Foro de Spyware - Ver Mensaje Individual - Un problema q ni se qué es ya...

Tema: Un problema q ni se qué es ya...

Ver Mensaje Individual

post #1 (permalink)

21/06/07, 02:49:53

matuttes88 matuttes88 está offline

Usuario

Registrado: jun 2007

Ubicación: Tucuman

Mensajes: 1

Un problema q ni se qué es ya...

Bueno mi problema especificamente comenzo, no hace mucho tiempo atras y no recuerdo cuándo especificamente...pero fue mientras navegaba tranquilamente, cuando el Nod32 salto con un aviso de un troyano(lo unico q recuerdo es q era un backdoor) q lo puse automaticamente en cuarentena y luego lo elimine...

Tiempo despues comense a tener problemas con la pc...Hice varios analisis con el Spybot S&D y me daba entras de spyware en el registro de windows, o simplemente eran cookies q las eliminaba y problema resuelto...

El problema empezo cuando mi conexion a internet empezo a como fallar. En el sentido de que cuando me conectaba navegaba x el Internet Explorer o entraba al Messenger(Windows Live Messenger + Msn Live Plus) pasaban aproximadamente una o dos horas, la verdad no lo conte al tiempo, y es como que el ancho de banda empezaba a disminuir a tal punto q tenia q poner actualizar varias veces para que aparezca a medias la pagina en la q queria entrar, x ej. el Google... y algunas veces no podia hacer absolutamente NADA estando conectado, con el modem funcionando y todo eso, al cual lo reiniciaba y me volvia a conectar y estando conectado de nuevo el problema seguia en las mismas...y la unica forma de poder volver a usa internet era reiniciando windows y volverme a conectar.

Lo primero q se me ocurrio fue q podria ser algun tipo de virus o syware...Asi q analise con el Ad-aware Personal y encontro estos archivos en las diferentes fechas q hice los analisis:

1ro
ArchiveData(auto-quarantine- 2007-05-24 21-42-10.bckp)
Referencefile : SE1R169 07.05.2007
================================================== ====

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=IECache Entry : Cookie:administrador@tribalfusion.com/
obj[1]=IECache Entry : Cookie:administrador@doubleclick.net/
obj[2]=IECache Entry : Cookie:administrador@msnportal.112.2o7.net/

2do

ArchiveData(auto-quarantine- 2007-05-25 02-19-23.bckp)
Referencefile : SE1R172 22.05.2007
================================================== ====

ADWARE.EMUSIC
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc}
obj[1]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "ToolTip"
obj[2]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "Icon"
obj[3]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "HotIcon"
obj[4]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "Exec"
obj[5]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "Default Visible"
obj[6]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "CLSID"

3ro

ArchiveData(auto-quarantine- 2007-06-14 19-22-30.bckp)
Referencefile : SE1R175 11.06.2007
================================================== ====

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=IECache Entry : Cookie:administrador@tribalfusion.com/
obj[1]=IECache Entry : Cookie:administrador@cs.sexcounter.com/
obj[2]=IECache Entry : Cookie:administrador@doubleclick.net/

4to

ArchiveData(cockiees chotos.bckp)
Referencefile : SE1R175 11.06.2007
================================================== ====

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=IECache Entry : Cookie:administrador@tribalfusion.com/
obj[1]=IECache Entry : Cookie:administrador@cs.sexcounter.com/
obj[2]=IECache Entry : Cookie:administrador@doubleclick.net/

Luego analise el sistema con el Spybot S&D y encontro "cambiada" algunas entradas en el registro de Firewall de Windows q siempre me daba despues de cada analisis q hacia con este programa(habiendo eliminado las cookies q tambien me figuraban)exactamente estos registros sobre el Firewall de Windows me daba:

Microsoft.WindowsSecurityCenter.AntiVirusOverride: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

Microsoft.WindowsSecurityCenter.FirewallDisabled: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\win dowsfirewall\domainprofile\enablefirewall!=dword:1

Microsoft.WindowsSecurityCenter.FirewallDisabled: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\win dowsfirewall\standardprofile\enablefirewall!=dword :1

Microsoft.WindowsSecurityCenter.FirewallDisableNot ify: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.FirewallOverride: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0

Microsoft.WindowsSecurityCenter.SP2Update: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\DoNotAllowXPSP2!=dword:0

Microsoft.WindowsSecurityCenter.UpdateDisableNotif y: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter_disabled: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wscsvc\Start!=W=2

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-01-17 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-06-20 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-06-20 Includes\DialerC.sbi (*)
2007-06-20 Includes\Hijackers.sbi (*)
2007-06-20 Includes\HijackersC.sbi (*)
2007-06-20 Includes\Keyloggers.sbi (*)
2007-06-20 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2007-06-20 Includes\Malware.sbi (*)
2007-06-20 Includes\MalwareC.sbi (*)
2007-03-21 Includes\PUPS.sbi (*)
2007-06-20 Includes\PUPSC.sbi (*)
2007-06-20 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-06-20 Includes\SecurityC.sbi (*)
2007-06-20 Includes\Spybots.sbi (*)
2007-06-20 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti
2007-06-20 Includes\Trojans.sbi (*)
2007-06-20 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll

Al sistema estos ultimos dias despues de leer algunos foros de usds, baje algunos de los programas q mensionaban como el Disk Cleaner y el CCleaner (con los cuales siempre hacia un analisis al sistema luego de desconectarme) asi tambien con el RegSeeker.
Respecto a lo q mensionaban sobre pasarme x el windowsupdate.com, lo hice pero no puedo xq mi Windows no es una version original, en consecuencia tampoco la puedo hacer validar x ello.

Lo mismo sobre los consejos q daban sobre los scanners online: Hice el Panda Antivirus Online(q encontro un virus nomas y las tipikas cookies y q obiamente cuando terminaba el analisis estaban como eliminados), ultimamente pase el Kaspersky y el Ewido(hoy, q no habia nada, mas q 2 cookies q fueron removidas ovbiamente)...y no note nada grave tampoco.

Tambien descargue de los enlaces de esta pagina el HijackThis, con el cual tambien lo pase y este es el log:

Logfile of HijackThis v1.99.1
Scan saved at 1:35:01, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\srvsesx.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\ENLTV\ENLTV\RemoteService\RS.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ar.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://ar.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://ar.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://ar.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7480EC7D-221F-4873-A82F-8A80C3317D1D} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TVTray] C:\ARCHIV~1\ENLTV\ENLTV\TVTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [USB Print] Servces.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart17.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Messenger Power Plus 8.1.lnk = C:\Archivos de programa\MSN Messenger\msnmsgr.exe
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44177110-349C-43CA-B1F0-CE1B5E9AB0CB}: NameServer = 200.45.191.35 200.45.191.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{44C59443-25BD-4C7B-8372-B97F0B68F78A}: NameServer = 10.0.0.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rqrqonk - rqrqonk.dll (file missing)
O20 - Winlogon Notify: winghy32 - winghy32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASCANe (ASCANe.exe) - Unknown owner - C:\WINDOWS\srvsesx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SuperTV Pro Remote Control Service (RemoteControlService) - Unknown owner - C:\Archivos de programa\ENLTV\ENLTV\RemoteService\RS.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Y mi preguntas son:

1-¿Por qué internet me anda asi?
2-¿Es por algún tipo de virus,malware,sypaware,etc..???
3-¿Tiene solucion si tener q reinstalar Windows o alguna lokura parecida???

Agradeceria una respuesta x favoorr!!!