-
ivanovic77
- Mensajes: 26
- Registrado: 06 Sep 2006, 23:13
Mensaje
por ivanovic77 » 18 Sep 2006, 12:09
Ayer me precipité dando por solucionado el problema. Sigo teniendo la conexión lenta y el módem sigue transmitiendo datos hacia un lugar misterioso. He llamado al servicio técnico de Telefonica ADSL y me han dicho que no lo entienden. Desde el control técnico constatan que mi módem transmite y recibe datos, pero yo no tengo ningún programa P2P y el log del HijackThis está limpio. Me han preguntado si la conexión es Wireless (por si hay algún vecino robando), pero mi conexión es por cable USB con módem USB de serie. Me dijistéis ayer aquí que tenía el log del HijackThis limpio. ¿No habrá alguna clave del registro innecesaria? ¿Podría ver con un sniffer hacia dónde se están transmitiendo datos? Adjunto aquí el log otra vez:
Logfile of HijackThis v1.99.1
Scan saved at 12:09:56, on 18/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\sistray.EXE
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\AntiVirus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{66F6F410-86DB-40FF-B7B1-32A1F878DDC2}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
-
ivanovic77
- Mensajes: 26
- Registrado: 06 Sep 2006, 23:13
Mensaje
por ivanovic77 » 18 Sep 2006, 12:12
De momento, voy a probar desinstalando al antivirus AVG Free.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 18 Sep 2006, 13:16
Tu log está limpio.
Desde una ventana al DOS entra:
NETSTAT /A
y verás comunicaciones que tienes abiertas
SALUDOS
ms, 18-9-2006
-
ivanovic77
- Mensajes: 26
- Registrado: 06 Sep 2006, 23:13
Mensaje
por ivanovic77 » 18 Sep 2006, 14:43
Después de desinstalar el antivirus AVG Free y el reproductor QuickTime (por probar), sigue existiendo el problema. Log del HijackThis (obsérvese el proceso [b]wuauclt.exe[/b]):
Logfile of HijackThis v1.99.1
Scan saved at 14:33:29, on 18/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\sistray.EXE
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\AntiVirus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{66F6F410-86DB-40FF-B7B1-32A1F878DDC2}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
He leído en algunas páginas web que el proceso wuauclt.exe no es propio de Windows XP. ¿Qué pasaría si lo eliminase con KillBox?
-
ivanovic77
- Mensajes: 26
- Registrado: 06 Sep 2006, 23:13
Mensaje
por ivanovic77 » 18 Sep 2006, 14:57
Pego la lista de conexiones activas que aparece en la pantalla de MS-DOS después de teclear netstat /a:
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP mygemgem826:epmap mygemgem826:0 LISTENING
TCP mygemgem826:microsoft-ds mygemgem826:0 LISTENING
TCP mygemgem826:netbios-ssn mygemgem826:0 LISTENING
TCP mygemgem826:1025 mygemgem826:0 LISTENING
UDP mygemgem826:microsoft-ds *:*
UDP mygemgem826:isakmp *:*
UDP mygemgem826:1038 *:*
UDP mygemgem826:1068 *:*
UDP mygemgem826:1069 *:*
UDP mygemgem826:1070 *:*
UDP mygemgem826:1071 *:*
UDP mygemgem826:1072 *:*
UDP mygemgem826:1073 *:*
UDP mygemgem826:1074 *:*
UDP mygemgem826:1075 *:*
UDP mygemgem826:1076 *:*
UDP mygemgem826:4500 *:*
UDP mygemgem826:ntp *:*
UDP mygemgem826:netbios-ns *:*
UDP mygemgem826:netbios-dgm *:*
UDP mygemgem826:1900 *:*
UDP mygemgem826:ntp *:*
UDP mygemgem826:1388 *:*
UDP mygemgem826:1900 *:*
¿Se ve algo extraño en ella?
-
ivanovic77
- Mensajes: 26
- Registrado: 06 Sep 2006, 23:13
Mensaje
por ivanovic77 » 18 Sep 2006, 15:14
Conexiones activas y conexiones entrantes en espera después de teclear el comando [b]NETSTAT -NA[/b].
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 88.6.191.127:139 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1038 *:*
UDP 0.0.0.0:1068 *:*
UDP 0.0.0.0:1069 *:*
UDP 0.0.0.0:1070 *:*
UDP 0.0.0.0:1071 *:*
UDP 0.0.0.0:1072 *:*
UDP 0.0.0.0:1073 *:*
UDP 0.0.0.0:1074 *:*
UDP 0.0.0.0:1075 *:*
UDP 0.0.0.0:1076 *:*
UDP 0.0.0.0:4500 *:*
UDP 88.6.191.127:123 *:*
UDP 88.6.191.127:137 *:*
UDP 88.6.191.127:138 *:*
UDP 88.6.191.127:1900 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1388 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:4026 *:*
He leído en algún sitio que los puertos 137 y 138 son vulnerables. ¿Es posible que alguien esté usando mi conexión como un proxy? Aunque sería muy raro porque la IP es dinámica y la cambio siempre que quiero.
-
ivanovic77
- Mensajes: 26
- Registrado: 06 Sep 2006, 23:13
Mensaje
por ivanovic77 » 18 Sep 2006, 16:05
Problema solucionado. Parece ser que el fallo estaba en las actualizaciones automáticas de Windows XP. Hace unos días, después de reinstalar Windows y el Service Pack 2, quedaron pendientes muchas actualizaciones automáticas. Hace un rato, he visto (por casualidad) el icono de las actualizaciones de Windows en la barra de tareas del escritorio. He hecho click sobre él y he iniciado la descarga de actualizaciones pendientes. Justo cuando se han comenzado a descargar, el módem ha recuperado su comportamiento normal y ha dejado de transmitir datos. Ahora se navega perfectamente y a la velocidad de siempre. Supongo que Windows bloqueaba el módem por peticiones erróneas al centro de descargas de Microsoft, o vete a saber. En fin; uno de los múltiples errores de Windows. Gracias :)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 18 Sep 2006, 16:08
De los 4 Listening que tiene, tres son del NetBios u una del Servicio Servidor, propio de su conexion por modem USB y quizas algyn periferico como impresora compartida ???
El port 1025 no está asignado y puede utilizarlo cualquier cosa, desde un aplicacion normal hasta un backdoor...
Para su seguridad le aconsejop el uso de un cortafuegos, a ser posible por hardware.
Y si no está en red y es monopuesto, cierre el NetBios que es una puerta de entrada de virus, ya que no le hace falta pubnlicar nada ni compartir con nadie.
y recuerde: https://foros.zonavirus.com/viewtopic.php?f=5&t=10771
saludos
ms, 18-09-2006
-
ivanovic77
- Mensajes: 26
- Registrado: 06 Sep 2006, 23:13
Mensaje
por ivanovic77 » 20 Sep 2006, 00:14
Nada. Sigo con el problema. He reinstalado nuevamente el Windows XP y el Service Pack 2. He probado desactivando el Firewall de Windows y las actualizaciones automáticas: tampoco. El módem sigue transmitiendo datos, ralentizando la conexión. Llevo un rato escribiendo el comando [b]netstat /a[/b] y aparece una conexión extraña:
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP mygemgem826:epmap mygemgem826:0 LISTENING
TCP mygemgem826:microsoft-ds mygemgem826:0 LISTENING
TCP mygemgem826:epmap 20.Red-88-6-207.staticIP.rima-tde.net:1705 ESTA
BLISHED
TCP mygemgem826:netbios-ssn mygemgem826:0 LISTENING
TCP mygemgem826:1025 mygemgem826:0 LISTENING
TCP mygemgem826:10110 mygemgem826:0 LISTENING
UDP mygemgem826:microsoft-ds *:*
UDP mygemgem826:isakmp *:*
UDP mygemgem826:1036 *:*
UDP mygemgem826:1062 *:*
UDP mygemgem826:1109 *:*
UDP mygemgem826:1110 *:*
UDP mygemgem826:1111 *:*
UDP mygemgem826:1112 *:*
UDP mygemgem826:1113 *:*
UDP mygemgem826:1114 *:*
UDP mygemgem826:1115 *:*
UDP mygemgem826:1116 *:*
UDP mygemgem826:4500 *:*
UDP mygemgem826:ntp *:*
UDP mygemgem826:netbios-ns *:*
UDP mygemgem826:netbios-dgm *:*
UDP mygemgem826:1900 *:*
UDP mygemgem826:ntp *:*
UDP mygemgem826:1463 *:*
UDP mygemgem826:1900 *:*
¿[b] TCP mygemgem826:epmap 20.Red-88-6-207.staticIP.rima-tde.net:1705 ESTA
BLISHED[/b] ???
-
ivanovic77
- Mensajes: 26
- Registrado: 06 Sep 2006, 23:13
Mensaje
por ivanovic77 » 20 Sep 2006, 00:40
Bueno, voy a dejarlo por hoy. Mañana instalaré el firewall Outpost. Ya os contaré si me soluciona el problema.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 20 Sep 2006, 10:05
Pues confiando que lo indicado el el Tema del link de NAVEGA PROTEGIDO le sea de utilidad, damos por solucionado este Tema y procedemos
a cerrarlo
saludos
ms, 20-9-2006
msc hotline sat Virus Research Engineer