Amigos de Foro Spyware

Tengo problemas con mi Conecion de Internet (Esta loca).

Uso Windows XP, un dia usando el Messenger aparecio un mensaje de alerta que me decia que el Windows XP tenia problemas e iva a corromper otros programas como Office XP. Pidio que entrara urgentemente en unas paginas de wupdate.net y regprofix.com para actualizar, yo entre pero como era con tarjeta de credito yo sali y cerre las paginas. Desde ese momento aparecio el problema con mi conecion.
Cuando inicio y entro en Windows xp, la conecion de internet trata de conectarse sin pedir password, cada 3 segundos intenta conectarse, yo la cierro y ella continua sin parar..

Tengo miedo que este problema destruya toda mi informacion de mi PC, y mis trabajos de estudio..

He usado varios antivirus AVG y Ad-aware SE personal, he eliminado varios archivos corruptos y continua el mismo problema..

Yo use su programa HijackThis y obtuve esta información:

Logfile of HijackThis v1.99.1
Scan saved at 12:24:43 p.m., on 11/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\upnpdrv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEESLA/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://latam.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [mouseElf] D:\ARCHIV~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [msnappau] "D:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"
O4 - HKLM\..\Run: [AVG7_CC] D:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MsnMsgr] "D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = D:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: D:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - D:\WINDOWS\System32\upnpdrv.exe


Que ustedes me aconsejan realizar, para solucionar este problema?

Gracias amigos..

Hola te doy la bienvenida al Foro de InfoSpyware, empeza siguiendo los pasos de el "Tutorial de Spywares" con las herramientas Microsoft Antispyware, Ad-Aware SE y SpyBot.

Segui los pasos de este mensaje para deshabilitar el Mensajero de Windows

Pásale al menos dos de estos "Antivirus Online" y genera un nuevo log de HijackThis para pegarlo en este mismo mensaje y decirnos los resultados de los análisis de las herramientas.

Salu2

__________________

Amigo Administrador del Foro Spyware (El Piedra)

Segui todos los pasos que Ud. me recomendo, pero continuo con el problema com mi coneción de Internet, cada vez que inicio Windows XP y entro en mi cuenta de usuario la coneción intenta conectarse cada 3 segundos solo consigo parar la acción entrando en procesos y parar el proceso..

Aqui le envio el nuevo resultado despues de ejecutar el Hijackthis..


D:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Archivos de programa\Grisoft\AVG Free\avgcc.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Archivos de programa\Internet Explorer\iexplore.exe
D:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.latam.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.latam.msn.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [gcasServ] "D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [XoftSpy] D:\Archivos de programa\XoftSpy\XoftSpy.exe -s
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: D:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121137675955
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BBA7043-11B9-420D-8B41-FBF6F1AC7315}: NameServer = 200.44.32.12 200.44.32.13
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: WIN32 (image) - Unknown owner - D:\WINDOWS\image.exe

Agradezco su interes y ajuda prestada..

Tambien intente colocar el Firewall de sygate pero da problema de memoria con un archivo llamado "smc.exe" y no funciona.

Que puedo hacer para solucionar el problema?

Saludos y gracias por la ayuda.

Tu log de HJT aparece limpio por lo que no podemos hacer mucho con el, descargale programa EWIDO actualizalo y ejecutalo.

Luego nos pegas su reporte.

Salu2

__________________

Amigo Administrador do Foro spyware

Disculpe la tardanza para responderle..

Hice todo lo que ud. me recomendo, aqui le envio el reporte de salida del programa EWIDO y tambien el log del programa HijackThis que tambien ejecute.


REPORTE DEL PROGRAMA EWIDO:

---------------------------------------------------------
ewido security suite - Report de exploración
---------------------------------------------------------

+ Creado en: 01:12:00 a.m., 21/07/2005
+ Report-Checksum: 9E126CC6

+ Scan result:

C:\RhinoSoft.com\AllegroSurf\NetMonMonitor.exe -> Heuristic.Win32.Dialer : Ignorado


::Fin Report



LOG DEL PROGRAMA HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 01:15:45 a.m., on 21/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.latam.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.latam.msn.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [gcasServ] "D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [XoftSpy] D:\Archivos de programa\XoftSpy\XoftSpy.exe -s
O4 - HKLM\..\Run: [nod32kui] "D:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PAV.EXE] D:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
O4 - HKLM\..\Run: [DownloadAccelerator] D:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_CC] D:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - Global Startup: Actualización de PER Antivirus.lnk = D:\Archivos de programa\Persystems\Perav\PERUPD.EXE
O8 - Extra context menu item: &Download with &DAP - D:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: D:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121137675955
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - D:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: WIN32 (image) - Unknown owner - D:\WINDOWS\image.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - D:\Archivos de programa\Persystems\Perav\PAVSS.EXE
O23 - Service: PER Antivirus (pav_service) - PER SYSTEMS S.A. - D:\Archivos de programa\Persystems\Perav\PERVAC.EXE


Agradesco mucho su ayuda prestada hasta ahora.

Espero pronto sus consejos para tratar de solucionar mi problema,

Saludos

Bien en el log de HijackThis no aparece nada significativo solo este archivo que tendrías que buscarlo y hacerlo analizar online en "Virus-Total" para ver si es peligroso y si es así eliminarlo.

D:\WINDOWS\image.exe

Después el EWIDO esta encontrando un archivo perteneciente a un programa que tenes instalado llamado AllegroSurf el cual puede ser el culpable de tu problema por lo que te recomiendo desinstalar este programa desde las opciones del Panel de Control > Agregar/Quitar Programas

O directamente con KillBox borrar este archivo

C:\RhinoSoft.com\AllegroSurf\NetMonMonitor.exe

y borra manualmente esta carpeta con todo su contenido:

C:\RhinoSoft.com

Después nos contas los resultados.

Salu2

Ps//Ya chequeaste las opciones del "Mensajero de Windows"

__________________

Amigo Administrador do Foro spyware

Disculpe la tardanza para responderle..

Hice todo lo que ud. me recomendo, use 2 antivirus online (trend e panda) y pase a mi computador, registraron unos posibles virus, el antivirus desinfecto pocos y no pudo desinfectar los otros, los cuales los envie a su central para su analisis...Aqui le envio copia del registro de antivirus:



Incidencia Estado Elemento

Adware:adware/powerstrip No desinfectado HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{669695BC-A811-4A9D-8CDF-BA8C795F261C}
Posible Virus. No desinfectado C:\DTS\ORTHO\WRD6INST.DOT
Posible Virus. No desinfectado C:\DTS\ORTHO\WRD7INST.DOT
Adware:Adware/MediaTickets No desinfectado D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8CPNLYZ2\signup_r4_c2[1].gif[t.bat]
Adware:Adware/MediaTickets No desinfectado D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8CPNLYZ2\signup_r4_c2[1].gif[update-sp2.html]
Adware:Adware/MediaTickets No desinfectado D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8CPNLYZ2\signup_r4_c2[1].gif[update-sp3.html]
Adware:Adware/MediaTickets No desinfectado D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8CPNLYZ2\signup_r4_c2[1].gif[update-sp5.html]
Virus:Trj/Lowzones.IK No desinfectado D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8CPNLYZ2\signup_r4_c2[1].gif[y.exe]
Virus:Trj/Lowzones.IK No desinfectado D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8CPNLYZ2\signup_r4_c2[1].gif[y.exe][ra.reg]
Virus:Trj/Lowzones.IK No desinfectado D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8CPNLYZ2\signup_r4_c2[1].gif[l.exe]
Virus:Trj/Downloader.DSJ No desinfectado D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8CPNLYZ2\signup_r4_c2[1].gif[l.exe][a776a8.js]
Virus:Trj/Lowzones.IK No desinfectado D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8CPNLYZ2\signup_r4_c2[1].gif[l.exe][ra.reg]
Posible Virus. No desinfectado D:\DTS\WDIC\WRD7INST.DOT
Virus:Trj/Downloader.DSJ Desinfectado D:\WINDOWS\a776a8.js
Adware:Adware/MediaTickets No desinfectado D:\WINDOWS\t.bat
Yo tome la osadia de eliminar esos archivos infectados que consegui en mi computador, el cual encontre uno solo el archivo (signup_r4_c2[1].gif )..Tambien elimine el archivo "image.exe".


Con todo esto realizado, todavia continua el problema con mi conexion de internet, no para de tratar de conectarse..Ahora tambien aparece un nuevo problema, al iniciar el Windows XP, aparece un mensaje de error de acceso de memoria con el archivo "svchost.exe" con las opciones de aceptar y cancelar..Si click aceptar entro a seccion de windows xp (con sus problemas de conexion) pero si click en cancelar se queda congelada y no funciona nada, teng oque reiniciarla manaualmente..Cuando entro en windows xp por la primera opcion el internet explorer presneta problema y no sirve..


Estoy desesperado, porque creo que el problema se incremento y el sistema windows xp esta malisimo..Estoy pensando en formatear el Disco duro e instaalr de nuevo Windows xp.

Espero sus ideas y sugerencias para ver si existe alguna solución a este super problema..

Muy agradecido por toda sua ayuda..

Saludos y abrazos