Ralentizamiento de internet y del PC (cerrado)

[SOLO_YO]

Hola:



Anteriormente tuve un problema con un troyano, parece ser que lo he eliminado. Lo que me ocurre ahora es que la conexion de internet me va muy muy lenta, casi nula. Ademas le doy a ctrl+alt+supr y el uso de la CPU esta casi al 100%. Creo que es por virus. Alquien me puede ayudar?

[maura63]

Sigue estos pasos



tutorial anti-spyware



https://foros.zonavirus.com/viewtopic.php?t=5148



Saludos

maura63

[msc hotline sat]

Y además. por si se tratara de un virus como teme, complementelo con el que se indica en:



https://foros.zonavirus.com/viewtopic.php?t=5369



saludos



ms, 15-03-2005

[SOLO_YO]

Hola de nuevo



He hecho lo leido en el tutorial y sigo con el mismo problema. El Ad-aware y el Spyboot cada vez que los lanzo, me hallan cantidad de cosas, le doy a eliminarlas y de nuevo me vuelve a pasar lo mismo. El hijackthis no se utimlizarlo del todo, ya que no se que entradas he de borrar. Que puedo hacer?



Gracias y saludos

[maura63]

Debes pasar los programas en modo seguro y desactiva la restauracion del sistema.



Del hijackthis solo haces el scan y nos copias el fichero txt que crea como respuesta a este tema.



Ya te indicaremos que has de eliminar.



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.





Saludos

maura63

[msc hotline sat]

Si los antispyware los ha utilizado habiendo arrancado en modo seguro y deshabilitado la restaitacion de sistema, los bichos que detecten deben ser eliminados



Diganos si lo ha hehco así, y si no hagalo, y luego reinicie, pase estas utilidades y si le sale algun bicho, diganos cual.



Si hiciera falta ya le pediríamos que nos enviara el log del HJT, pero antes debe eliminar lo que ya detecta normalmente



saludos



ms, 17-03-2005

[SOLO_YO]

Si, lo he hecho de la forma que me dijeron. Lo unico es que no se muy bien lo de desactivar restaurar el sistema. Tengo windows 2000, y en algun sitio de este foro he leido que en este windows no es necesario desactivar. De todos modos aki hos pongo el Log del HJT:





Logfile of HijackThis v1.99.1

Scan saved at 12:25:52, on 20/03/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unavarra.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O1 - Hosts: ©¬½¹￾ÿÿÿùÿþÃÿ¼ÿÅÿ£ÿ¨ÿ¶ÿ±ÿ±ÿ«ÿ£ÿŒÿ†ÿŒÿ‹ÿšÿ’ÿÌÿÍÿ£ÿ›ÿ￾ÿ–ÿ‰ÿšÿ￾ÿŒÿ£ÿšÿ‹ÿœÿÿÿýóÿ—ÿ￾ÿŒÿ‹ÿŒÿÿÿüçÿ¨–‘±«ß´š￾‘š“²￾›šß»￾–‰š￾ÿûûÿßÿÿÿúûÿþÿÿÿùûÿj½Â½òõÎÍÈÑÏÑÏÑÎöˆˆˆÑŒ†’ž‘‹šœÑœ￾’òõÎÍÈÑÏÑÏÑÎöŒšœŠ￾–‹†￾šŒ￾￾‘ŒšÑŒ†’ž‘‹šœÑœ￾’òõÎÍÈÑÏÑÏÑÎöŒ†’ž‘‹šœÑœ￾’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑŒ￾￾—￾ŒÑœ￾’òõÎÍÈÑÏÑÏÑÎöŒ￾￾—￾ŒÑœ￾’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ’œž™ššÑœ￾’òõÎÍÈÑÏÑÏÑÎö’œž™ššÑœ￾’òõÎÍÈÑÏÑÏÑÎö“–‰šŠ￾›ž‹šÑŒ†’ž‘‹šœ“–‰šŠ￾›ž‹šÑœ￾’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ‰–￾ŠŒ“–Œ‹Ñœ￾’òõÎÍÈÑÏÑÏÑÎö‰–￾ŠŒ“–Œ‹Ñœ￾’òõÎÍÈÑÏÑÏÑÎö‰–￾ŠŒ“–Œ‹Ñœ￾’òõÎÍÈÑÏÑÏÑÎö™ÒŒšœŠ￾šÑœ￾’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ™ÒŒšœŠ￾šÑœ￾’òõÎÍÈÑÏÑÏÑÎö”žŒ￾š￾Œ”†Ñœ￾’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑž‰￾Ñœ￾’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ”žŒ￾š￾Œ”†Ñœ￾’òõÎÍÈÑÏÑÏÑÎöž‰￾Ñœ￾’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ‘š‹ˆ￾￾”žŒŒ￾œ–ž‹šŒÑœ￾’òõÎÍÈÑÏÑÏÑÎö‘š‹ˆ￾￾”žŒŒ￾œ–ž‹šŒÑœ￾’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑœžÑœ￾’òõÎÍÈÑÏÑÏÑÎöœžÑœ￾’òõÎÍÈÑÏÑÏÑÎö’žŒ‹Ñ’œž™ššÑœ￾’òõÎÍÈÑÏÑÏÑÎö’†Òš‹￾ŠŒ‹Ñœ￾’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ’†Òš‹￾ŠŒ‹Ñœ￾’òõÎÍÈÑÏÑÏÑÎö›￾ˆ‘“￾ž›Ñ’œž™ššÑœ￾’òõÎÍÈÑÏÑÏÑÎö›–Œ￾ž‹œ—Ñ’œž™ššÑœ￾’òõÎÍÈÑÏÑÏÑÎöŒšœŠ￾šÑ‘ž–Ñœ￾’òõÎÍÈÑÏÑÏÑÎö‘ž–Ñœ￾’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ‘ž–Ñœ￾’òõÎÍÈÑÏÑÏÑÎöŠ￾›ž‹šÑŒ†’ž‘‹šœÑœ￾’òõÎÍÈÑÏÑÏÑÎöŠ￾›ž‹šŒÑŒ†’ž‘‹šœÑœ￾’òõÎÍÈÑÏÑÏÑÎöŠŒÑ’œž™ššÑœ￾’òõÎÍÈÑ

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zSPGuard] c:\archivos de programa\pjw\spguard\spguard.exe /s

O4 - HKLM\..\Run: [stone] stone.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [ebgr] C:\WINNT\ebgr.exe

O4 - HKLM\..\Run: [WXcmeinst] C:\WINNT\SYSTEM32\icotepup.exe

O4 - HKLM\..\Run: [amacu] azilipu.exe

O4 - HKLM\..\Run: [ATAPl] ATAPl.EXE

O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM\..\Run: [System Firewall] sysfirewall.exe

O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\RunServices: [stone] stone.exe

O4 - HKLM\..\RunServices: [amacu] azilipu.exe

O4 - HKLM\..\RunServices: [ATAPl] ATAPl.EXE

O4 - HKLM\..\RunServices: [System Firewall] sysfirewall.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [SpyKiller] C:\Archivos de programa\SpyKiller\spykiller.exe /startup

O4 - HKCU\..\Run: [BestPopUpKiller] C:\Archivos de programa\BestPopUpKiller\BestPopupKiller.exe /startup

O4 - HKCU\..\Run: [amacu] azilipu.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstFred.ocx

O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcDcToday.ocx

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebSWK.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstBanr.ocx

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcPreview.ocx

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{865A064B-978C-441D-B21F-A82F19DFEDAF}: Domain = unavarra.es

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe" -service (file missing)

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe

[caito]

En w2000 no existe Restaurar Sistema.

Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/

Reinicia en Modo seguro (o modo a prueba de fallos )

Termina estos procesos(ctrl+alt+del):

stone.exe

MediaAccK.exe

ebgr.exe

icotepup.exe

azilipu.exe

ATAPl.EXE

AdTools.exe

sysfirewall.exe

msbb.exe

optimize.exe

spykiller.exe

BestPopupKiller.exe



Cierra todas las aplicaciones (esto incluye Internet tambien ¡!!!)

Lanza el Hijack

Scan y luego Fix a estas:

R3 - Default URLSearchHook is missing

O1 - Hosts: ©½¹�ÿÿÿùÿþÃÿ¼ÿÅÿ£ÿ¨ÿÿ±ÿ±ÿ«ÿ£ÿŒÿ†ÿŒÿ‹ÿšÿ’ÿÌÿÍÿ£ÿ›ÿ�ÿ–ÿ‰ÿšÿ�ÿŒÿ£ÿšÿ‹ÿœÿÿÿýóÿ—ÿ�ÿŒÿ‹ÿŒÿÿÿüçÿ¨–‘±«ß´š�‘š“²�›šß»�–‰š�ÿûûÿßÿÿÿúûÿþÿÿÿùûÿj½Â½òõÎÍÈÑÏÑÏÑÎöˆˆˆÑŒ†’ž‘‹šœÑœ�’òõÎÍÈÑÏÑÏÑÎöŒšœŠ�–‹†�šŒ��‘ŒšÑŒ†’ž‘‹šœÑœ�’òõÎÍÈÑÏÑÏÑÎöŒ†’ž‘‹šœÑœ�’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑŒ��—�ŒÑœ�’òõÎÍÈÑÏÑÏÑÎöŒ��—�ŒÑœ�’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ’œž™ššÑœ�’òõÎÍÈÑÏÑÏÑÎö’œž™ššÑœ�’òõÎÍÈÑÏÑÏÑÎö“–‰šŠ�›ž‹šÑŒ†’ž‘‹šœ“–‰šŠ�›ž‹šÑœ�’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ‰–�ŠŒ“–Œ‹Ñœ�’òõÎÍÈÑÏÑÏÑÎö‰–�ŠŒ“–Œ‹Ñœ�’òõÎÍÈÑÏÑÏÑÎö‰–�ŠŒ“–Œ‹Ñœ�’òõÎÍÈÑÏÑÏÑÎö™ÒŒšœŠ�šÑœ�’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ™ÒŒšœŠ�šÑœ�’òõÎÍÈÑÏÑÏÑÎö”žŒ�š�Œ”†Ñœ�’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑž‰�Ñœ�’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ”žŒ�š�Œ”†Ñœ�’òõÎÍÈÑÏÑÏÑÎöž‰�Ñœ�’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ‘š‹ˆ��”žŒŒ�œ–ž‹šŒÑœ�’òõÎÍÈÑÏÑÏÑÎö‘š‹ˆ��”žŒŒ�œ–ž‹šŒÑœ�’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑœžÑœ�’òõÎÍÈÑÏÑÏÑÎöœžÑœ�’òõÎÍÈÑÏÑÏÑÎö’žŒ‹Ñ’œž™ššÑœ�’òõÎÍÈÑÏÑÏÑÎö’†Òš‹�ŠŒ‹Ñœ�’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ’†Òš‹�ŠŒ‹Ñœ�’òõÎÍÈÑÏÑÏÑÎö›�ˆ‘“�ž›Ñ’œž™ššÑœ�’òõÎÍÈÑÏÑÏÑÎö›–Œ�ž‹œ—Ñ’œž™ššÑœ�’òõÎÍÈÑÏÑÏÑÎöŒšœŠ�šÑ‘ž–Ñœ�’òõÎÍÈÑÏÑÏÑÎö‘ž–Ñœ�’òõÎÍÈÑÏÑÏÑÎöˆˆˆÑ‘ž–Ñœ�’òõÎÍÈÑÏÑÏÑÎöŠ�›ž‹šÑŒ†’ž‘‹šœÑœ�’òõÎÍÈÑÏÑÏÑÎöŠ�›ž‹šŒÑŒ†’ž‘‹šœÑœ�’òõÎÍÈÑÏÑÏÑÎöŠŒÑ’œž™ššÑœ�’òõÎÍÈÑ

O4 - HKLM\..\Run: [stone] stone.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [ebgr] C:\WINNT\ebgr.exe>solo si no sabes a qué se refiere

O4 - HKLM\..\Run: [WXcmeinst] C:\WINNT\SYSTEM32\icotepup.exe>solo si no sabes a qué se refiere

O4 - HKLM\..\Run: [amacu] azilipu.exe>solo si no sabes a qué se refiere

O4 - HKLM\..\Run: [ATAPl] ATAPl.EXE>solo si no sabes a qué se refiere

O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM\..\Run: [System Firewall] sysfirewall.exe

O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\RunServices: [stone] stone.exe

O4 - HKLM\..\RunServices: [amacu] azilipu.exe>solo si no sabes a qué se refiere

O4 - HKLM\..\Run: [ATAPl] ATAPl.EXE>solo si no sabes a qué se refiere

O4 - HKLM\..\RunServices: [System Firewall] sysfirewall.exe

O4 - HKCU\..\Run: [SpyKiller] C:\Archivos de programa\SpyKiller\spykiller.exe /startup

O4 - HKCU\..\Run: [BestPopUpKiller] C:\Archivos de programa\BestPopUpKiller\BestPopupKiller.exe /startup

O4 - HKCU\..\Run: [amacu] azilipu.exe>solo si no sabes a qué se refiere

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab

O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB

Cierra el Hijack

Lánzalo otra vez:

busca donde dice"Config"-luego "Misc Tools"-busca "Open Process Manager "

busca esta linea :

O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe" -service

y la marcas en :

Kill Process button to stop the process

Cierra el Hijack This.

Lo abres otra vez :

Scan y luego fix a esta :



O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe" -service (file missing)

Cierra el Hijack.







Asegúrate que se vean todos los archivos:



Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.

Busca estas carpetas y elimínalas:

C:\Program Files\Media Access\...

C:\Program Files\AdTools Service

C:\Program Files\Internet Optimizer\

C:\Archivos de programa\SpyKiller

C:\Archivos de programa\BestPopUpKiller

Busca estos archivos y los eliminas: ( algunos no estarán ya )



stone.exe

C:\Program Files\Media Access\MediaAccK.exe

C:\WINNT\ebgr.exe

C:\WINNT\SYSTEM32\icotepup.exe

azilipu.exe

ATAPl.EXE

C:\Program Files\AdTools Service\AdTools.exe

sysfirewall.exe

c:\temp\msbb.exe

C:\Program Files\Internet Optimizer\optimize.exe"

C:\Archivos de programa\SpyKiller\spykiller.exe /startup

C:\Archivos de programa\BestPopUpKiller\BestPopupKiller.exe /startup

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 16/03/05

Reinicia normal y pega un nuevo log

Salu2

Caito

[SOLO_YO]

Hola Caito, lo primero gracias por tu dedicacion. Hecho todo lo indicado, este es el nuevo log:



Logfile of HijackThis v1.99.1

Scan saved at 0:17:08, on 21/03/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\DRIVERS\CDANTSRV.EXE

C:\OfficeScan NT\ntrtscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\OfficeScan NT\tmlisten.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\svchost.exe

C:\OfficeScan NT\ofcdog.exe

C:\WINNT\system32\atiptaxx.exe

C:\WINNT\system32\carpserv.exe

C:\OfficeScan NT\pccntmon.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unavarra.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zSPGuard] c:\archivos de programa\pjw\spguard\spguard.exe /s

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstFred.ocx

O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcDcToday.ocx

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebSWK.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstBanr.ocx

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcPreview.ocx

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{865A064B-978C-441D-B21F-A82F19DFEDAF}: Domain = unavarra.es

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe" -service (file missing)

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe







Un solo matiz, cuando me indicas:



[b]Lánzalo otra vez:

busca donde dice"Config"-luego "Misc Tools"-busca "Open Process Manager "

busca esta linea :

O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe" -service

y la marcas en :

Kill Process button to stop the process

Cierra el Hijack This.

Lo abres otra vez :

Scan y luego fix a esta :



O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe" -service (file missing)

Cierra el Hijack. [/b]



No he encontrado dicha cosa.



Saludos y gracias de nuevo

[caito]

Reinicia en Modo seguro

Ve a Inicio-Ejecutar-escribe : services.msc

OK

ahora fijate si ves la entrada que nos da problemas para eliminar

(O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe")

si la encuentras dale doble click y luego stopped y disabled

ahora ya la puedes eliminar con el hijack( eso creo )...

Por lo demás yo lo veo limpio, el asunto es como funciona todo y eso lo sabes vos.

Salu2

Caito

[msc hotline sat]

Se mueve este Tema al apartado del HiJackThis, para que siga allí en analisis del log.



saludos



ms, 21-03-2005

[SOLO_YO]

Hola de nuevo:



Tras un tiempo, he vuelto a notar mermada mi conexion a internet: lo que me ocurre ahora es que se desconecta y conecta la conexion con mucha frecuencia. Habiendo pasadao el adaware y spyboot, asi como antivirus online, este es el log del Hijackthis:





Logfile of HijackThis v1.99.1

Scan saved at 18:35:19, on 30/03/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\DRIVERS\CDANTSRV.EXE

C:\OfficeScan NT\ntrtscan.exe

C:\WINNT\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\OfficeScan NT\tmlisten.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\OfficeScan NT\ofcdog.exe

C:\WINNT\system32\atiptaxx.exe

C:\WINNT\system32\carpserv.exe

C:\OfficeScan NT\pccntmon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINNT\system32\pohapereq.exe

C:\WINNT\system32\internat.exe

C:\WINNT\system32\pohapereq.exe

C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unavarra.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zSPGuard] c:\archivos de programa\pjw\spguard\spguard.exe /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [eEjerik] pohapereq.exe

O4 - HKLM\..\RunServices: [eEjerik] pohapereq.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [eEjerik] pohapereq.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstFred.ocx

O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcDcToday.ocx

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebSWK.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstBanr.ocx

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcPreview.ocx

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{865A064B-978C-441D-B21F-A82F19DFEDAF}: Domain = unavarra.es

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe" -service (file missing)

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe





Gracias y saludos

[maura63]

Ojo a esto



[color=red]C:\WINNT\svchost.exe[/color]



Innecesaria esta otra



O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe" -service (file missing)



Saludos

maura63

[maura63]

Informacion de C:\WINNT\svchost.exe



http://es.mcafee.com/virusInfo/default.asp?id=description&virus_k=101070





Saludos

maura63

[msc hotline sat]

A primera vista aparece un SVCHOST ejecutado desde:

.

C:\WINNT\svchost.exe



y con maxima probabiloidad se trata de un virus.



Recuerde que antes de pedir analisis de un log de HJT, se deben haber seguido las instrucciones de los tutoriales, y haber eliminado los viru y spywares detectados.



Revise este punto:



https://foros.zonavirus.com/viewtopic.php?t=5148



y tras ello postee en nuevo TEMAt habiendo seguido las normas.



Esta Tema se CIERRA para no mezclar problemas





saludos



ms, 30-03-2005