Desde hace dos años vengo padeciendo la intrusión de alguna persona en mi ordenador, he cambiado varias veces de antivirus y firewalls ya que notaba que unas veces no funcionaban y otras se desactivaban. Me desparecen archivos que, posteriormente vuelven a aparecer (con lo cual los elimino directamente por no considerarlos fiables) me cambia páginas de mi web tanto en el HD como en el servidor de internet. Me corta la conexión cuando le apetece o me bloquea el equipo. Me deja de funcionar la grabadora, en fin... ya os imaginais.
He formateado la partición del sistema operativo y he cambiado de servidor de internet para tener una IP dinámica y a través de un router. Sé que solo soy la diversión de esa persona pero no consigo hacerle ver que me deje en paz y no sé como conseguir proteger o apantallar mi equipo y el de mis hijos para terminar con todo esto.
Creo que esta persona consigue entrarme el troyano utilizándo Linux ya que no acepto en mi ordenador ningún tipo de archivo ni de correo que antes no haya comprobado.
No sé: ¿podéis ayudarme en algo?
gracias
Intrusion en toda regla
si dinos que sistema operativos usas..para poder saber como ayudarte...si usas windows, aun que no lo mencionas si ya usas esta herramienta, bajate el spybot de esta pagina...descargas...spywares y de ahi el spybot la version 1.4, lo instala lo actualiza...despues pondra su computadora en modo seguro y ahi lo correra, tambiene s pertinente actualizar su antivirus y correrlo de ese modo....no se le olvide borrar su archivos temporales tanto de la Pc como del internet, tambien va a hacer lo siguiente, habre una pagina en IE y despues ira al menu herramientas...de ahi opciones de internet....de ahi configuracion...de ahi a ver objetos y eliminar todo los archivos que haya ahi, tambien se regresa a configuracion y tambien entra a ver archivos y elimina todo lo que haya ahi....estos son los pasos basicos...no se le olvide anotar el nombre del archivo si es que no se puede eliminar de esa manera sabremos como ayudarle....tambien bajate el programa Elitriip y elistara...
http://www.zonavirus.com/descargas/elitriip.asp
http://www.zonavirus.com/descargas/elistara.asp
http://www.zonavirus.com/descargas/spybot-sd.asp
nos dices como te fue....
nos dices como te fue....
La vida es hermosa....para que complicarnosla -
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Lo definitivo para evitar intrusiones es instalar un cortafuegos por hardware, que ni virus ni troyanos te puedan desactivar, a diferencia de los de software, que si bien no pueden evitar lo indicado, si no hat mas remedio, son una alternativa menor.
Por supuesto que lo indicado por Flacoroo es correcto, para limpiar bichos, pero ello no te impide las "visitas" de tu "amigo"
Si te conectas a Internet a través de ADSL con router, es muy facil (desenchufar el cable que llega al router y enchifarlo al alphashield, y el que sale de éste, enchifarlo al router) y rapido (1 minuto):
http://satinfo.es/welcome-alphashield.html
La privacidad e intimidad la tienes entonces garantizada.
Otra cosa son los spywares recogidos en la navehacion por Internet, para lo que hay los corrspondientes antispywares
saludos
ms, 30-06-2005
Por supuesto que lo indicado por Flacoroo es correcto, para limpiar bichos, pero ello no te impide las "visitas" de tu "amigo"
Si te conectas a Internet a través de ADSL con router, es muy facil (desenchufar el cable que llega al router y enchifarlo al alphashield, y el que sale de éste, enchifarlo al router) y rapido (1 minuto):
La privacidad e intimidad la tienes entonces garantizada.
Otra cosa son los spywares recogidos en la navehacion por Internet, para lo que hay los corrspondientes antispywares
saludos
ms, 30-06-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
mensaje enviado EMMANU ......
[color=red]Perdona que me tome la libertad de enviarte este privado, pero como tú bien dices si no tienes toda la informacion poco puedes ayudar; estos son algunos de los datos:
Tres ordenadores en red con SO WinXP Pro (en el mio y en otra particion tengo 2003 Server pero no arranca desde hace medio año), Zone Alarm de firewall y Avast de antivirus en el mio y en el de mi hijo y Norton internet security 2003 en el portatil de mi hija (dos veces al mes paso Bitdefender y Panda on line), Adaware6 y adwacht3 en todos. Tengo desactivadas las actualizaciones automaticas (desde hace dos dias no puedo acceder a windowsUpdate por un error 0x8024402C) pero siempre tengo el antivirus actualizado y las ultimas actualizaciones críticas instaladas. Cada dos o tres meses cambio de antivirus (Kaspersky, Mcafee, Noston y Avast) ya que me informaron que una herramienta (que se emplea para no detectar al servidor del troyano) mata el proceso motor de los antivirus.
Otro ataque de esta persona ha sido... como explicarlo, bueno, un amigo en Chile abrió un foro en PHP que iba a ser común para tres páginas web de nuestro pueblo (Belmez - Córdoba - España); pues bien cuando ya lo teníamos listo el foro no abría y quedaba trabada internet excepto para nuestro compañero de Chile; a la gente que entraba le abría una o dos veces y luego nada, quedaba trabado.
Lo que más temo y me hace plantearme vender los ordenadores y no aparecer más por internet es que me han asegurado que esa persona puede emplear mi ordenador para hacer daño en otros ordenadores y así seria mi máquina la responsable ante la ley de los ataques que él haga.
He tenido que rehacer toda mi web dejandola más sencilla y si ningún script porque ya no me fio. Tambien la he cambiado de servidor porque esta persona tenia acceso al servidor anterior y me quitaba fotografias y cambiaba el sentido de lo escrito.
Ahora desconectaré de la red y pasaré los programas en modo seguro y ya le daré los resultados en el foro. Si necesita alguna informacion que crea puede ser relevante pidamela por pivado, Gracias.......[/color]
Tres ordenadores en red con SO WinXP Pro (en el mio y en otra particion tengo 2003 Server pero no arranca desde hace medio año), Zone Alarm de firewall y Avast de antivirus en el mio y en el de mi hijo y Norton internet security 2003 en el portatil de mi hija (dos veces al mes paso Bitdefender y Panda on line), Adaware6 y adwacht3 en todos. Tengo desactivadas las actualizaciones automaticas (desde hace dos dias no puedo acceder a windowsUpdate por un error 0x8024402C) pero siempre tengo el antivirus actualizado y las ultimas actualizaciones críticas instaladas. Cada dos o tres meses cambio de antivirus (Kaspersky, Mcafee, Noston y Avast) ya que me informaron que una herramienta (que se emplea para no detectar al servidor del troyano) mata el proceso motor de los antivirus.
Otro ataque de esta persona ha sido... como explicarlo, bueno, un amigo en Chile abrió un foro en PHP que iba a ser común para tres páginas web de nuestro pueblo (Belmez - Córdoba - España); pues bien cuando ya lo teníamos listo el foro no abría y quedaba trabada internet excepto para nuestro compañero de Chile; a la gente que entraba le abría una o dos veces y luego nada, quedaba trabado.
Lo que más temo y me hace plantearme vender los ordenadores y no aparecer más por internet es que me han asegurado que esa persona puede emplear mi ordenador para hacer daño en otros ordenadores y así seria mi máquina la responsable ante la ley de los ataques que él haga.
He tenido que rehacer toda mi web dejandola más sencilla y si ningún script porque ya no me fio. Tambien la he cambiado de servidor porque esta persona tenia acceso al servidor anterior y me quitaba fotografias y cambiaba el sentido de lo escrito.
Ahora desconectaré de la red y pasaré los programas en modo seguro y ya le daré los resultados en el foro. Si necesita alguna informacion que crea puede ser relevante pidamela por pivado, Gracias.......
La vida es hermosa....para que complicarnosla flacoroo espero no haberte molestado por lo del privado, si lo he echo ha sido por no dejar todos los datos a la vista (aunque creo que pocos seran los que no conozca el intruso).
He pasado los programas en modo seguro (excepto en uno que el ElistarA se queda bloqueado y no funciona) y el antivirus me ha detectado un troyano en ams491.dat -> Win32:Trojano-1503 en el ordenador donde no funciona ElistarA; y Win32:Kuang2 y Win32:NGUCK-E ambos en dos programas de Panda antivirus (sin instalar).
Ah, y una carpeta que deniega el acceso a ElitriIP C/Windows/System32/?-?????????? tambien en el ordenador que fala ElistarA.
En cuanto a la recomendación que me hace msc hotline sat estoy totalmente de acuerdo, mi amigo entra usando Linux y coloca lo que quiere donde quiere, pero tengo una duda ¿el alphashield se conecta entre ordenador y router? es que si es así son tres ordenadores los que tengo en inhalambrico y tendría que llenar la casa de cables.
He pasado los programas en modo seguro (excepto en uno que el ElistarA se queda bloqueado y no funciona) y el antivirus me ha detectado un troyano en ams491.dat -> Win32:Trojano-1503 en el ordenador donde no funciona ElistarA; y Win32:Kuang2 y Win32:NGUCK-E ambos en dos programas de Panda antivirus (sin instalar).
Ah, y una carpeta que deniega el acceso a ElitriIP C/Windows/System32/?-?????????? tambien en el ordenador que fala ElistarA.
En cuanto a la recomendación que me hace msc hotline sat estoy totalmente de acuerdo, mi amigo entra usando Linux y coloca lo que quiere donde quiere, pero tengo una duda ¿el alphashield se conecta entre ordenador y router? es que si es así son tres ordenadores los que tengo en inhalambrico y tendría que llenar la casa de cables.
como te dijo Msc :[color=green]Si te conectas a Internet a través de ADSL con router, es muy facil (desenchufar el cable que llega al router y enchifarlo al alphashield, y el que sale de éste, enchifarlo al router) y rapido (1 minuto): [/color] ..asi de facil....ademas te dejare un link de un programa que bajaras y despues nos daras el resultado....te dejo el link.....
esto hazlo en modo normal.....para que se carguen todo lo que tienes....ya veras que te ayudaremos y tambien si puedes sacar uno igual al servidor que tienes...solo ponlo por separado ....en otro post.....
http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp
y aqui mismo pegas el resultado....y lo analizaremos....
esto hazlo en modo normal.....para que se carguen todo lo que tienes....ya veras que te ayudaremos y tambien si puedes sacar uno igual al servidor que tienes...solo ponlo por separado ....en otro post.....
y aqui mismo pegas el resultado....y lo analizaremos....
La vida es hermosa....para que complicarnosla Perdonad la tardanza pero el trabajo no me ha dejado tiempo disponible.
Me he dado cuenta que el ElistarA se bloquea en el portatil cuando le digo que borre los temporales de internet, si no lo hago funciona bien (de todas formas los he borrado, aunque me dice que contiene carpetas y archivos).
Os subo el log de mi ordenador, esta tarde intentaré subir el de los otros dos.
Logfile of HijackThis v1.99.0
Scan saved at 7:14:11, on 04/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Archivos de programa\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\WINDOWS\system32\devldr32.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Máximo\Escritorio\Nueva carpeta\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Archivos de programa\EFI\PrintMeToolbar\htpmcap.dll
O3 - Toolbar: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Archivos de programa\EFI\PrintMeToolbar\htpmcap.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - Global Startup: RaConfig2500.lnk = C:\Archivos de programa\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Archivos de programa\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: Apache - Unknown - C:\AppServ\Apache\Apache.exe (file missing)
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MySQL - Unknown - C:\AppServ\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Este ordenador a la hora de estar conectado se queda sin conexion a internet y no puede renovar la IP (DHCP), teniendo que reiniciar para poder seguir en internet.
Me he dado cuenta que el ElistarA se bloquea en el portatil cuando le digo que borre los temporales de internet, si no lo hago funciona bien (de todas formas los he borrado, aunque me dice que contiene carpetas y archivos).
Os subo el log de mi ordenador, esta tarde intentaré subir el de los otros dos.
Logfile of HijackThis v1.99.0
Scan saved at 7:14:11, on 04/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Archivos de programa\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\WINDOWS\system32\devldr32.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Máximo\Escritorio\Nueva carpeta\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Archivos de programa\EFI\PrintMeToolbar\htpmcap.dll
O3 - Toolbar: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Archivos de programa\EFI\PrintMeToolbar\htpmcap.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - Global Startup: RaConfig2500.lnk = C:\Archivos de programa\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Archivos de programa\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: Apache - Unknown - C:\AppServ\Apache\Apache.exe (file missing)
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MySQL - Unknown - C:\AppServ\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Este ordenador a la hora de estar conectado se queda sin conexion a internet y no puede renovar la IP (DHCP), teniendo que reiniciar para poder seguir en internet.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Actualizar a la actual version de HJT: http://www.hijackthis.de/downloads/hijackthis_199.zip
marcar estas claves y eliminar con FIX:
O23 - Service: Apache - Unknown - C:\AppServ\Apache\Apache.exe (file missing)
O23 - Service: MySQL - Unknown - C:\AppServ\mysql\bin\mysqld-nt.exe (file missing)
Analizar las siguientes y eliminar solo si no se han instalado voluntariamente y no se conocen:
C:\Archivos de programa\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O2 - BHO: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Archivos de programa\EFI\PrintMeToolbar\htpmcap.dll
O3 - Toolbar: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Archivos de programa\EFI\PrintMeToolbar\htpmcap.dll
O4 - Global Startup: RaConfig2500.lnk = C:\Archivos de programa\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
Y sobre la desconexion de internet al cabo de un tiempo, mira lo indicado en estos Temas:
https://foros.zonavirus.com/viewtopic.php?t=6576&highlight=isp
saludos
ms, 4-07-2005
marcar estas claves y eliminar con FIX:
O23 - Service: Apache - Unknown - C:\AppServ\Apache\Apache.exe (file missing)
O23 - Service: MySQL - Unknown - C:\AppServ\mysql\bin\mysqld-nt.exe (file missing)
Analizar las siguientes y eliminar solo si no se han instalado voluntariamente y no se conocen:
C:\Archivos de programa\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O2 - BHO: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Archivos de programa\EFI\PrintMeToolbar\htpmcap.dll
O3 - Toolbar: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Archivos de programa\EFI\PrintMeToolbar\htpmcap.dll
O4 - Global Startup: RaConfig2500.lnk = C:\Archivos de programa\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
Y sobre la desconexion de internet al cabo de un tiempo, mira lo indicado en estos Temas:
saludos
ms, 4-07-2005
Última edición por msc hotline sat el 05 Jul 2005, 05:31, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Efectivamente se renueva la concesión de internet cada hora la pega es que empleando el comando que comentas en MsDos me dice que DHCP no esta activado en la tarjeta de red y sin embargo está activada en el protocolo tcp-ip y en la instalacion de la tarjeta de red.
Bueno poco a poco, os subo el log del portatil:
Logfile of HijackThis v1.99.0
Scan saved at 22:38:09, on 04/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\snmp.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\ARCHIV~1\LAUNCH~1\QtaET2S.EXE
C:\Archivos de programa\Apoint2K\Apoint.exe
D:\Archivos de programa\RF Wireless Device\cm20.exe
C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
D:\Archivos de programa\RF Wireless Device\Magnifier.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\lolo\Escritorio\guardian\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Archivos de programa\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\Archivos de programa\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] D:\Archivos de programa\RF Wireless Device\cm20.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - D:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\ARCHIV~1\DAP\DAP.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\windows\servicepackfiles\i386\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\windows\servicepackfiles\i386\msmsgs.exe
O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .PDF: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: PDEngine - Unknown - D:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler - Unknown - D:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Servicio SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Bueno poco a poco, os subo el log del portatil:
Logfile of HijackThis v1.99.0
Scan saved at 22:38:09, on 04/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\snmp.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\ARCHIV~1\LAUNCH~1\QtaET2S.EXE
C:\Archivos de programa\Apoint2K\Apoint.exe
D:\Archivos de programa\RF Wireless Device\cm20.exe
C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
D:\Archivos de programa\RF Wireless Device\Magnifier.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\lolo\Escritorio\guardian\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Archivos de programa\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\Archivos de programa\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] D:\Archivos de programa\RF Wireless Device\cm20.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - D:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\ARCHIV~1\DAP\DAP.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\windows\servicepackfiles\i386\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\windows\servicepackfiles\i386\msmsgs.exe
O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .PDF: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: PDEngine - Unknown - D:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler - Unknown - D:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Servicio SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Actualice su version del HJT:
http://www.hijackthis.de/downloads/hijackthis_199.zip
Luego marque estas claves y eliminelas con FIX:
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Archivos de programa\DAP\DAPBHO.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\ARCHIV~1\DAP\DAP.EXE
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
Y por ultimo vea si conoce esta aplicacion en uso y las siguientes claves, para obrar en consecuencia:
C:\ARCHIV~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\QtaET2S.EXE
Tras ello, reinicie y vea si se han solucionado los problemas, e informenos al respecto, gracias
saludos
ms, 5-07-2005
Luego marque estas claves y eliminelas con FIX:
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Archivos de programa\DAP\DAPBHO.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\ARCHIV~1\DAP\DAP.EXE
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
Y por ultimo vea si conoce esta aplicacion en uso y las siguientes claves, para obrar en consecuencia:
C:\ARCHIV~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\QtaET2S.EXE
Tras ello, reinicie y vea si se han solucionado los problemas, e informenos al respecto, gracias
saludos
ms, 5-07-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online