Todo comenso cuando no se como mi pc se infecto con los siguientes troyanos
Trojan horse generic.suz
Trojan Horse collected.z
Trojan horse proxy.eni
Trojan horse downloader..generic.zq0
Trojan horse collected.z
Trojan horse psw.generic2.geu
Trojan horse collected.z

Luego de borrar estos virus pase 2 antivirus online, otra vez el avg que tengo instalado y 2 anti spayware. Ninguno encontro ni virus ni spywares.

He usado el netstat -s y me dice que tengo mas de 50 conexiones acuales por lo que deduzco que tengo algun bicho molestando. "Aviso" al momento de usar el netsat -s no corria ningun p2p ni nada simplemente prendi la maquina y espere 2 minutos y ese fue el resultado.

Ya no se que hacer por eso les dejo mi log
Logfile of HijackThis v1.99.1
Scan saved at 1:36:58, on 28/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\HJT\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] "C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] "C:\Archivos de programa\PowerISO\PWRISOVM.EXE"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\ARCHIV~1\ELTIMA~1\FLASHD~1\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\ARCHIV~1\ELTIMA~1\FLASHD~1\iebt.dll (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by122fd.bay122.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Les comento que si entro en modo aprueba de fallos con funciones de red la conexion funciona normalmente.

Espero me puedan ayudar

desde ya muchas gracias

Maxi

Hola, que tal......



El log no muestra nada.....y si dices que ya haz pasado los antivirus online y no encontraron nada, pues la pones difícil


Ahora bien, descarga el TCPView y descomprímelo en el escritorio


Ejecuta el programa, al poco tiempo, verás que se abre como una especie de log, copia dicho log y pégalo acá



Salu2

Antes que nada muchas gracias por tu ayuda, aqui te dejo el log.
avgemc.exe:180 TCP charles:10110 charles:0 LISTENING
iexplore.exe:2120 TCP charles:1050 charles:0 LISTENING
iexplore.exe:2120 TCP charles:1128 charles:0 LISTENING
iexplore.exe:2120 UDP charles:1041 *:*
lsass.exe:688 UDP charles:500 *:*
svchost.exe:1004 TCP charles:5000 charles:0 LISTENING
svchost.exe:1004 UDP charles:1900 *:*
svchost.exe:1004 UDP charles.ciudad.com.ar:1900 *:*
svchost.exe:856 TCP charles:135 charles:0 LISTENING
svchost.exe:908 TCP charles:1025 charles:0 LISTENING
svchost.exe:908 UDP charles:123 *:*
svchost.exe:908 UDP charles.ciudad.com.ar:123 *:*
svchost.exe:968 UDP charles:1026 *:*
svchost.exe:968 UDP charles:1132 *:*
svchost.exe:968 UDP charles:1133 *:*
svchost.exe:968 UDP charles:1134 *:*
svchost.exe:968 UDP charles:1135 *:*
svchost.exe:968 UDP charles:1136 *:*
svchost.exe:968 UDP charles:1137 *:*
svchost.exe:968 UDP charles:1138 *:*
svchost.exe:968 UDP charles:1139 *:*
svchost.exe:968 UDP charles:1140 *:*
System:4 TCP charles:445 charles:0 LISTENING
System:4 TCP charles:1037 charles:0 LISTENING
System:4 TCP charles.ciudad.com.ar:139 charles:0 LISTENING
System:4 UDP charles:445 *:*
System:4 UDP charles.ciudad.com.ar:137 *:*
System:4 UDP charles.ciudad.com.ar:138 *:*

luego de esto reinicie la maquina y lo volvi a ejecutar este es el resultado

iexplore.exe:1708 TCP charles.ciudad.com.ar:1117 idcmail-mx1so.cg.shawcable.net:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1130 mail.ineedhits.com:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1141 17.250.248.49:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1153 170.220.2.215:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1160 66.197.215.101:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1168 213.193.229.196:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1170 84.22.161.221:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1174 17.250.248.49:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1185 idcmail-mx1so.cg.shawcable.net:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1189 207.164.4.30:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1190 161.225.140.200:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1192 idcmail-mx1so.cg.shawcable.net:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1193 17.250.248.49:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1194 162.136.191.90:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1195 162.136.191.90:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1196 205.160.42.65:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1198 65.54.244.8:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1199 204.137.51.15:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1200 207.35.64.20:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1202 17.250.248.49:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1203 200.38.97.50:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1204 idcmail-mx1so.cg.shawcable.net:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1206 17.250.248.49:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1207 209.66.101.141:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1208 208.56.69.42:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1209 63.99.210.201:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1210 207.61.253.201:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1211 195.229.241.56:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1212 63.99.210.201:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1213 212.133.133.229:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1218 200.173.10.136:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1205 66.218.66.218:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1219 203.96.152.6:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1220 163.247.44.9:25 ESTABLISHED
iexplore.exe:1708 TCP charles.ciudad.com.ar:1221 195.87.101.82:25 ESTABLISHED
me di cuenta que terminando todos estos procesos la conexiones actuales quedan en 0 e internet funciona correctamente

Pues ciertamente hay demasiadas conexiones allí.....


Lo interesante es lo siguiente, todas las conexiones que aparecen "establecidas" están siendo dirigidas a diferentes IPs usando el puerto 25, dicho puerto es un puerto TCP reservado para las transferencias realizadas por el protocolo SMTP, es decir, el protocolo de transferencia de Mails


En tu caso, lo que deberías empezar por hacer es instalar un firewall, por ahora, será la única manera de controlar esos envíos desde tu sistema (a menos que supieras claro que estás usando algún server de correo o similar)


Instala el firewall y verás las alertas de qué programas están tratando de establecer conexión con el exterior, en especial, las que están usando el puerto 25. Dichas alertas son las que podrán ayudarnos a determinar que programa está causando estos problemas



Me cuentas



Salu2

Tienes razon el zone alarm abre varias ventanas que dicen
el firewall tinee acceso de bloqueada internet al equipo (tcp port 1080) desde 193.138.232.84 (tcp port 16552) (indicadores tcp:S)

Otro que dice lo que tu me dijiste

Programa de correo electronico
svchost.exe

luego en un lugar que titilan como unas ventatitas dice generic host process for win32 services

espero que esto ayude

Pues en realidad nos ayuda poco, el svchost.exe actúa como un servicio, que mediante parámetros, se encarga de diferentes partes del sistema operativo, entre ellos, la conectividad del sistema


Descarga y ejecuta el mwav y deja acá el reporte (Solo las entradas que digan Tagged o Infected)



Salu2