Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola de nuevo, otra vez me pasa lo mismo que hace un tiempo, arranco el pc, y sin abrir programas, tengo el internet a tope, actividad enviados 119.0000 recibidos 95.000 en 20 minutos de sesion que llevo y esto sigue. Dejo log para revisar y también os dejo netstat -a y netstat -ano para ver que dice y saber quien se conecta. Gracias como siempre y un saludo.

Logfile of HijackThis v1.99.1
Scan saved at 12:02:13, on 08/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
G:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\ZoneLabs\vsmon.exe
G:\WINDOWS\Explorer.EXE
G:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
G:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
G:\Archivos de programa\Messenger\msmsgs.exe
G:\Archivos de programa\ePrompter\ePrompter.exe
G:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
G:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
G:\WINDOWS\system32\NOTEPAD.EXE
G:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - G:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\Ex ploreExtPDF.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - G:\Archivos de programa\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - G:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\Ex ploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - G:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Zone Labs Client] "G:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] G:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] G:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [MSMSGS] "G:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = G:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ePrompter.lnk = G:\Archivos de programa\ePrompter\ePrompter.exe
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://G:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://G:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://G:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://G:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - G:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - G:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - G:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - G:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - G:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - G:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - G:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - G:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - G:\WINDOWS\system32\ZoneLabs\vsmon.exe


--------------------------------------------------------------------------


G:\Documents and Settings\TORITO BRAVO>netstat -a

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP espa-6e7f481fd7:epmap espa-6e7f481fd7:0 LISTENING
TCP espa-6e7f481fd7:microsoft-ds espa-6e7f481fd7:0 LISTENING
TCP espa-6e7f481fd7:12025 espa-6e7f481fd7:0 LISTENING
TCP espa-6e7f481fd7:12080 espa-6e7f481fd7:0 LISTENING
TCP espa-6e7f481fd7:12110 espa-6e7f481fd7:0 LISTENING
TCP espa-6e7f481fd7:12119 espa-6e7f481fd7:0 LISTENING
TCP espa-6e7f481fd7:12143 espa-6e7f481fd7:0 LISTENING
TCP espa-6e7f481fd7:netbios-ssn espa-6e7f481fd7:0 LISTENING
UDP espa-6e7f481fd7:microsoft-ds *:*
UDP espa-6e7f481fd7:isakmp *:*
UDP espa-6e7f481fd7:1025 *:*
UDP espa-6e7f481fd7:1041 *:*
UDP espa-6e7f481fd7:1042 *:*
UDP espa-6e7f481fd7:1043 *:*
UDP espa-6e7f481fd7:1044 *:*
UDP espa-6e7f481fd7:1045 *:*
UDP espa-6e7f481fd7:1046 *:*
UDP espa-6e7f481fd7:1047 *:*
UDP espa-6e7f481fd7:1048 *:*
UDP espa-6e7f481fd7:1049 *:*
UDP espa-6e7f481fd7:4500 *:*
UDP espa-6e7f481fd7:ntp *:*
UDP espa-6e7f481fd7:1900 *:*
UDP espa-6e7f481fd7:ntp *:*
UDP espa-6e7f481fd7:netbios-ns *:*
UDP espa-6e7f481fd7:netbios-dgm *:*
UDP espa-6e7f481fd7:1900 *:*

--------------------------------------------------------------------------

G:\Documents and Settings\TORITO BRAVO>netstat -ano

Conexiones activas

Proto Dirección local Dirección remota Estado PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 868
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING 3152
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING 1280
TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING 3152
TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING 3152
TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING 3152
TCP 192.168.1.2:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 664
UDP 0.0.0.0:1025 *:* 1060
UDP 0.0.0.0:1041 *:* 1060
UDP 0.0.0.0:1042 *:* 1060
UDP 0.0.0.0:1043 *:* 1060
UDP 0.0.0.0:1044 *:* 1060
UDP 0.0.0.0:1045 *:* 1060
UDP 0.0.0.0:1046 *:* 1060
UDP 0.0.0.0:1047 *:* 1060
UDP 0.0.0.0:1048 *:* 1060
UDP 0.0.0.0:1049 *:* 1060
UDP 0.0.0.0:4500 *:* 664
UDP 127.0.0.1:123 *:* 948
UDP 127.0.0.1:1900 *:* 1108
UDP 192.168.1.2:123 *:* 948
UDP 192.168.1.2:137 *:* 4
UDP 192.168.1.2:138 *:* 4
UDP 192.168.1.2:1900 *:* 1108

Hola, que tal.........


El log no muestra nada, aunque si son muchas las conexiones UPD que muestra el netstat, diría que podría ser por el eprompter, pero siendo un programa de notificación de email, no debería usar los puertos que usa


Haz un chequeo con los scanners online de kaspersky y ewido y dejas acá los reportes (solo coloca las entradas que indiquen infección)




Salu2

Desde que envié este post a la mañana, he pasado ad aware, spybot, modo seguro todo, limpié el registro, y esto sigue igual, el log como tu dices no enseña nada y el ewido lo intenté pasar esta mañana y cuando analiza la memoria y empieza a detectar cositas, pues me ha reiniciado el pc las dos veces, por tanto ahora, voy a intentarlo de nuevo y mandaré los reportes. Gracias y sigo trabajando.

Hola de nuevo, creo que puedo dar por solucionado el asunto, he pasado todas las herramientas que soleis recomendar, y por último tal como me indicaste pasé el kaspersky online y el ewido. Durante el escaneo de kaspersky no detectó nada pero la verdad que en pleno escaneo dejó de trabajar la conexión de internet como lo estaba haciendo a lo loco, luego pasé el ewido que no encontró nada, y ya reiniciado el pc, la verdad que esto está por fin tranquilito, ya internet está quieto. Te dejo el raport donde dice que no halló nada pero vienen unas cosas después que no se interpretar aunque creo que son bloqueos en la red y que los ha hecho el kaspersky, como no lo se, te lo dejo, y si es algo interesante me lo comentas y sino pues podemos dar el tema por solucionado, por lo que os doy las gracias como siempre y un saludo porque la verdad que os lo trabajais muy bien, sois de mucha ayuda.


KASPERSKY ONLINE SCANNER REPORT
Friday, September 08, 2006 8:18:18 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 8/09/2006
Kaspersky Anti-Virus database records: 208933
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: false

Scan Target - Critical Areas:
G:\WINDOWS
G:\DOCUME~1\TORITO~1\CONFIG~1\Temp\

Scan Statistics:
Total number of scanned objects: 10560
Number of viruses found: 0
Number of infected objects: 0 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:16:31

Infected Object Name / Virus Name / Last Action
G:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
G:\WINDOWS\Internet Logs\ESPA-6E7F481FD7.ldb Object is locked skipped
G:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped
G:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped
G:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped
G:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped
G:\WINDOWS\SchedLgU.Txt Object is locked skipped
G:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
G:\WINDOWS\Sti_Trace.log Object is locked skipped
G:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
G:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
G:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
G:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
G:\WINDOWS\system32\config\default Object is locked skipped
G:\WINDOWS\system32\config\default.LOG Object is locked skipped
G:\WINDOWS\system32\config\SAM Object is locked skipped
G:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
G:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
G:\WINDOWS\system32\config\SECURITY Object is locked skipped
G:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
G:\WINDOWS\system32\config\software Object is locked skipped
G:\WINDOWS\system32\config\software.LOG Object is locked skipped
G:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
G:\WINDOWS\system32\config\system Object is locked skipped
G:\WINDOWS\system32\config\system.LOG Object is locked skipped
G:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
G:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
G:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
G:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
G:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
G:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
G:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
G:\WINDOWS\Temp\Perflib_Perfdata_670.dat Object is locked skipped
G:\WINDOWS\Temp\ZLT0430a.TMP Object is locked skipped
G:\WINDOWS\wiadebug.log Object is locked skipped
G:\WINDOWS\wiaservc.log Object is locked skipped
G:\WINDOWS\WindowsUpdate.log Object is locked skipped
G:\DOCUME~1\TORITO~1\CONFIG~1\Temp\~DFC9D6.tmp Object is locked skipped

Scan process completed.

Lo de Object is Locked lo muestra así el kaspersky no porque haya bloqueado nada, sino que esos archivos no los puede chequear por ser considerados propios del sistema operativo o protegidos por éste último


Revisa el sistema unos días mas y me cuentas a ver si damos el tema por terminado o aún no




Salu2