me estan robando ancho de banda!!! (SOLUCIONADO)

andresbin · Mensaje por **andresbin** » 05 May 2007, 04:14

hola a todos..mi conexion a internet despues del mediodia bajaba considerablemente su rapidez..llame a mi servidor q es Arnet en Argentina y despues de unas pruebas me dijeron que tenia virus trojanos o algun espia robandome ancho de banda por eso la conexion tan lenta...los antivirus y antiespias no detectaron nada..recien ahora puse un firewall...les pido ayuda..tengo algo malo en la pc??? les dejo mi log...saludos y gracias..Andres

Logfile of HijackThis v1.99.1

Scan saved at 22:17:11, on 04/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\WINDOWS\system32\ZoneLabs\UpdClient.exe

C:\Archivos de programa\Internet Download Manager\IDMan.exe

C:\Archivos de programa\Internet Download Manager\IEMonitor.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: Download All Links with IDM - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://andresbin.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141236738916

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5B46D437-E064-4BB6-B063-BF9765C8628B}: NameServer = 200.45.191.35 200.45.191.40

O17 - HKLM\System\CS1\Services\Tcpip\..\{5B46D437-E064-4BB6-B063-BF9765C8628B}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Mensaje por **msc hotline sat** » 05 May 2007, 09:01

Su log está limpio, pero pruebe el ELISTARA, pues el registro es mucho mayor que lo que muestra dicho log !:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Ahora bien, eso de que por la tarde tenga menos ancho de banda... no es por los troyanos que pudiera tener, estos comen mañana tarde y noche :lol: !

Su ADSL puede ir mas cargada al compartirla con otros usuarios del mismo ISP, y no siempre va a tener todo el ancho de banda nominal, sino que le garantizan un mínimo del 10 % de dicho valor...

Y ademas, si usara wireless, o aun no usandola por el simple hecho de que tuviera un router o un switch con wireless, algun vecino podria chupar de su linea, y lo que es peor, salir con su IP a internet...

Asi que aparte de lo arriba indicado, diganos si usa o tiene algun emisor de wireless, y si no lo usa, desactivelo !

saludos

ms, 5-5-2007

andresbin · Mensaje por **andresbin** » 07 May 2007, 15:19

buenas..les comento q hice lo que me dijeron pero no encontro nada el elistartage pero si la otra herramienta q baje de el sitio elitriip o algo asi...les dejo los resultados..aunque el problema persiste...que mas puedo hacer??? saludos y gracias por la ayuda...Andres

Fri May 04 23:00:05 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri May 04 23:00:08 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\SiSport.sys --> Eliminado, RootKit

C:\Archivos de programa\mobile PhoneTools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{9E07166B-E2DF-4464-81B7-756F711CCB41}\RP9\A0002363.sys --> Eliminado, RootKit

C:\System Volume Information\_restore{9E07166B-E2DF-4464-81B7-756F711CCB41}\RP9\A0002365.inf --> Eliminado, BackDoor.CMQ (inf)

Fri May 04 23:29:14 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri May 04 23:29:15 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri May 04 23:48:44 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri May 04 23:48:45 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat May 05 21:07:16 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sat May 05 21:07:17 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon May 07 09:20:01 2007

EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 07 09:20:06 2007

EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 07 May 2007, 15:46

Bueno, habia causa... C:\WINDOWS\SiSport.sys --> Eliminado, RootKit

Tras reiniciar, diganos si persiste el problema, auqneu debe considerar que por la tarde puede ir mas cargada su ADSL por haber mas usuarios que usen la misma IP, al tenerla dinamica...

saludos

ms, 7-05-2007

Mensaje por **msc hotline sat** » 07 May 2007, 15:52

Bueno, tambien dependerá desde donde salga a Internet, pues para conectarse a esta pagina lo ha hecho desde 7 sitios diferentes, aunque use el mismo ISP, pero cuenta el nudo desde donde se conecta, que puede estar mas saturado que otro...

Por correo privado le remito IP's y ubicacion (latitud y longitud) de los nudos que ha utilizado en dichas conexiones

saludos

ms, 7-5-2007

andresbin · Mensaje por **andresbin** » 07 May 2007, 18:07

muchas gracias...una cosa no entendi..como es eso de que mas usuarios esten usando mi IP? como evito eso??? aa y me olvidaba perdon la ignorancia pero no entendi esta frase..."lo ha hecho desde 7 sitios diferentes, aunque use el mismo ISP, pero cuenta el nudo desde donde se conecta, que puede estar mas saturado que otro"...se puede evitar todo eso que me dice y tener una conexion normal???...gracias por la ayuda..saludos

Mensaje por **msc hotline sat** » 07 May 2007, 18:14

Sí, la primera pregunta es relativa a que si tiene wireless y no la protege con MacAdress, un vecino se la puede captar y salir o navegar con ella, utilizando su IP, como si Vd va a casa del vecino, mientras tenga cobertura, claro.

Y la segunda pregunta, si ha visto el privado que le he enviado, vera las IP usadas y las diferentes latitudes desde donde ha accedido al nudo de Internet, y ello normalmente es por entrar desde diferente ubicacion geografica, a no ser que en su pais, sin moverse, a veces le hagan acceder desde un nudo y otras desde otro, lo cual explicaria el cambio de ancho de banda, pues los usuarios de cada nudo pueden ser diferentes e igualmente el ancho de banda .

saludos

ms, 7-05-2007

andresbin · Mensaje por **andresbin** » 07 May 2007, 19:20

ok muchas gracias por la ayuda..te cuento que cambie de antivirus..ahora instale el Avast y en el primer escaneo detecto 3 virus que ya elimine y uno era la herramienta elistarpage (infectado por win32:small-cpr(trj)) que descargue de su sitio..se los conmento por las dudas no sabian q estaba infectado...de nuevo gracias por la ayuda y la informacion..probare esta tarde si la conexion vuelve a estar lenta y posteo los resultados..saludos andres..

Mensaje por **msc hotline sat** » 07 May 2007, 19:30

Ni caso de lo que te diga AVAST con el ELISTARA. Es una falso positivo que ya se ha comentado muchas veces en este foro

Si usa Avast, desactive el antivirus para bajar las versiones de ELISTARA y para probarlo

Algun dia los de Avast lo arreglaran, pero...

saludos

ms, 7-05-2007

andresbin · Mensaje por **andresbin** » 07 May 2007, 20:11

jaja ok perdon no lo sabia...les dejo saludos

Mensaje por **msc hotline sat** » 07 May 2007, 20:24

Pues a ver si usas el buscador del foro !!!

https://foros.zonavirus.com/avast-detecta-virus-en-elistara26012007exe-upx-vt15965.html?highlight=avast+elistara

https://foros.zonavirus.com/w32-small-en-elistara-solucionado-vt15650.html?highlight=avast+elistara

https://foros.zonavirus.com/antivirus-me-alerta-de-elistara-y-otras-rarezassolucionado-vt14808.html?highlight=avast+elistara

https://foros.zonavirus.com/que-pasa-con-la-nueva-version-de-elistara-solucionado-vt10800.html?highlight=avast+elistara

https://foros.zonavirus.com/problemas-con-elistaraexe-y-avast-home-solucionado-vt10904.html?highlight=avast+elistara

y sino, ya sabes:

[img]http://img476.imageshack.us/img476/4186/firmaforos2ab0sa.jpg[/img]

:lol:

y dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 7-05-2007