario linuxero
Mensajes: 13
Registrado: 16 Ago 2010, 02:52
Contactar:

Virus o algo no deja que antivirus analize (Solucionado)

Mensajepor MarZela » 16 Ago 2010, 02:59

Hola mi problema es que desde hace unos dias intente analizar mi ordenador con el antivirus que tenia Avira Free
lo que sucede es que al llegar a cierta parte se detiene y si intento hacer algo el ordenador se congela y tengo que reiniciar presionando el boton, de encendido... el ordenador es una mini laptop aspire one.
Intente analizar con Panda activescan y se detiene, Super Antispyware se detiene, Malwarebites se detiene...
pero de lo que me di cuenta es que se detiene siempre en este archivo
c:\windows\system32\dllcache\msxml6.dll
y de ahi tengo que reiniciar ya no se que hacer, espero me puedan ayudar
Saludos

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: Virus o algo no deja que antivirus analize

Mensajepor helheim » 16 Ago 2010, 12:51

Hola, bienvenida al Foro.

Descarga la herramienta HIJACKTHIS, instálala y ejecútala. Dale al botón "Do a system scan and save a logfile" y luego péganos el reporte aquí (procura no tener abierto ningún programa salvo el propio Hijackthis).

Si no te es posible instalar Hijackthis en Modo Normal, instálala en Modo Seguro.

Un saludo.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)

MarZela
Usuario linuxero
Usuario linuxero
Mensajes: 13
Registrado: 16 Ago 2010, 02:52
Contactar:

Re: Virus o algo no deja que antivirus analize

Mensajepor MarZela » 16 Ago 2010, 18:18

Hola gracias por la respuesta...
Este es el reporte de Hijackthis

Código: Seleccionar todo

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:15:29, on 16/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Google\Update\GoogleUpdate.exe
C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe
C:\Archivos de programa\Acer\Acer VCM\RS_Service.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Acer\Acer Updater\UpdaterService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\PLFSetL.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\MarZela\Configuración local\Datos de programa\Google\Update\1.2.183.29\GoogleCrashHandler.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0c0a&m=aspire_one&r=0xph03103445l0414wuk5w44123463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tangosearch.com/?useie5=1&q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0c0a&m=aspire_one&r=0xph03103445l0414wuk5w44123463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tangosearch.com/?useie5=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0c0a&m=aspire_one&r=0xph03103445l0414wuk5w44123463
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PLFSetL] C:\WINDOWS\PLFSetL.exe
O4 - HKLM\..\Run: [snp2uvc] rundll32.exe C:\WINDOWS\system32\csnp2uvc.dll,ResetCIDS
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PSUNMain] "C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (BitDefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab
O16 - DPF: {61FA0CB0-0806-46EA-B784-0F843285BA23} (TuentiFotoUploader Control) - http://estaticosak1.tuenti.com/client_apps/TuentiPhotoUploader.31740.cab
O16 - DPF: {6678BE91-1E04-4A4A-9C32-63145EA79C2A} (EAFO3AXLauncher Control) - http://fifa-online.easports.com/fo3-theme/addons/EAFO3AXLauncher.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} (WRC Class) - http://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/m3/photouploadcontrol/MSNPUpld.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Archivos de programa\Acer\Acer VCM\Skype4COM.dll
O20 - AppInit_DLLs: c:\archiv~1\wi9130~1\datamngr\datamngr.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Archivos de programa\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Proxy Service (McProxy) - Unknown owner - C:\Archivos de programa\Archivos comunes\McAfee\McSvcHost\McSvHost.exe (file missing)
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MyWinLocker Service (MWLService) - Egis Technology Inc. - C:\Archivos de programa\EgisTec\MyWinLocker 3\x86\\MWLService.exe
O23 - Service: Panda Cloud Antivirus Service (NanoServiceMain) - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ResultDns Service - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\ResultDns\resultdns111.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Archivos de programa\Acer\Acer VCM\RS_Service.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Updater Service - Acer - C:\Archivos de programa\Acer\Acer Updater\UpdaterService.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9927 bytes

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: Virus o algo no deja que antivirus analize

Mensajepor helheim » 16 Ago 2010, 19:42

Ejecuta de nuevo HijackThis (con todos los programas cerrados), pulsa sobre "Do a system scan only", marca las siguientes entradas del log y pulsa "Fix Checked":

O23 - Service: ResultDns Service - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\ResultDns\resultdns111.exe

Busca y borra también el archivo:

resultdns111.exe

Luego reinicia en Modo Seguro con funciones de red y haz un escaneo con Malwarebytes (y con Superantispyware, si quieres, también).

Instala y actualiza Spywareblaster

Un saludo.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)

MarZela
Usuario linuxero
Usuario linuxero
Mensajes: 13
Registrado: 16 Ago 2010, 02:52
Contactar:

Re: Virus o algo no deja que antivirus analize

Mensajepor MarZela » 16 Ago 2010, 21:16

Hola de nuevo, hice lo que me dijiste con Hijackthis, inicie en modo seguro con funciones de red, ejecute el Malwarebytes y ya llevaba 3 infecciones y al llegar al archivo
c:\windows\system32\dllcache\msxml3.dll
se volvio a congelar, hasta que tuve que reiniciar, por que no deja ni mover mouse, ni abrir inicio ni Ctrl+Alt+Supr
Saludos

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Virus o algo no deja que antivirus analize

Mensajepor Souto » 17 Ago 2010, 08:20

Tus mensajes apuntan a que un importante repositorio del sistema (dllcache) está corrupto. Esto a su vez sugiere que alguna aplicación maligna ha sobrepasado las barreras de seguridad del sistema operativo ó bien (algo más habitual) que el tamaño predifinido en el Registro para esa caché se ha quedado pequeño.

Vete a c:\windows\system32, pide propiedades a dllcache e infórmanos de su tamaño.

Saludos
Qui dove il mare luccica e tira forte il vento

MarZela
Usuario linuxero
Usuario linuxero
Mensajes: 13
Registrado: 16 Ago 2010, 02:52
Contactar:

Re: Virus o algo no deja que antivirus analize

Mensajepor MarZela » 17 Ago 2010, 15:39

Hola de nuevo, y gracias por la respuesta...
Al ir a C:\windows\system32 no hay ningun archivo dllcache pero al poner en la barra
C:\windows\system32\dllcache, si me aparece, le di mostrar archivos ocultos pero tampoco, segun la barra de estado tiene 2,408 objetos y pesa 462 MB
Saludos

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Virus o algo no deja que antivirus analize

Mensajepor Souto » 17 Ago 2010, 22:32

El tamaño de la carpeta no es demasiado generoso; pero debiera ser suficiente; de manera que es obvio que el contenido está dañado.

Habilita en el explorador el que se muestren los archivos ocultos y de sistema. Vete donde dllcache y cópiala a Escritorio para cubrirnos las espaldas.

A continuación, Inicio/Ejecutar:
cmd
en la nueva ventana
sfc /purgecache


Imagen


aguarda un rato hasta que se muestre
La protección de archivos de Windows realizó correctamente el cambio requerido

Reinicia el equipo y pasa ahora el Malwarebytes y continúa con las instrucciones de helheim si fuese necesario.

Saludos
Qui dove il mare luccica e tira forte il vento

MarZela
Usuario linuxero
Usuario linuxero
Mensajes: 13
Registrado: 16 Ago 2010, 02:52
Contactar:

Re: Virus o algo no deja que antivirus analize

Mensajepor MarZela » 17 Ago 2010, 23:21

Hola, fijate que a la hora de copiar dllcache al escritorio pasa igual que con los antivirus y demas se congela el ordenador y tengo que reiniciar :?
Siempre es en este archivo c:\windows\system32\dllcache\msxml6.dll
no se si en el caso de que este dañado se podria pasar una copia de otro ordenador, y eliminar el de este? quizas sea ilogico pero es lo que se me ocurre :?

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Virus o algo no deja que antivirus analize

Mensajepor Souto » 18 Ago 2010, 09:08

Hazlo así:
Inicio/ejecutar
cmd
a continuación
cd\.
luego
md copia
seguidamente
xcopy windows\system32\dllcache C:\copia\
se te informará de que los archivos han sido copiados y de ser así tecleas
sfc /purgecache
se mostrará: La protección de archivos de Windows realizó correctamente el cambio requerido
y por último
exit

Saludos
Qui dove il mare luccica e tira forte il vento


Volver a “Windows XP / X64”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 7 invitados