Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Me bloquean la conexión a Internet

Hola, y gracias por la ayuda.

Desde hace unos días algo en el ordenador bloquea la conexión a Internet. El síntoma es que me conecto con un módem COMTREND CT-350 USB a una ADSL 510-128 de Telefónica, y tras un espacio de tiempo que me variado de pocos minutos a casi media hora la conexión a Internet se bloquea y no se puede utilizar ninguna utilidad que maneje Internet.

La conexión sin embargo sigue activa, y observo como hay movimiento de subida y de bajada. En un principio llamé al servicio técnico de Telefónica, me hicieron pruebas de red, ejecuté en DOS la utilidad netstat -n, y el técnico me dijo que la red estaba bien y que tenía virus o spyware.

A partir de ahí seguía las indicaciones de spywareinfo. Tenía previamente instalados el antivirus TrendMicro y el Ad-Aware. Ambos me dieron negativo con la excepción de las cookies. A continuación puse el Spybot, el Antispyware de Microsoft y el Spyware Blaster, y seguí las indicaciones que se decían, es decir, quitar el "restaurar sistema", iniciar en modo a prueba de fallos, pasar todas las herramientas, limpiar cookies y temporales, iniciar en modo normal, volver a pasar las herramientas y pasar un antivirus, primero mi Trend Micro y luego on-line el de Mc Afee.

El resultado fue que encontré un virus y algunos elementos de spyware. Me las prometía muy felices, pero cuando hice el último proceso, el pasar el antivirus online, se me volvió a bloquear la red (fue la vez que más tiempo duró activa pues casi fue una hora mientras analizaba el ordenador).

Desesperado, he tratado de buscar el proceso que me bloquea internet a mano. Con el netstat -a, el administrador de tareas y reiniciando el ordenador para tener internet durante un breve tiempo antes de que se bloquease he tratado de ver si surgía algún proceso extraño que me abriese o cerrase puertos. He sido incapaz de averiguarlo, lo único que observé fue que en algunas ocasiones cuando tenía internet bloqueado netstat -a me sacaba que se abrían varios puertos casi consecutivos uno detrás de otro (p. ej. 2068, 2070, 2072). Esto no pasaba siempre porque en otras ocasiones los puertos eran (o creo que eran) los mismos que cuando el ordenador se conectaba por primera vez a Internet y podía navegar. También traté de cerrar todos los procesos que tenía abiertos exceptuando los críticos que no me permitía el administrador, y nada, seguía sin poder acceder a la red, y lo peor es que sigo sin observar ningún proceso sospechoso.

Un último detalle es que en el momento en que se me bloquea el acceso a la red cuando desconecto el módem y trato de volverme a conectar el módem es incapaz de acceder a Internet, como si se hubiese desconfigurado y a pesar de que apenas hacía un momento estaba navegando. Para solucionarla hay veces que tengo que sacar el módem del puerto USB y meterlo en otro para que windows lo configure de nuevo, pero otras veces a eso tengo que reiniciar todo el ordenador.

Lo último que me queda es pasar el Hijack this!, que haré en breve porque escribo desde el trabajo y tengo que volver a casa a pasar ese diagnóstico para poner aquí el log. Disculpas si no lo he hecho aún. Pero como véis estoy ya desesperado pues necesito Internet para trabajar.

Espero por favor que podáis echarme una mano. Un último detalle, ¿puede ser el módem el que esté estropeado? o ¿solucionaría el problema restaurar el sistema a estado anterior al dia en que me empezaron a surgir los problemas?

Gracias de nuevo

Me bloquean la conexión a Internet

Hola, y gracias por la ayuda. A continuacíon va el log de Hijack this y luego más adelante los síntomas de mi ordenador

LOGFILE ANTES DE CONECTARME A INTERNET

Logfile of HijackThis v1.99.1
Scan saved at 15:11:00, on 29/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent .exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\WordPerfect Office 12\Programs\CorUpd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Miguel Angel.MIGUEL-943CQP2F\Escritorio\Troyanos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - C:\Archivos de programa\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PowerTray] C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware14] "C:\Archivos de programa\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfCnv\RegistryC ontroller.exe"
O4 - HKLM\..\Run: [SSPrnAgent] C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent .exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [c:_archivos de programa_wo41] C:\Archivos de programa\WordPerfect Office 12\Programs\CorUpd.exe /Watch /r="SOFTWARE\Corel\WordPerfect Suite\12"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\MS Office XP\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MSOFFI~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellEx t.dll /100
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/live/code/IE_1070/DownloadManager.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {5445BE81-B796-11D2-B931-002018654E2E} (MeadCo Security Manager) - http://chatcenter.wanadoo.es:8883/wcsapp/weblib/Javascript/messaging/ie/SecMgr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.lanson.net/svideo3.cab
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe

--------------------
LOGFILE DESPUES DE CONECTARME A INTERNET

Logfile of HijackThis v1.99.1
Scan saved at 15:25:51, on 29/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent .exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\WordPerfect Office 12\Programs\CorUpd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Miguel Angel.MIGUEL-943CQP2F\Escritorio\Troyanos\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - C:\Archivos de programa\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PowerTray] C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware14] "C:\Archivos de programa\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfCnv\RegistryC ontroller.exe"
O4 - HKLM\..\Run: [SSPrnAgent] C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent .exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [c:_archivos de programa_wo41] C:\Archivos de programa\WordPerfect Office 12\Programs\CorUpd.exe /Watch /r="SOFTWARE\Corel\WordPerfect Suite\12"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\MS Office XP\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MSOFFI~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellEx t.dll /100
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/live/code/IE_1070/DownloadManager.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {5445BE81-B796-11D2-B931-002018654E2E} (MeadCo Security Manager) - http://chatcenter.wanadoo.es:8883/wcsapp/weblib/Javascript/messaging/ie/SecMgr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.lanson.net/svideo3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29677E02-5F4B-4CAE-A986-A3E282511A13}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe



-------------
SÍNTOMAS

Desde hace unos días algo en el ordenador bloquea la conexión a Internet. El síntoma es que me conecto con un módem COMTREND CT-350 USB a una ADSL 510-128 de Telefónica, y tras un espacio de tiempo que me variado de pocos minutos a casi media hora la conexión a Internet se bloquea y no se puede utilizar ninguna utilidad que maneje Internet.

La conexión sin embargo sigue activa, y observo como hay movimiento de subida y de bajada. En un principio llamé al servicio técnico de Telefónica, me hicieron pruebas de red, ejecuté en DOS la utilidad netstat -n, y el técnico me dijo que la red estaba bien y que tenía virus o spyware.

A partir de ahí seguía las indicaciones de spywareinfo. Tenía previamente instalados el antivirus TrendMicro y el Ad-Aware. Ambos me dieron negativo con la excepción de las cookies. A continuación puse el Spybot, el Antispyware de Microsoft y el Spyware Blaster, y seguí las indicaciones que se decían, es decir, quitar el "restaurar sistema", iniciar en modo a prueba de fallos, pasar todas las herramientas, limpiar cookies y temporales, iniciar en modo normal, volver a pasar las herramientas y pasar un antivirus, primero mi Trend Micro y luego on-line el de Mc Afee.

El resultado fue que encontré un virus y algunos elementos de spyware. Me las prometía muy felices, pero cuando hice el último proceso, el pasar el antivirus online, se me volvió a bloquear la red (fue la vez que más tiempo duró activa pues casi fue una hora mientras analizaba el ordenador).

Desesperado, he tratado de buscar el proceso que me bloquea internet a mano. Con el netstat -a, el administrador de tareas y reiniciando el ordenador para tener internet durante un breve tiempo antes de que se bloquease he tratado de ver si surgía algún proceso extraño que me abriese o cerrase puertos. He sido incapaz de averiguarlo, lo único que observé fue que en algunas ocasiones cuando tenía internet bloqueado netstat -a me sacaba que se abrían varios puertos casi consecutivos uno detrás de otro (p. ej. 2068, 2070, 2072). Esto no pasaba siempre porque en otras ocasiones los puertos eran (o creo que eran) los mismos que cuando el ordenador se conectaba por primera vez a Internet y podía navegar. También traté de cerrar todos los procesos que tenía abiertos exceptuando los críticos que no me permitía el administrador, y nada, seguía sin poder acceder a la red, y lo peor es que sigo sin observar ningún proceso sospechoso.

Un último detalle es que en el momento en que se me bloquea el acceso a la red cuando desconecto el módem y trato de volverme a conectar el módem es incapaz de acceder a Internet, como si se hubiese desconfigurado y a pesar de que apenas hacía un momento estaba navegando. Para solucionarla hay veces que tengo que sacar el módem del puerto USB y meterlo en otro para que windows lo configure de nuevo, pero otras veces a eso tengo que reiniciar todo el ordenador.

Lo último que me quedaba es pasar el Hijack this!, más arriba está el log.

Como véis estoy ya desesperado pues necesito Internet para trabajar. Espero por favor que podáis echarme una mano. Un último detalle, ¿puede ser el módem el que esté estropeado? o ¿solucionaría el problema restaurar el sistema a estado anterior al dia en que me empezaron a surgir los problemas?

Gracias de nuevo

Bienvenido al foro,

Yo creo que por un lado estabas tirando de caché, es decir de lo que ya habías almacenado en el pc y la conexión estaba rota ya y por otro lado cuando haces un scan online primero te bajas la herramienta y despues lo escanea sin necesidad de estar en linea.

Mirando el log que nos mandas, ¿utilizas esto? C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe

No lo conozco, pero ¿como te va?

Por lo demas en hijackthis borra las siguientes entradas si no reconoces el sitio puesto en negrita.

O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/live/code/IE_1070/Downlo adManager.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {5445BE81-B796-11D2-B931-002018654E2E} (MeadCo Security Manager) - http://chatcenter.wanadoo.es:8883/wcsapp/weblib/Javascript/messaging/ie/SecMgr.c ab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.lanson.net/svideo3.cab

No creo que sean la fuente del problema, en cualquier caso si no utlizas un firewall deberías agenciarte uno.

Gracias Outsider,

Quité las 5 entradas que me dijiste, y ahora el ordenador me permite acceder a Internet y el modem no me da problemas. Sin embargo tengo un problema nuevo y es que todo me va lentísimo y era algo que no me había pasado durante los primeros días de los síntomas.

Le he pasado un antivirus online (el Norton) y otro offline (el de Trend Micro), también le he limpiado el registro, y los dos días pasados hizo una desfragmentación.

¿Por qué irá ahora tan lento? ¿Alguna idea o mando otro log del Hijack?

P.D: Por cierto, tengo firewall (viene integrado con el Antivirus de Trend Micro que es el que uso) y el programa Power Tray lo instalé yo mismo (son una serie de utilidades muy buenas para windows, como accesos más rápidos y distintas posibilidades de apagar el ordenador. Lo tienes en www.lopesoft.com).

Para ayudar un poco más aquí va mi log del hijack. Saludos y espero vuestra ayuda.

Logfile of HijackThis v1.99.1
Scan saved at 19:57:48, on 01/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent .exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\WordPerfect Office 12\Programs\CorUpd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Documents and Settings\Miguel Angel.MIGUEL-943CQP2F\Escritorio\Troyanos\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - C:\Archivos de programa\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PowerTray] C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware14] "C:\Archivos de programa\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfCnv\RegistryC ontroller.exe"
O4 - HKLM\..\Run: [SSPrnAgent] C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent .exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [c:_archivos de programa_wo41] C:\Archivos de programa\WordPerfect Office 12\Programs\CorUpd.exe /Watch /r="SOFTWARE\Corel\WordPerfect Suite\12"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\MS Office XP\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MSOFFI~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Archivos de programa\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellEx t.dll /100
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29677E02-5F4B-4CAE-A986-A3E282511A13}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe

Sigo esperando respuesta. Han pasado ya un par de días y no me habéis hecho caso.

Sigue mi problema con el ordenador muy lento y aparentemente ni virus ni spyware. El log del hijack this lo tenéis en el post anterior mio.

Gracias y espero vuestra ayuda.

Tu log aparece limpio de malware y dado los programas que usaste damos por descartado que el problema sea por uno de estos, te recomiendo ponerte en contacto con tu proveedor de servicios de internet y le plantes el problema ya que seguramente es problema de configuración.

Salu2

Gracias por la ayuda.

Creo que ya lo he solucionado. He mirado mis procesos y parece que el antivirus tenía algo corrupto. Tras desinstalarlo y actualizarlo parece que todo vuelve a ser normal.

De todas manera vuestra página me ha sido muy útil y os animo a que sigáis adelante.

Saludos.