Hola, soy nuevo en el foro, y por lo que veo está muy bueno. Espero que me puedan ayudar.

Desde hace una semana comencé a notar que navegaba muy lento. Realicé scan con el Nod 32, Ewido, Pest Patrol, Ad-aware, Apybot s&d, scans on line ( Pc-cillin), etc... y nada.

Se me ocurrió ver el tráfico de la red con el TCP view pro y encontré esto:

2 07:12:16 p.m. services.exe:548 CONNECT TCP pipi:1411 mail.wisi.com:smtp ERROR
9 07:12:16 p.m. services.exe:548 SEND TCP pipi:1432 osrv066.tamabi.ac.jp:smtp SUCCESS 31
10 07:12:16 p.m. services.exe:548 RECEIVE TCP pipi:1432 osrv066.tamabi.ac.jp:smtp SUCCESS 0
11 07:12:16 p.m. services.exe:548 RECEIVE TCP pipi:1432 osrv066.tamabi.ac.jp:smtp SUCCESS 94
16 07:12:16 p.m. services.exe:548 SEND TCP pipi:1437 mx3.usen.ad.jp:smtp SUCCESS 31
17 07:12:16 p.m. services.exe:548 RECEIVE TCP pipi:1437 mx3.usen.ad.jp:smtp SUCCESS 0
18 07:12:16 p.m. services.exe:548 RECEIVE TCP pipi:1437 mx3.usen.ad.jp:smtp SUCCESS 67
21 07:12:17 p.m. services.exe:548 SEND TCP pipi:1430 mail.wtplaw.com:smtp SUCCESS 28
22 07:12:17 p.m. services.exe:548 RECEIVE TCP pipi:1430 mail.wtplaw.com:smtp SUCCESS 0
23 07:12:17 p.m. services.exe:548 RECEIVE TCP pipi:1430 mail.wtplaw.com:smtp SUCCESS 22
24 07:12:17 p.m. services.exe:548 SEND TCP pipi:1416 ns1.wlu.edu:smtp SUCCESS 25
25 07:12:17 p.m. services.exe:548 RECEIVE TCP pipi:1416 ns1.wlu.edu:smtp SUCCESS 0
26 07:12:17 p.m. services.exe:548 RECEIVE TCP pipi:1416 ns1.wlu.edu:smtp SUCCESS 42
28 07:12:17 p.m. services.exe:548 DISCONNECT TCP pipi:1413 pdxmail.wk.com:smtp SUCCESS
29 07:12:17 p.m. services.exe:548 SEND TCP pipi:1413 pdxmail.wk.com:smtp SUCCESS 6
30 07:12:17 p.m. services.exe:548 RECEIVE TCP pipi:1413 pdxmail.wk.com:smtp SUCCESS 39
31 07:12:17 p.m. services.exe:548 SEND TCP pipi:1412 qc1.rc.wiu.edu:smtp SUCCESS 17671
32 07:12:17 p.m. services.exe:548 SEND TCP pipi:1431 xspm0101.northgrum.com:smtp SUCCESS 28
33 07:12:17 p.m. services.exe:548 RECEIVE TCP pipi:1431 xspm0101.northgrum.com:smtp SUCCESS 0
34 07:12:17 p.m. services.exe:548 RECEIVE TCP pipi:1431 xspm0101.northgrum.com:smtp SUCCESS 22
35 07:12:17 p.m. services.exe:548 RECEIVE TCP pipi:1427 mail03.wyndham.com:smtp SUCCESS 0
36 07:12:17 p.m. services.exe:548 SEND TCP pipi:1427 mail03.wyndham.com:smtp SUCCESS 6
37 07:12:17 p.m. services.exe:548 RECEIVE TCP pipi:1427 mail03.wyndham.com:smtp SUCCESS 43
38 07:12:17 p.m. services.exe:548 RECEIVE TCP pipi:1412 qc1.rc.wiu.edu:smtp SUCCESS 0


Con respecto al Hijackthis, este es el log:

El nuevo log del Hijackthis es:

Logfile of HijackThis v1.99.1
Scan saved at 07:08:31 p.m., on 30/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Pest patrol\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\Pest patrol\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Ad-aware] C:\Program Files\Ad-aware 6\Ad-aware.exe +c
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\Pest patrol\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\Pest patrol\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1125179684437
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/...tail/DASAct.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB9740C4-3677-4506-BAEB-9E0F28E1CA00}: NameServer = 200.69.193.1,200.69.193.2
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

El Nod 32 en modo seguro, me dice que varios archivos están bloqueados, esos los teng que borrar ?

Este es el Log:

Registro de sucesos
NOD32 Scanner versión 1.1622 (20060625) NT
Comprobación CRC del archivo NOD32.EXE: estado correcto
Ha ocurrido un error mientras se analizaba la memoria operativa. La memoria operativa no puede ser analizada (ha ocurrido un error mientras se cargaba el archivo nod32m1.vxd o durante la comunicación con el servicio de análisis).
Fecha: 30.6.2006 hora: 22:38:52
Discos, carpetas y archivos analizados: C:; G:
C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\pipon\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\pipon\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\pipon\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\pipon\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\System Volume Information\MountPointManagerRemoteDatabase - Error abriendo archivo (Acceso denegado) [4]
C:\WINDOWS\system32\config\default - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\default.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\drivers\dtscsi.sys - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\drivers\sptd.sys - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\drivers\sptd6269.sys - Error abriendo archivo (El archivo está bloqueado) [4]
G:\System Volume Information\MountPointManagerRemoteDatabase - Error abriendo archivo (Acceso denegado) [4]
Cantidad de archivos analizados: 69623
Cantidad de virus detectados: 0
Hora de finalización: 2348 . Tiempo total de análisis: 1916 seg (00:31:56)
Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.
Fecha: 30.6.2006 hora: 23:14:17
Discos, carpetas y archivos analizados: C:; G:
C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4]
¡Análisis interrumpido por el usuario!
Cantidad de archivos analizados: 326
Cantidad de virus detectados: 0
Hora de finalización: 23:14:30 . Tiempo total de análisis: 13 seg (00:00:13)
Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.



Espero que me puedan ayudar, saludos y muy bueno el foro.

Hola.....


Pues en ninguno de los análisis se vé nada raro, aunque el netstat si muestra varias conexiones abiertas


El log de hijackthis no muestra nada, el log del nod32 no muestra nada que fuese anormal así que lo que queda es hacer un chequeo con dos antivirus online (kaspersky y ewido) y nos dejas acá los resportes de ambos antivirus




Salu2

Acron,

Evidentemente lo que tenga en la máquina corriendo en segurndo plano, me consume recursos de navegación, por lo cual por ahora se me dificulta mucho realizar los scaneos on-line. Seguire provando hasta que pueda, ni bien lo haga, posteo los logs.

De todos modos, dos cosas: Por un lado se ha modificado el log del Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 10:50:20 p.m., on 08/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Ad-aware] C:\Program Files\Ad-aware 6\Ad-aware.exe +c
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125179684437
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB9740C4-3677-4506-BAEB-9E0F28E1CA00}: NameServer = 200.69.193.1,200.69.193.2
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

Y la otra cosa es que, hay en C:programs files una carpeta llamada Movie maker, la cual no puedo borrar, por que me dice que el accedo está restringido o está siendo usado por otro programa. Lo mas gracioso es que había unos .dll dentro de la carpeta. Los borré a mano, y luego volví a entrar, y estaban nuevamente !!!

El log no muestra nada malo como ya te dije así que esperaré por los chequeos online



EL Movie Maker es un programa propio de windows y por ello no te permite borrar la carpeta y es que se renuevan las dlls. Ese programa no tiene nada que ver con tu problema




Salu2