Hola
Pues he hecho el log con la última versión (no sé porqué tenía la anterior).
Antes he borrado todas las cookies y los archivos temp de internet, e corrido el Ad-aware y no ha encontrado nada, luego he corrido el antiespias de Microsoft en el modo más avanzado y ha encontrado algo no muy importante, según decía. Todo esto en modo seguro y desactivado rstaurar sis.
He reiniciado y siguen entrando y sliendo datos, ¿puede que sea un virus que no haya detectado el Bitdefender y el Trendmicro on-line? Podría intentar pasar el NOD32 en modo de trial a ver qué pasa;
bueno, este es el logo a ver si hay algo raro:

Logfile of HijackThis v1.99.0
Scan saved at 11:19:44, on 18/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Seguridad\Antiespias\Microsoft-antiespia\gcasDtServ.exe
C:\Archivos de programa\Seguridad\Antiespias\HijackThis\HijackThi s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BDMCon] C:\Archivos de programa\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Professional Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Seguridad\Antiespias\Microsoft-antiespia\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NOSHARES.BAT
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105726204864
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86016BDF-DAD2-41BA-B5FA-E28F80340013}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{86016BDF-DAD2-41BA-B5FA-E28F80340013}: NameServer = 80.58.0.33,80.58.32.97
O23 - Service: BitDefender Scan Server - Unknown - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Servicio SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: BitDefender Virus Shield - Unknown - C:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

Hola

Bueno, las entradas y salidas de datos se pueden deber a los chequeos de actualizaciones y descargas corrspondientes de programas como

• Java Runtime Enviroment 1.5
• Bitdefender
• El servicio antispyware de Microsoft

Aparte de eso.

¿tienes tarjetas inteligentes o smartcards?.

Si no la stienes, puedes detener estos servicios:

• Tarjeta inteligente
• Sistema de ayuda de tarjeta inteligente

¿Usas el escritorio remoto de netmeeting?

Si no es así, puedes eliminar este servicio:

• Escritorio remoto compartido de NetMeeting

No parece haber ningún problema serio, así que si tienes un firewall solo basta querevises esa información ahí, si no lo tienes, depebía sinstalar uno.

Dinos si esto te ayuda.

Felicidad

Hola PatomaS
Gracias
Efectivamente no tengo taretas inteligentes, lo quitaré. El java creo que sí lo tngo permitido en el cortafuegos de Bitdefender, lo he quitado ahora aver.
Netmeeting no lo uso pero a veces si uso Paltalk ¿Puedo quitarlo de todas formas?
De lo demás todos los updates los tengo desactivados, creo, escpto el del Bitdefender que baja cada 12 horas o así.

¿Para quita los updates de Java tendría que borrar todas las entradas que se refieren a Java O a Sun?

¿Puedo quitar la que se refiere a xscan53? He leido que es un Malware ¿No me estará haciendo algo?

Voy a intentar aprender a usar el Outpost aver que tal. Os cuento.
Gracias y salud y felicidad también.

Hola

Lo del xscan53 se me había pasado, para eliminarlo, debería bastarte con reiniciar la máquina y entrar en modo seguro, luego ejecuta el hijackthis y soluciona ese problema.

Las actualizaciones de java, si no recurdo mal, las puedes desactivar desde el mismo panel de control de java. Dberías tener una carpeta en la lista de programas de inicio, si no la tienes o no encuentras la manera, puedes utilizar el regseeker y eliminarlo del inicio.

Sobre el Paltalk, nunca lo he utilizado así que no estoy muy enterado del tema, se que es algo de mensajería instatanea o algo asú usando voz ¿correcto?. Te recomendaría que pases por su página y revises el funcionamiento o los requerimientos, así sabrás si es necesario que tengas el netmeeting. Si no es necesario, definitivamente deberías desactivarlo.

Felicidad

Hola otra vez

El caso es que notengoel Netmeeting instalado, lo he mirado en agregar y quitar programas y no está; también lo he buscado ensu carpeta, lo he ejecutado y ni siquiera está configurado, claro.
He entrado en java y he desactivado las actualizaciones, el caso es que estava configurdo para actualizar una vez al mes.
Entonces a ver si yo me he enterado bien: entro en modo seguro, desactivo restaurar sis., corro el hijackthis y marco:

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

Le doy a fix, cierro y reinicio, y después lo corro otra vez a ver qué dice.

Y luego compruevo a ver qué pasa y os cuento.

Por favor confirmame estos pasos, o si borro alguno más

Saludos

Perdonar las faltas estaba pensando en otra cosa

Hola de nuevo
Pues no consigo nada.
He fix el registro de xscan53 y he borrado el archivo que ha aparecido en temp de internet, no lo había visto y lo he mirado varias veces con esto de las pruebas.

He desinstalado Bitdefender y he instalado NOD32, lo he actualizado y me ha encontrado un troyano (win32/Rbot.BQYTroyano) en windows\system32\tftp920. En stos archivos es donde me metieron más de 11 Backdoors nada más instalar win y el adsl, antes de poderlo actualizar y teniendo el Bitdef.

He corrido el hijackthis y me dice esto:

Logfile of HijackThis v1.99.0
Scan saved at 19:43:55, on 18/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Seguridad\Antiespias\HijackThis\HijackThi s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Seguridad\Antiespias\Microsoft-antiespia\gcasServ.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NOSHARES.BAT
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105726204864
O17 - HKLM\System\CCS\Services\Tcpip\..\{86016BDF-DAD2-41BA-B5FA-E28F80340013}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{86016BDF-DAD2-41BA-B5FA-E28F80340013}: NameServer = 80.58.0.33,80.58.32.97
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Servicio SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Pero me siguen entrando datos, y saliendo, aún teniendo el servidor de seguridad de win activado.


Voy a borrar algunas cosas más y os sigo contando:

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

Hola

No tienes virus ni spywares, solo marca esta:

R3 - Default URLSearchHook is missing

Sobre tu problema, pues podrias desactivar los servicios que no necesitas desde
Inicio >> Ejecutar >> Escribes "msconfig" (sin comillas) y en la pestaña de servicios e inicio desactivas lo que no necesites (ojo enla de servicios marca la casilla que dices "ocultar todos los servicios de microsoft")

Saludos

Hola

Hola sobre el netmeeting, no lo encontrarás en agregar y quitar programas si no en la subsección de «agregar o quitar componentes de windows», es un botón a la izquierda de la ventana de «agregar o quitar programas».

Sobre los backdoors, también hay que tener cuidado e interpretar lo que dicen los antivirus calmadamente dado que ciertas herramientas usan legítimamente estas técnicas. Así que un buen antivirus debe poder detectar si el backdoor es un elemento lícito del programa.

Por ejemplo, muchas de los programas o herramientas que permiten administración remota hacen saltar alertas en los antivirus por ese motivo.

Lo relativo a lo que vas a borrar, lo solucionas en las herramientas administrativas > administración de equipos > servicios. Allí coloca esos servicios en «deshabilitado» y revisa si el equipo va bien, si no hay problemas, déjalos deshabilitados, si te da algún problema, los cambias a manual.

Felicidad

Hola
He hecho lo que me habeis sugerido, la cosa ha seguido igual, en nicio no tengo nada raro, he desactivado messenger, realOne y steganos que no sé porque estaban en inicio si están desinstalados (Real no, sólo estaba bloqueada la conexión, o eso pensaba yo).

Total que he instalado un cortafuegos, el Outpost, configurado, reiniciado y demás, y nada más encender sale en mensaje:

Generic Host for win32 servicios ha sido modificado.

Me da la opción de bloquear el tráfico de esta aplicación y lo bloqueo.
Inmediatamente después, o es un mensaje que está debajo me dice:

Su sistema está intentando comunicarse usando protocolo IGMP


Lo bloqueo también y después me pongo a mirar las conexiones y demás, y contínuamente está "svchsot.exe" (que es el Generic Host for...), "netbios" y "system" intentando comunicar con diferentes IPs y puertos.

He mirado svchost.exe y es una aplicación de Microsoft que está en system32 y no tiene ningún virus; tampoco está en inicio. Pero, como cice el outpost, debe haber sido modificada y permite ataques como me dice el cortafuegos.
¿Sabeis qué lo puede haber modificado y hacerla tan agresiva?

Netbios es un archivo del sistema y está en win\servipack files\i386 y en system32\drivers

system está en muchos sitios y es muy genérico para saber dónde está el archivo que se quiere comunicar.

Lo tengo todo bloqueado y todo parece funcionar bien, pero aún así el contador del cortafuegos marca tráfico, será porque no está bien configurado o que incluso antes de cargarse del todo y empezar a bloquear ya registra tráfico.
Ya he visto que en el logo de HijackThis no sale nada referente a svchost.exe.
¿Sabeis si puedo hacer algo más que bloquear estas comunicaciones?

Muchas gracias por buestro interés.
Salud