Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola!
Llevo un tiempo leyendo vuestra página y tratando de asimilar lo que explicais, tengo que reconocer que muchas cosas me vienen grandes.
Desde hace unos días al entrar en MSDOS y teclear 'netstat -a' con el pc recién iniciado me sale esto:

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Yo>netstat -a
Conexiones activas

Proto Dirección local Dirección remota Estado
TCP nuevo:epmap nuevo:0 LISTENING
TCP nuevo:microsoft-ds nuevo:0 LISTENING
TCP nuevo:1027 nuevo:0 LISTENING
TCP nuevo:1025 nuevo:0 LISTENING
TCP nuevo:1025 l ocalhost:1034 ESTABLISHED
TCP nuevo:1026 nuevo:0 LISTENING
TCP nuevo:1026 localhost:1033 ESTABLISHED
TCP nuevo:1033 localhost:1026 ESTABLISHED
TCP nuevo:1034 localhost:1025 ESTABLISHED
TCP nuevo:1037 nuevo:0 LISTENING
TCP nuevo:netbios-ssn nuevo:0 LISTENING
TCP nuevo:1059 192.168.1.3:netbios-ssn TIME_WAIT
TCP nuevo:1068 a62-14-63-180.deploy.akamaitechnologies.com:http TIME_WAIT
UDP nuevo:microsoft-ds *:*
UDP nuevo:isakmp *:*
UDP nuevo:1035 *:*
UDP nuevo:4500 *:*
UDP nuevo:ntp *:*
UDP nuevo:1900 *:*
UDP nuevo:ntp *:*
UDP nuevo:netbios-ns *:*
UDP nuevo:netbios-dgm *:*
UDP nuevo:1900 *:*
C:\Documents and Settings\Yo>

Leyendo en muchos otros sitios, parece ser que akamai pasa datos con fines comerciales (o vaya Ud a saber...) por lo que decidí a intentar eliminarlo y no lo consigo. También quité a medias el 'newdotnet'. Utilicé el HijackThis y este es mi log:

Logfile of HijackThis v1.99.1
Scan saved at 21:44:05, on 15/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Archivos de programa\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Archivos de programa\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\ProcessGuard\pgaccount.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\umonit.exe
C:\Archivos de programa\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Archivos de programa\ProcessGuard\procguard.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.ex e
C:\WINDOWS\system32\winlogon.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 62.75.224.159 www.bns3.net
O1 - Hosts: 62.75.224.159 www.bns4.net
O1 - Hosts: 62.75.224.159 www.bns5.net
O1 - Hosts: 62.75.224.159 www.bns6.net
O1 - Hosts: 62.75.224.159 www.bns7.net
O1 - Hosts: 62.75.224.159 www.bns8.net
O1 - Hosts: 62.75.224.159 www.cms3.net
O1 - Hosts: 62.75.224.159 www.cms4.net
O1 - Hosts: 62.75.224.159 www.cms5.net
O1 - Hosts: 62.75.224.159 www.cms6.net
O1 - Hosts: 62.75.224.159 www.cms7.net
O1 - Hosts: 62.75.224.159 www.cms8.net
O1 - Hosts: 62.75.224.159 www.rg1.com
O1 - Hosts: 62.75.224.159 www.rg2.com
O1 - Hosts: 62.75.224.159 www.rg3.com
O1 - Hosts: 62.75.224.159 www.rg4.com
O1 - Hosts: 62.75.224.159 www.rg5.com
O1 - Hosts: 62.75.224.159 www.rg6.com
O1 - Hosts: 62.75.224.159 www.rg7.com
O1 - Hosts: 62.75.224.159 www.rg8.com
O1 - Hosts: 62.75.224.159 bns3.net
O1 - Hosts: 62.75.224.159 bns4.net
O1 - Hosts: 62.75.224.159 bns5.net
O1 - Hosts: 62.75.224.159 bns6.net
O1 - Hosts: 62.75.224.159 bns7.net
O1 - Hosts: 62.75.224.159 bns8.net
O1 - Hosts: 62.75.224.159 cms3.net
O1 - Hosts: 62.75.224.159 cms4.net
O1 - Hosts: 62.75.224.159 cms5.net
O1 - Hosts: 62.75.224.159 cms6.net
O1 - Hosts: 62.75.224.159 cms7.net
O1 - Hosts: 62.75.224.159 cms8.net
O1 - Hosts: 62.75.224.159 rg1.com
O1 - Hosts: 62.75.224.159 rg2.com
O1 - Hosts: 62.75.224.159 rg3.com
O1 - Hosts: 62.75.224.159 rg4.com
O1 - Hosts: 62.75.224.159 rg5.com
O1 - Hosts: 62.75.224.159 rg6.com
O1 - Hosts: 62.75.224.159 rg7.com
O1 - Hosts: 62.75.224.159 rg8.com
O1 - Hosts: 62.75.224.159 www.m7z.net
O1 - Hosts: 62.75.224.159 m7z.net
O1 - Hosts: 62.75.224.159 jcontent.bns1.m7z.net
O1 - Hosts: 62.75.224.159 j.2004CMS.com
O1 - Hosts: 62.75.224.159 2004CMS.com
O1 - Hosts: 62.75.224.159 bns1.m7z.net
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Archivos de programa\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Archivos de programa\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Archivos de programa\ProcessGuard\procguard.exe" -minimize
O4 - Startup: Lotus Organizer EasyClip.lnk.disabled
O4 - Startup: Lotus QuickStart.lnk.disabled
O4 - Startup: UMAX VistaAccess.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: QuickTV.lnk.disabled
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet6_90.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1125010276250
O17 - HKLM\System\CCS\Services\Tcpip\..\{107C2EAF-7938-4666-B54B-3D5AFC6485A9}: NameServer = 62.14.2.1,62.14.63.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20F24BD-D5F9-4394-A3CD-21E9B63D748F}: NameServer = 62.14.2.1,62.14.63.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{107C2EAF-7938-4666-B54B-3D5AFC6485A9}: NameServer = 62.14.2.1,62.14.63.145
O17 - HKLM\System\CS2\Services\Tcpip\..\{107C2EAF-7938-4666-B54B-3D5AFC6485A9}: NameServer = 62.14.2.1,62.14.63.145
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Archivos de programa\ProcessGuard\dcsuserprot.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Gracias de antemano por vuestra atención.
Saludos.

Hola!!!

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Ejecuta la herramienta LSPFix.exe para reparar la entrada O10.

4) Abre HijackThis, pulsa sobre “Open the Misc Tools section” -> “Open hosts file manager”

Y elimina todas las entradas que tengas menos esta -> 127.0.0.1 localhost cuidado que esta no!!!

5) Reinicia a prueba de fallos

6) Ejecuta HijackThis con todos los programas cerrados y dale "FIX Checked":

Cualquier entrada O1-Hosts si es que aún queda alguna

O4 - Startup: Lotus Organizer EasyClip.lnk.disabled
O4 - Startup: Lotus QuickStart.lnk.disabled
O4 - Startup: UMAX VistaAccess.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: QuickTV.lnk.disabled

O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet6_90.dll' missing

6) Busca y elimna esta carpeta si aún está:

c:\archivos de programa\newdotnet\

7) Reinicia normal y finaliza con estos pasos:

- Pasa al menos 2 de estos Antivirus Online

- Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

- Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

Vuelve a reiniciar y nos cuentas los resultados.

Saludos

Hola de nuevo!
Ante todo gracias por vuestra atención: rápida, útil y concisa.
A pesar del Zone Alarm (con antivirus y antispyware actualizados)y otros escaneos ha salido mi**** para parar un tren!
En principio noto el pc mas ágil y la conexión parece mas rápida (tengo 1 Mb/s).
Lo único que permanece al hacer netstat -a es:
....
TCP nuevo:1036 a62-14-63-169.deploy.akamaitechnologies.com:http TIME_WAIT
.....
aunque en otras ocasiones sale:
TCP nuevo:1036 a62-14-63-169.deploy.akamaitechnologies.com:80 ESTABLISHED[/B]
...........
Insito en ello porque me llama la atención que mi IP (dinámica) es 62.14.XXX.XXX, mi ISP comienza igual, ¡qué rararo...!

Por si os interesa, a efectos de seguimiento, os mando el resultado de mi log tras seguir vuestras indicaciones y pasar varios antivirus.

Muchas gracias por todo.
Os seguiré visitando y recomendando.
Saludos.

Logfile of HijackThis v1.99.1
Scan saved at 22:42:19, on 17/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Archivos de programa\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Archivos de programa\Norton Ghost\Agent\PQV2iSvc.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\ProcessGuard\pgaccount.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\umonit.exe
C:\Archivos de programa\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Archivos de programa\ProcessGuard\procguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.ex e
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Archivos de programa\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Archivos de programa\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Archivos de programa\ProcessGuard\procguard.exe" -minimize
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125010276250
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{107C2EAF-7938-4666-B54B-3D5AFC6485A9}: NameServer = 62.14.2.1,62.14.63.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20F24BD-D5F9-4394-A3CD-21E9B63D748F}: NameServer = 62.14.2.1,62.14.63.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{107C2EAF-7938-4666-B54B-3D5AFC6485A9}: NameServer = 62.14.2.1,62.14.63.145
O17 - HKLM\System\CS2\Services\Tcpip\..\{107C2EAF-7938-4666-B54B-3D5AFC6485A9}: NameServer = 62.14.2.1,62.14.63.145
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Archivos de programa\ProcessGuard\dcsuserprot.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bueno, esto que comentas creo que es normal, muchas empresas utilizan los servidores de Akamai, y si no estoy equivocado, jazztel (creo que ese es tu proveedor) es una de los que lo utilizan.

Por lo demás, el log está limpio, así que creo que podemos dar el tema por solucionado.

Saludos