¡Hola a todo el foro!

Estando conectado a Internet, antes de ayer, mi ordenador comenzó a copiar datos al disco duro cuando NO debía hacerlo, así que supuse que algún tipo de spyware o virus me había entrado por la puerta de atrás. Por si fuera poco, al lado del reloj aparecieron tres circulos rojos con el mensaje "Your computer is infected" y la conexion a Internet se interrumpió.
Efectivamente, encontré los siguientes archivos que, por su fecha de creación, acababan de ser copiados:
ibm00003.exe
ibm00004.exe
kl.exe
Loadnew.exe
Mrks3qyq.exe
Playtime.exe
tool1.exe
Tool2.exe
toolbar.exe
vxgamet1.exe
vxgamet2.exe
vxgamet3.exe
Winstall.exe

Utilizando algunos programas de limpieza (HijackThis, TaskList-X (como Killbox), Diskcleaner, Ad-adware602, Xoftspy, Spybot - Search and Destroy12,...), el antivirus básico de Norton, y las excelentes recomendaciones y consejos que tenéis en el foro, me libré de ellos. Aún así tengo un grave problema, y es que la conexión a Internet (utilizo módem) sólo permenece en activo de 2 a 5 minutos, cancelándose de forma aletoria, repentina y sin ningún tipo de
aviso previo. La conexión se detiene y aparece una ventana del sistema con el mensaje "La conexión a Internet se ha interrumpido, ¿desea conectarse de nuevo?".

El informe actual de HijackThis queda como sigue, (bastante normalito para lo que he visto por ahí), y nada de lo que consta en el mismo me induce a sospechar cuál puede ser la forma


El Log del HijackThis es el siguiente:


Logfile of HijackThis v1.99.1
Scan saved at 20:07:49, on 20/11/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ROL\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\TASKMON.EXE
C:\ROL\EASY\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\ROL\MOUSE\SCW32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ROL\LATA3\UTILIDAD\ANTI_SPYWARE_HIJACKERS_AND_T ROJANS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\ROL\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,UpdateRegSettings
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CreateCD] C:\ROL\EASY\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Monitor en 2ºPlano EPSON.lnk = C:\ROL\EPSON\Stms.exe
O4 - Startup: 3-Button Mouse.lnk = C:\ROL\MOUSE\Scw32.exe
O12 - Plugin for .mid: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=


Os agradezco de antemano cualquier ayuda que me pudiérais prestar y quedo a la espera de alguna idea al respecto.

PD.: Si este mensaje debería ser enviado a otro de los foros (como el de Spyware, por ejemplo), siento mi ignorancia al respecto y no tenéis más que indicarme a cuál debo acudir.



Venga, hasta luego.

Hola, te doy la bienvenida al Foro de InfoSpyware.

Tu log sale limpio, pero por los archivos que contas la infección era de PSguard.

Te recomiendo desinstalar el programa Xoftspy ya que es un falso Antispyware y los otros programas como Ad-Aware y Spybot instalar sus ultimas versiones.

Descarga y ejecuta la herramienta DelPSGuard.exe primero en "Modo a prueba de fallos" (modo seguro) y luego de reiniciar en modo normal.

Descarga, actualiza y ejecuta el programa Spy Sweeper 4.5 primero en modo normal y luego "Modo a prueba de fallos" (modo seguro)

Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia, nos contas los resultados.
Salu2

¡Hola a todo el foro!

Gracias por la pronta respuesta. He desinstalado de inmediato el XoftSpy. Estoy actualizando los programas que me indicas, pero con interrupciones cada 4 minutos, resulta muy difícil (y menos mal que el cache de datos guarda lo que he copiado hasta la interrupción de la línea). He pasado el Kapersky y he hecho limpieza de "Not-A-Virus, Minimal Threat", que de esas tenía 3 ó 4. He desinstalado el Flashget y el Gozilla también, por cierto.

Una cosa más, ¿debería utilizar el programa Winsock Fix que tenéis en esta página? ¿O no resolvería nada? De todas formas, hasta que ponga en práctica los consejos que me has dado no intentaré tomar iniciativas a ciegas.

Venga, hasta luego.

¿Has solucionado el/los problemas?
¿Qué problemas son los actuales?

Sí, puedes usar el WinsockFix, eso restablecerá la configuración de Winsock y TCP/IP por defecto. Si has configurado estos parámetros manualmente, tendrás que volver a configurarlos después de usarlo.

¡Hola a todo el foro!

Gracias por la pronta respuesta.

Tras hacer todo lo que me dijiste (descargar el Spy Sweeper con los constantes cortes de línea me costó tres horas delante del ordenador). Encontré dos cosas más:

Un Troyano llamado RUIN

Characteristics:

Trojan-Downloader-Ruin may connect to 195.95.218.99 usually into the users/puppy/web directory to download other threats.

Method of Infection:

Trojan-Downloader-Ruin typically arrives in the form of a .chm file (x[1].chm). Inside of the chm exists update.exe which is the actual downloader. It copies itself to the Windows directory and creates a name that consists of five randomly selected letters. The following registry entry is created to run <5 random letters>.exe on startup: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run <5 random letters >.exe C:\WINDOWS\system32\<5 random letters >.exe Registry entries are created under: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\rui ns HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Url s


Y otro llamado HIDD:

Characteristics:

Trojan-downloader-hidd is a type of Trojan horse that downloads other applications onto your computer. It can run in the background, hiding its presence

Method of Infection:

Trojan-downloader-hidd is usually disguised as a harmless software program and is generally distributed as an e-mail attachment. Opening the attachment may cause an auto-installation process that loads the downloader onto your computer without your knowledge or consent.

Ambos fueron eliminados.

El ordenador está limpio de cualquier problema aparente, pero sigo sin hallar la solución. La conexión de Internet se interrumpe aleatoriamente cada 2-10 minutos. Estoy seguro de que ha habido alguna variable relacionada con el módem o con el protocolo TCP que ha sido modificada. Además, la dirección remota que se asigna a mi ordenador en el momento de conectarme es enorme (adquiere un puerto entre xx.xx.xxx.xx:1314 y xx.xx.xxx.xx:1504), lo cual me resulta sospechoso.
Sobreentiendo que aparte de la reconfiguración manual de Winsock, este programa no borra ningún dato adicional. ¿Debería reinstalar el Windows98 con la esperanza de que reinicie los datos que me han sido cambiados?

P.D.: Dado que HijackThis ya no es el tema principal de mi problema, si debo mover mi mensaje a otro foro, no tienes más que indicarlo.

Lo de la conexión, desinstala los drivers del módem y elimina la conexión.
Instalas los drivers y vuelves a crear la conexión.

Luego usas esto para restablecer Winsock y TCP/IP: http://www.infospyware.com/Herramientas.htm

Es normal que existan conexiones en esos puertos (1xxx, 2xxx, etc), no hay ningún problema en eso.

Comenta los resultados.

¡Hola a todo el foro!

Gracias por la ayuda que me estáis prestando.

Ahora mismo hago lo que me acabas de decir por el orden indicado. Mañana te cuento el resultado.

Lo que realmente me fastidia, es que gracias a otros mensajes del foro me resultó bastante sencillo librarme de los virus y el spyware. Pero respecto al tema de las desconexiones aletorias y automáticas del módem, me siento realmente confuso e indefenso.

Venga, hasta luego.

¡Hola a todo el foro!

El problema está solucionado gracias a vosotros. Llevo 4 horas de conexión continua y no se ha interrumpido en ningún momento.
El problema estaba en la Winsock o en el protocolo TCP/IP, como apuntaste, dado que el módem y las conexiones telefónicas a redes ya las había desinstalado y vuelto a instalar por mi cuenta.
Muchas gracias de nuevo, por vuestra magnífica ayuda, y enhorabuena al foro por la información que proporciona sobre los antivirus y antispyware más efectivos.

Venga, hasta luego.

Lo damos por solucionado entonces.