Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Bien, os explico:

De repente mi AVG antivirus salta con una pestaña cerca de la barra de herramientas, y sale algo como:

POP3: Connecting to ****.*******.andorpac.ad (no recuerdo los números)

Bien, se que AVG revisa el correo con protocolo POP3 y eso, pero es que nunca me había pasado y llevo tiempo con este antivirus. Aparece cada media hora aprox. y me ralentiza el PC durante el minuto (aprox.) que está en pantalla.

Mi opinión (de completo inexperto) es que quizás tengo spyware que están enviando desde mi PC (spam o otra cosa) periódicamente y mi AVG lo revisa como elemento de salida. No lo sé en cualquier caso.

Ya probé con todo lo que existe y no me soluciona el problema, espero que me podais echar una mano amigos:

Mi logfile:



Logfile of HijackThis v1.99.1
Scan saved at 11:38:20, on 09/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Matlab\webserver\bin\win32\matlabserver.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\Archivos de programa\CyberLink\PowerCinema\PCMService.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\Archivos de programa\Pando Networks\Pando\Pando.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\FunTV Installation\T7Ir9x.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Pando] C:\Archivos de programa\Pando Networks\Pando\Pando.exe /Automation
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Reboot.exe
O4 - Global Startup: FunTV Remote Control.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Matlab\webserver\bin\win32\matlabserver.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe


Espero vuestra ayuda.

Un cariñoso saludo y un abrazo a todos los que nos ayudais. Haceis una labor impagable.

SALUDOS. Loquo.

El log no muestra absolutamente nada, ahora, según veo, tienes 2 antivirus (Panda y AVG) ambos están como residentes? si es así, eso podría traerte muchos problemas, así que es mejor que desactives uno de ellos (por lo menos, desactiva su función residente)


Ahora, como ya te dije, el log no muestra nada, de todos modos, haces un chequeo con 2 antivirus online (kaspersky y ewido) y nos dejas acá los reportes si consiguen algo que no puedan eliminar



Salu2

Lo de los 2 antivirus te explico:

Al principio tenía Panda (viene de serie con el PC), pero no me gustaba y es muy dificil de desinstalar. Así que me bajé AVG como antivirus y es el que tengo activada la protección automática.

El panda lo mantengo conectado, pero todo descativado excepto el Firewall (cosa que no tiene el AVG), asi que:

- Tengo las funciones de antivirus activadas del AVG
- Tengo el Firewall activado del Panda.

Espero que no me de conflictos.

Voy a pasar los antivirus online a ver que me dicen.

SALUDOS Y GRACIAS.

Ya los he pasado:

Ewido:

__________________________________________________
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Statcounter
Path: :mozilla.83:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Tacoda
Path: :mozilla.98:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Tacoda
Path: :mozilla.99:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.102:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.103:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.104:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Tacoda
Path: :mozilla.105:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.106:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.135:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.136:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.137:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.138:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.139:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.443:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Sitestat
Path: :mozilla.623:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Sitestat
Path: :mozilla.624:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Sitestat
Path: :mozilla.638:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium

Name: TrackingCookie.Googleadservices
Path: :mozilla.715:C:\Documents and Settings\PEDRO\Datos de programa\Mozilla\Firefox\Profiles\thfqblre.default \cookies.txt
Risk: Medium



Kaspersky:

The scan is complete.
No malware has been detected. The sections that have been scanned are CLEAN.

Report is empty.


A ver si consgues ver algo.
SALUDOS

Pues ni el log ni los antivirus online detectaron absolutamente nada en tu sistema, así que es muy, pero muy poco probable que haya una infección


De todos modos, coloca acá "el mensaje exacto" que recibes del avg a ver que se puede investigar al respecto




Salu2

Lo que pone el avg es:

AVG Mail Search
POP3: Connecting to m85-94-183-205.andorpac.ad

Bueno, ponía, porque he decidido pasarme a NOD32 visto lo pesado que se ha puesto el AVG (y por lo bien valorado que está aquí). Que por cierto lo he pasado y no ha detectado nada de nada.

Ya investigué un poco sobre el mensaje del AVG en algún foro y la conclusión a la que llegan es que es simplemente el AVG que analiza el correo, y que lo puede hacer en cualquier momento, que no es necesario que sea cuando envío / recibo correo (de ahí que más o menos salga periódicamente).

Lo que me mosque es que en los ejemplos que he visto en los foros, la gente dice que le sale ***.***.***.ono.com o algo así, ... osea ONO, que es lo que tengo yo, y sin embargo a mi me sale andorpac.ad, de ahí mi teoría de que estén spameando desde mi correo (eso de ".ad" me suena a anuncio).

Bueno, todo lo que puedas descubrir me será de ayuda.

Muchas gracias.

SALUDOS. Loquo.

Pues la cosa es así, si el correo spam estuviera "en tu correo" es decir, en el servidor de correo, en ese caso, pases los antivirus que pases, en tu sistema no encontrarás nada porque realmente no hay acceso físico de dicho spam a tu sistema


Lo que te quedaría por hacer, es revisar tus propias bandejas de correo y borrar todos aquellos correos que vengan de personas o sitios que no conozcas, esos correos que tú sabes que no solicitaste, pero están en tu bandeja de entrada


Con hijackthis, no hay nada que hacer ya, puedes sin embargo, seguir este tema en la sección de virus y spywares si se sigue presentando el problema




Salu2