mi ordenador me hizó reiniciar 6 veces (log)

[gpeer3hq]

A quien corresponda:



Llevo alrededor de 2 semanas tratando de identificar el problema en cuestión. Hoy si que fue desesperante tener que reiniciar entre 6 y 7 veces.



La gravedad del asunto no es haber perdido una conversación del MSN, sino que esto me genera conflictos. El otro día tuve que entregar un trabajo incompleto en la escuela, cometí el error de no haberlo guardado antes, posteriormente el sistema se quedo bloqueado y tuve que resetear, no queriendo hacerlo, pero era la única cosa que tenía de momento si quería ganarle tiempo al tiempo.



les dejo los resultados si alguien encuentra algo extraño al ejecutarse windows, les agradezco por tomarse la molestia de leerse hasta aquí, agradecería más si me puedieran ayudar en esto: Gracias nuevamente.



De manera breve les cuento que tengo un software que me permite saber todo lo que se esta ejecutando en segundo plano y de manera oculta y esto fue lo que me encontre y que no me ha sido posible encontrar el origen del sitio por google o yahoo en español.



LISTA:



AXWIN Frame Window

CompanionIEThreadWindow

Conections Tray

CSC Notifications Window

DDE Server window

gcasServ

HIDDEN WINDOW

Layared hidden window

MCI comman handling window

MM Notify Callback

MS WebcheckMonitor

NET WINDOW

NetDDE Agent

Peer listen Window

PermissionDlg

PGPtray_Hidden_Window

Product ID

Program Manager

SysFader

SYSTEM AGENT COM WINDOW

Tea Timer

Timer

ViolationDLG

Y!TrayWnd



-------------------------------------------------------------

sospecho del: internat.exe ¿ustedes que opinan?

-------------------------------------------------------------

Logfile of HijackThis v1.98.2

Scan saved at 06:52:09 p.m., on 25/05/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\PGPserv.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\WINNT\Mixer.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\system32\internat.exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe

C:\Archivos de programa\PGP Corporation\PGP Desktop\PGPtray.exe

C:\Documents and Settings\gpeer3hq1\Menú Inicio\Programas\Inicio\cookie.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\GPEER3~1\CONFIG~1\Temp\Rar$EX00.524\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mx.rd.yahoo.com/slv/ycheck/as/*http://www.yahoo.com/search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/slv/ycheck/as/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.mx/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mx.rd.yahoo.com/slv/ycheck/as/*http://www.yahoo.com/search/ie.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/slv/ycheck/as/*http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.mx/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mx.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mx.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=152.1.64.7:80;gopher=152.1.64.7:80;http=152.1.64.7:80;https=152.1.64.7:80;socks=152.1.64.7:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Archivos de programa\iMesh\iMesh5\iMeshBHO.dll

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Bugnosis - {3A6514CD-A457-11D4-8AF3-000102686B79} - C:\Archivos de programa\Bugnosis\WebBug.dll

O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - c:\archivos de programa\imeshbar\bar\2.bin\imeshbar.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\googletoolbar.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\googletoolbar.dll

O3 - Toolbar: Bugnosis - {930E4DE1-973D-42D6-BF6E-6788E06BD003} - C:\Archivos de programa\Bugnosis\WebBug.dll

O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - c:\archivos de programa\imeshbar\bar\2.bin\imeshbar.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: cookie.dat

O4 - Startup: cookie.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PGPtray.exe.lnk = C:\Archivos de programa\PGP Corporation\PGP Desktop\PGPtray.exe

O8 - Extra context menu item: &Google Search - res://C:\WINNT\GoogleToolbar.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINNT\GoogleToolbar.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\WINNT\GoogleToolbar.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINNT\GoogleToolbar.dll/cmbacklinks.html

O8 - Extra context menu item: Web&2Pic Pro - C:\Archivos de programa\Anloer\Web2Pic Pro\Dll\web2pic_url.htm

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Archivos de programa\AIM95\aim.exe

O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Archivos de programa\Hello\PicasaCapture.dll

O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Archivos de programa\Hello\PicasaCapture.dll

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O10 - Unknown file in Winsock LSP: c:\winnt\system32\pgplsp.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\pgplsp.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\pgplsp.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\pgplsp.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com.mx/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} -

O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} -

O16 - DPF: {E9348280-2D74-4933-BE25-73D946926795} (DeviceEnum Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpbasicdetection3.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab

O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

O20 - AppInit_DLLs: OCMAPIHK.DLL

[maura63]

Arranca en modo seguro y con hijackthis elimina estas entradas las marcas y pulsa FIX



C:\WINNT\system32\PGPserv.exe -

C:\Documents and Settings\gpeer3hq1\Menú Inicio\Programas\Inicio\cookie.exe -



O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Archivos de programa\iMesh\iMesh5\iMeshBHO.dll

O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - c:\archivos de programa\imeshbar\bar\2.bin\imeshbar.dll -

O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - c:\archivos de programa\imeshbar\bar\2.bin\imeshbar.dll -

O4 - Startup: cookie.dat -

O4 - Startup: cookie.exe -

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINNT\GoogleToolbar.dll/cmcache.html - Possibly

O8 - Extra context menu item: Páginas similares - res://C:\WINNT\GoogleToolbar.dll/cmsimilar.html - Possibly nasty

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINNT\GoogleToolbar.dll/cmbacklinks.html - Possibly nasty

O8 - Extra context menu item: Web2Pic Pro - C:\Archivos de programa\Anloer\Web2Pic Pro\Dll\web2pic_url.htm - Possibly nasty

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) - Possibly

O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Archivos de programa\Hello\PicasaCapture.dll

O9 - Extra 'Tools' menuitem: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Archivos de programa\Hello\PicasaCapture.dll -

O10 - Unknown file in Winsock LSP: c:\winnt\system32\pgplsp.dll -

O10 - Unknown file in Winsock LSP: c:\winnt\system32\pgplsp.dll -

O10 - Unknown file in Winsock LSP: c:\winnt\system32\pgplsp.dll -

O10 - Unknown file in Winsock LSP: c:\winnt\system32\pgplsp.dll -

O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab -

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - -

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} - -

O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} - -

O16 - DPF: {E9348280-2D74-4933-BE25-73D946926795} (DeviceEnum Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpbasicdetection3.cab -

O20 - AppInit_DLLs: OCMAPIHK.DLL -



Si borramos entradas 010 y luego tenemos probleas de conexion, baja LSPFIX



http://cexx.org/lspfix.htm



Manuel en castellano



http://www.arwinianos.net/biblioteca/articulo/3/5





Despues peganos un nuevo log pero descarga la version nueva de hijackthis



Nueva versión del Hijack This : 1.99.1

Bajar :

http://www.hijackthis.de/downloads/hijackthis_199.zip





Saludos

maura63

[msc hotline sat]

Sobre su inquietud inicial de la sospecha con el Internat.exe, efectivamente dicho nombre es usado por algunos virus para disfrazar su gusano, pero originalmente es de microsoft, relacionado con idioma de teclado, y se instala en la cerpeta de sistema, como Vd lo tiene.


[quote]
What is internat.exe? Is internat.exe spyware or a virus?

--------------------------------------------------------------------------------

Process name: loads the different input locales



Product: Windows



Company: Microsoft



File: internat.exe



Security Rating:

Internat.exe runs at startup; it loads the different input locales that are specified by the user. The locales to be loaded for the current user are taken from the following registry key:

HKEY_CURRENT_USER\Keyboard Layout\Preload

Internat.exe loads the "EN" icon into the system tray, allowing the user to easily switch between locales. This icon disappears when the process is stopped, but the locales can still be changed through Control Panel.

Note The locales for the "System" are loaded from here:

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload

These locales are used by system services that are running under the Local System account or when no user is logged on (for example, at the logon prompt).





Note: The internat.exe file is located in the c:\windows\System32 folder. In other cases, internat.exe is a virus, spyware, trojan or worm! [/quote]

Lo mas importante es que no se lo detecten el antivirus y antispywares actualizados, pues de haberlos hailos, y pueden crear uno que se copie en esta ruta tambien...



Si tiene dudas al respecto, puede enviarnos este Internat.exe a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y lo analizaríamos y le contestariamos con el resultado del analisis, como respuesta de este Tema



saludos



ms, 26-05-2005

[gpeer3hq]

Muchísimas gracias, no sabes cuanto te lo agradezco por responder a mi tema. Es la segunda vez en este año que me ayudas maura63.



Prometo ser más cuidadoso y proteger más mi pc de ahora en adelante. Recibe cordiales saludos de mi parte y a todas las personas que leyerón mi post.



Sin más por el momento me despido de la manera más formal que conozco y un abrazo muy fuerte a todos los de la comunidad.



Ciao!, besos tristes.

[gpeer3hq]

claro que no me olvide de msc hotline sat, gracias.

[msc hotline sat]

Ha sido un placer, y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 27-05-2005