ARCHIVOS QUE OCUPAN MI ANCHO DE BANDA

[bestebat]

Hola a todos,



tengo un problema al navegar por internet. Los síntomas son que al intentar acceder a una web se atasca y se queda aprox. 12 seg. sin reaccionar hasta que la carga. Me dice mi proveedor de internet que tengo archivos que están ocupando el ancho de banda y por eso éste se reduce y me ralentiza la carga de las webs.



He pasado el Spy bot y aunque me detectó muchos archivos espía, sigue con los mismos síntomas. Qué puedo hacer? Algún antivirus que sea efectivo, si es freeware mejor.



Muchas gracias por la ayuda.



Saludos

[msc hotline sat]

Pruebe el ELISTARA y segun lo que veamos le pediremos el informe del SPROCES, para investigar, pero recuerde que el ancho de banda tambien se lo puede ocupar algun vecino espabilado, si tiene el router con wireless no protegido, o que la comunicacion depende de los dos lados, y va tan lento como sea de malo cualquiera de los dos, importa tambien la web con la que se comunica...



De momento:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 10-7-2009

[bestebat]

Hola,



tal y como me habéis aconsejado, os adjunto el informe del Elistara.

Los síntomas del equipo son los mismos que antes de pasarle este programa.



Además del Elistara, he pasado el Sprocess, cuyo log os adjunto.



Espero vuestras impresiones.

Saludos y gracias



Atte.

[julibaga]

No será el BitTorrent que te esté causando eso??

[msc hotline sat]

Puede, pero ademas tienes este muy sospechoso:



C:\WINDOWS\System32\Isass.exe



Añadele extension .VIR y envianoslo para analizar



Lo añadiremos en la proxima version de nuestras utilidades, pero de momento con lo indicado, lo habras aparcado y no se pondrá en uso a partir del siguiente reinicio





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos







Aparte este otro tampoco pintaba bien, pero parece que ya no está en uso...



O23 - Service: MS NET Service - Unknown owner - C:\WINDOWS\wiadss.exe (file missing)



Mira si lo encuentras, quizas tiene atributos de oculto, prueba con el ELIMOVER...



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp







Y marcar de paso la casilla inferior izquierda de la ventana de dicha utilidad, para que al fichero original le sea añadida la extension .VIR y asi no pueda lanzarse a partir del siguiente reinicio.



SALUDOS



MS, 11-7-2009

[msc hotline sat]

Vaya con la L y la I ...



Nos has enviado el que no es, y tambien has añadido .VIR en fichero equivocado.



Es verdad que es muy fácil confundirse...



Te indiqué:


[quote="msc"]Puede, pero ademas tienes este muy sospechoso:



C:\WINDOWS\System32\Isass.exe



Añadele extension .VIR y envianoslo para analizar[/quote]



yo lo hice con un copiar y pegar del texto, y la primera letra del Isass es una I, (i mayuscula), no una ele (l) como empieza el lsass que nos has enviado. (Has enviado el lsass.VIR.exe)



[b][i]O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe[/i][/b]



Ojo que este es del sistema, y debes volver a dejarlo como estaba, sin el .VIR, y enviarnos el que empieza por I, (en minusculas "i", quizas lo veras mejor así: isass)



Es una picaresca que usan para confundir, y lo logran !



Esperamos el fichero isass.exe.vir (el .vir se lo añadirás tu, claro)



saludos



ms, 13-7-2009







NOTA: Es posible que esté oculto, y no lo veas. Prueba el ELIMOVER y ponle esta ruta y fichero, con un copiar y pegar:



C:\WINDOWS\System32\Isass.exe



DESCARGA DE ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



y marca la casilla inferior izquierda, asi será renombrará el fichero restante a .VIR, aunque no lo veas si está oculto y luego envianos el que te habrá copiado a c:\muestras\. ms.

[bestebat]

Vaya, ahora el problema es que no encuentro la carpeta "windows"

Ha desaparecido, dónde podría estar? He buscado y no la encuentro.



Os adjunto cómo se muestra C cuando abro esa unidad, ni rastro de Windows



Saludos

[msc hotline sat]

Mira de ir a Inicio -> Ejecutar -> CMD.EXE



y desde alli escribe DIR C:\WINDOWS\*.* /A /S



Dinos si asi accedes a los ficheros y carpetas que cuelgan de alli, y veremos si es que algo te ha puesto atributos de oculto a esta carpeta o si es que realmente se ha eliminado la carpeta, lo cual sería muy raro ya que si asi fuera no podría funcionar windows...



Esperamos tus noticias



saludos



ms, 14-7-2009

[msc hotline sat]

Independientemente, con el ELIMOVER mira de localizar dicho fichero, entrando ruta y nombre, como te decía en posts anteriores, y si la encuentra y la copia a c:\muestras, nos la envias para analizar, que igual todo es mas de lo mismo.



saludos



ms, 14-7-2009

[bestebat]

He hecho lo que me comentas y este es el resultado:



Aparecen multitud de archivos en un directorio muy largo cuando pongo el comando que me has comentado.. DIR....

En cuanto al Elimover me dice que no existe ninguno de los archivos que me has puesto en posts anteriores.



SAludos

[msc hotline sat]

Entonces tranquilo que existir el C:\windows, existe !



De igual manera, desde DOS, ejecuta ATTRIB C:\windows





y te responderá los atributos que tiene dicho directorio.





Nos lo dices y procederemos en consecuencia



Y mira luego si en C:\muestras no hay ningun fichero, no sea que elñ ISASS.EXE ya lo hubieras copiado en una sesion anterior, y si lo hay, envianoslo para analizar



saludos



ms, 14-7-2009

[bestebat]

He ejecutado lo que me has comentado y este es el resultado.



En cuanto a lo de c:\ muestras, cómo puedo comprobar eso?



gracias

[msc hotline sat]

Exacto, esta H que está en la misma linea de C:\windows , indica que tiene atributo H, por tanto que está oculto.



Haz lo mismo que antes, pero añadiendo despues de ATTRIB un -H , donde el signo - delante de la H indica que anule dicho atributo:



ATTRIB -H C:\windows



Tras ello espero que ya veas desde entorno gráfico la carpeta en cuestion.



saludos



ms, 14-7-2009

[bestebat]

Ya ha vuelto a aparecer la carpeta de Windows con el comando que me has dado.



En cuanto a la búsqueda del archivo en cuestión, ni rastrom el Elimover no lo encuentra.



He visto que el sistema debe haber hecho una copia del archivo que renombré anteriormente:

C:\WINDOWS\System32\lsass.exe y ahora tengo el original y el que yo renombré equivocadamente.



Supongo que tendré que borrar éste no?



Por lo demás, no se porqué las páginas cargan mucho mejor que al comienzo de esta historia.

[msc hotline sat]

Bueno, en parte nos alegramos de que se haya normalizado todo, a pesar de que nos hemos quedado sin la muestra y consecuente control del malware en cuestion.



Si te apareciera en cualquier parte, en algun empaquetado, en algun pendrive, etc, nos lo envias y tras analizarlo lo controlaríamos



Si ahora ya no lo tienes, igual algun antivirus o utilidad lo eliminó, pero no restauró los efectos que causó, si es él quien hizo lo del atributo de la carpeta de windows y demás... lo cual hemos restablecido y esperamos que siga asi mucho tiempo :) , y sino ya sabes donde estamos



Dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 15-7-2009