Autor Tema: Continuo chorro de datos entrantes y salientes. [SOLUCIONADO] (Leído 10640 veces)

WillyN · « **en:** 16 de Diciembre de 2007, 06:08:18 pm »

Hola amigos,

Desde hace unas semanas noto como cuando no hay ninguna actividad y el trafico de datos por mi conexión debería de ser nulo siempre o casi siempre hay datos entrando y saliendo de mi equipo. No es mucho pero me extraña, es más, me cabrea. Entra bastante más de lo que sale.

No logro ni averiguar cual es el causante de ese trafico ni pararlo.

He hecho un scan completo con Mi Panda, con el Adaware Pro, con un programa gratis que escanea el equipo en busca de trojanos, he eliminado varios programas sospechos pero nada, ahí sigue el hilillo de datos...

Hace cuestion de un mes instalé el Bittorrent, me bajé una pelicula y si no me equivoco es desde entonces que estoy observando este fenómeno. El mismo día que me bajé esa peli desinstalé el programa y he eliminado todas las carpetas y archivos relacionados con el Bittorrent, a no ser que se ha quedado algo escondido por ahí.

¿Qué podría ser, y qué puedo hacer?

Un saludo.

Mr_X · « **Respuesta #1 en:** 16 de Diciembre de 2007, 06:30:26 pm »

Inicia en modo seguro y saca un log del HijackThis (clic aquí)...

Liamngls · « **Respuesta #2 en:** 16 de Diciembre de 2007, 06:49:24 pm »

La única forma de que no haya ningún tipo de tráfico es cerrar la conexión.

Si estás conectado, aunque no tengas el navegador abierto ni ningún programa que haga uso de la conexión siempre habrá un poco de tráfico entrante y saliente, creo que ese pequeño intercambio de datos lo realiza la misma línea para la comprobación de la misma.

De todas forma saca el log que te comenta Mr_X, que nunca se sabe.

WillyN · « **Respuesta #3 en:** 16 de Diciembre de 2007, 07:32:51 pm »

Podría ser como tu dice Liamngls,

Pero me parece excesivo lo que está pasando, no para de recibir y enviar datos.

Mi log, sacado en Modo Seguro:

Citar

Logfile of HijackThis v1.99.1
Scan saved at 19:33:27, on 16/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\wlly\CONFIG~1\Temp\Rar$EX14.594\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Archivos de programa\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINDOWS\AUTOLO~1\AL2DLL.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Spamihilator] "C:\Archivos de programa\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Herramienta de demostraciÃ³n de AdSense de Google - http://pagead2.googlesyndication.com/pagead/preview/es/preview.html
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Archivos de programa\Advanced JPEG Compressor\ajcieex.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Archivos de programa\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: sensapi32 - C:\WINDOWS\SYSTEM32\sensapi32.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
O23 - Service: UPSmart - Unknown owner - C:\Archivos de programa\UPSmart Server\UPServ.exe

Mr_X · « **Respuesta #4 en:** 16 de Diciembre de 2007, 08:09:33 pm »

Haz copia de seguridad del registro utilizando el ERUNT (clic aquí); deshabilita el 'Restaurar el sistema' (clic aquí) y saca un log del Autoruns (clic aquí)...
Baja y ejecuta iniciando en Modo seguro el SmitFraudFix (clic aquí)...
Después de ejecutarlo, abre el archivo C:\rapport.txt en el Bloc de notas, copia y pega el contenido en tu siguiente mensaje...

WillyN · « **Respuesta #5 en:** 16 de Diciembre de 2007, 09:44:29 pm »

Gracias por tu atención Mr_X,

Aquí está el log de Autoruns:

Citar

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ APVXDWIN   ApVxdWin   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\apvxdwin.exe
+ DiskeeperSystray   DKICON.EXE   (Not verified) Diskeeper Corporation   c:\archivos de programa\diskeeper corporation\diskeeper\dkicon.exe
+ LaunchApp   Acer Launch Tool Utility   (Not verified) Acer Inc.   c:\windows\alaunch.exe
+ Spamihilator   Spamihilator   (Not verified) Michel Krämer   c:\archivos de programa\spamihilator\spamihilator.exe
+ SunJavaUpdateSched   Java(TM) Platform SE binary   (Verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.6.0_03\bin\jusched.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
C:\Documents and Settings\wlly\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ swg   GoogleToolbarNotifier   (Verified) Google Inc   c:\archivos de programa\google\googletoolbarnotifier\googletoolbarnotifier.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
+ application/octet-stream   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll
+ application/x-complus   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll
+ application/x-msdownload   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll
HKLM\SOFTWARE\Classes\Protocols\Handler
+ ms-itss   Microsoft® InfoTech Storage System Library   (Not verified) Microsoft Corporation   c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0         File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
+ n/a   Microsoft .NET IE SECURITY REGISTRATION   (Not verified) Microsoft Corporation   c:\windows\system32\mscories.dll
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ fontcreatorext.dll   FontCreator Shell Extension   (Not verified) High-Logic   c:\archivos de programa\high-logic\fontcreator\fontcreatorext.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Advanced JPEG Compressor Context Menu Shell Extension         c:\archivos de programa\advanced jpeg compressor\contextmenuext.dll
+ CrimsonEditor.ShellExt         c:\archivos de programa\crimson editor\shellext.dll
+ Fusion Cache   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll
+ iTunes   iTunes Mini Player DLL   (Not verified) Apple Computer, Inc.   c:\archivos de programa\itunes\itunesminiplayer.dll
+ Panda Antivirus   ShellTit   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\shelltit.dll
+ Shell Extensions for RealOne Player   RealPlayer Shell Extensions   (Verified) RealNetworks, Inc.   c:\archivos de programa\real\realplayer\rpshell.dll
+ Shell Icon Handler for Application References   Application Deployment Support Library   (Not verified) Microsoft Corporation   c:\windows\system32\dfshim.dll
+ ShellLink for Application References   Application Deployment Support Library   (Not verified) Microsoft Corporation   c:\windows\system32\dfshim.dll
+ SmartFTP ContextMenu   SmartFTP Shell Tools   (Verified) SmartSoft Ltd   c:\archivos de programa\smartftp client\sfshelltools.dll
+ SmartFTP Copy Hook   SmartFTP Client CopyHook   (Verified) SmartSoft Ltd   c:\archivos de programa\smartftp client\smarthook.dll
+ SmartFTP Drop ShellIconOverlayHandler   SmartFTP Shell Tools   (Verified) SmartSoft Ltd   c:\archivos de programa\smartftp client\sfshelltools.dll
+ SmartFTP Favorites Namespace   SmartFTP Favorites Shell Extension   (Verified) SmartSoft Ltd   c:\archivos de programa\smartftp client\sffavoritesshellextension.dll
+ SmartFTP ShellDropHandler   SmartFTP Shell Tools   (Verified) SmartSoft Ltd   c:\archivos de programa\smartftp client\sfshelltools.dll
+ WinRAR shell extension         c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension   PDF Shell Extension   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Adobe PDF Reader Link Helper   Adobe Acrobat IE Helper Version 7.0 for ActiveX   (Verified) Adobe Systems, Incorporated   c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll
+ AL2Spy Class   AL2DLL Module   (Not verified) Fineart   c:\windows\autologin\al2dll.dll
+ Google Toolbar Helper   Barra Google para los clientes de Internet Explorer   (Verified) Google Inc   c:\archivos de programa\google\googletoolbar1.dll
+ Google Toolbar Notifier BHO   GoogleToolbarNotifier   (Verified) Google Inc   c:\archivos de programa\google\googletoolbarnotifier\2.0.301.7164\swg.dll
+ SSVHelper Class   Java(TM) Platform SE binary   (Verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.6.0_03\bin\ssv.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
+ googletoolbar1.dll   Barra Google para los clientes de Internet Explorer   (Verified) Google Inc   c:\archivos de programa\google\googletoolbar1.dll
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
HKLM\System\CurrentControlSet\Services
+ aawservice   Protects your computer from spyware   (Verified) Lavasoft AB   c:\archivos de programa\lavasoft\ad-aware 2007\aawservice.exe
+ Diskeeper   Controls the Windows Diskeeper Service   (Not verified) Diskeeper Corporation   c:\archivos de programa\diskeeper corporation\diskeeper\dkservice.exe
+ Panda Software Controller   Antimalware Manager   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\psctrls.exe
+ PAVFNSVR   Panda Function Service   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\pavfnsvr.exe
+ PavPrSrv   Panda Process Protection Service   (Verified) Panda Software International   c:\archivos de programa\archivos comunes\panda software\pavshld\pavprsrv.exe
+ PAVSRV   Enhanced On-Access Anti-Malware Service.   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\pavsrv51.exe
+ PSHost   Panda Host Service   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\pshost.exe
+ PSIMSVC   Panda Interface Manager Service   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\psimsvc.exe
+ TPSrv   TPSrv Application   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\tpsrv.exe
+ UPSmart   UPSmart Module      c:\archivos de programa\upsmart server\upserv.exe
HKLM\System\CurrentControlSet\Services
+ Ad-Watch Connect Filter   Driver for Ad-Watch network monitoring   (Not verified) Lavasoft AB   c:\windows\system32\drivers\nsdriver.sys
+ Ad-Watch Real-Time Scanner   Driver for Ad-Watch Real-Time Process protection   (Not verified) Lavasoft AB   c:\windows\system32\drivers\awrtpd.sys
+ Afc   Arcsoft(R) ASPI Shell   (Not verified) Arcsoft, Inc.   c:\windows\system32\drivers\afc.sys
+ AFS2K   Audio File System   (Not verified) Oak Technology Inc.   c:\windows\system32\drivers\afs2k.sys
+ ALCXWDM         File not found: system32\drivers\ALCXWDM.SYS
+ APPFLT   Panda APPFLT   (Verified) Panda Software International   c:\windows\system32\drivers\appflt.sys
+ Asushwio         c:\windows\system32\drivers\asushwio.sys
+ AvFlt         File not found: C:\WINDOWS\system32\drivers\av5flt.sys
+ Changer         File not found: C:\WINDOWS\System32\Drivers\Changer.sys
+ ComFiltr         File not found: C:\WINDOWS\system32\DRIVERS\COMFiltr.sys
+ cpoint   cPoint   (Not verified) Panda Software   c:\windows\system32\drivers\cpoint.sys
+ DSAFLT      (Verified) Panda Software International   c:\windows\system32\drivers\dsaflt.sys
+ FNETMON   Panda FNetMon   (Verified) Panda Software International   c:\windows\system32\drivers\fnetmon.sys
+ GEARAspiWDM   CDRom Class Filter Driver   (Verified) GEAR Software Inc.   c:\windows\system32\drivers\gearaspiwdm.sys
+ i2omgmt         File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
+ IDSFLT   Intrusion Detection System   (Verified) Panda Software International   c:\windows\system32\drivers\idsflt.sys
+ InCDPass         File not found: system32\drivers\InCDPass.sys
+ InCDRm         File not found: system32\drivers\InCDRm.sys
+ lbrtfdc         File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
+ MS1000         c:\windows\system32\drivers\ms1000.sys
+ NETFLTDI   Panda TDI Filter   (Verified) Panda Software International   c:\windows\system32\drivers\netfltdi.sys
+ NTIDrvr   NTI CD-ROM Filter Driver   (Not verified) NewTech Infosystems, Inc.   c:\windows\system32\drivers\ntidrvr.sys
+ PavProc   Panda Process Protection driver   (Verified) Panda Software International   c:\windows\system32\drivers\pavproc.sys
+ PavSRK.sys         File not found: C:\WINDOWS\system32\PavSRK.sys
+ PavTPK.sys         File not found: C:\WINDOWS\system32\PavTPK.sys
+ PCIDump         File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
+ PDCOMP         File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
+ PDFRAME         File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
+ PDRELI         File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
+ PDRFRAME         File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
+ ShldDrv   Panda File and Registry Protection driver   (Not verified) Panda Software International   c:\windows\system32\drivers\shldrv51.sys
+ SMSFLT      (Verified) Panda Software International   c:\windows\system32\drivers\smsflt.sys
+ UBHelper         File not found: C:\WINDOWS\System32\Drivers\UBHelper.sys
+ vulfnths   VIA USB Host Controller Lower Filter Driver   (Not verified) VIA Technologies, Inc.   c:\windows\system32\drivers\vulfnth.sys
+ vulfntrs   VIA USB Roothub Lower Filter Driver   (Not verified) VIA Technologies, Inc.   c:\windows\system32\drivers\vulfntr.sys
+ WDICA         File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
+ WNMFLT      (Verified) Panda Software International   c:\windows\system32\drivers\wnmflt.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ lsdelete         c:\windows\system32\lsdelete.exe
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ avldr   On-Access Antivirus Scanner Sync.   (Verified) Panda Software International   c:\windows\system32\avldr.dll
+ sensapi32   SENS Connectivity API DLL   (Not verified) Microsoft Corporation   c:\windows\system32\sensapi32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
+ PAV_LAYERED   Internet Resident Layered Service Provider   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\pavlsp.dll
+ PAV_LAYERED over [MSAFD Tcpip [RAW/IP]]   Internet Resident Layered Service Provider   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\pavlsp.dll
+ PAV_LAYERED over [MSAFD Tcpip [TCP/IP]]   Internet Resident Layered Service Provider   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\pavlsp.dll
+ PAV_LAYERED over [MSAFD Tcpip [UDP/IP]]   Internet Resident Layered Service Provider   (Verified) Panda Software International   c:\archivos de programa\panda software\panda antivirus + firewall 2007\pavlsp.dll
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ Microsoft Document Imaging Writer Monitor   Microsoft® Document Imaging   (Not verified) Microsoft Corporation   c:\windows\system32\mdimon.dll
+ OKI LPR Port   OKI LPR Port Monitor for WinNT4.0/2000/XP   (Not verified) Oki Data Corporation   c:\windows\system32\oklprmon.dll
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order

Y éste es el log de SmithFraudFix:

Citar

SmitFraudFix v2.269

Scan done at 21:51:13,60, 16/12/2007
Run from G:\Documentos Willy\Programas\Spyware\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.exe
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\UPSmart Server\UPServ.exe
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\Archivos de programa\UPSmart Server\UPSmart.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\Archivos de programa\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\wlly

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\wlly\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\wlly\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Archivos de programa

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Mi p gina de inicio actual"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS3\Services\Tcpip\..\{5973BF1C-23FA-40B0-A633-B3A3678AFE08}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Yo me mareo viendo tantos datos, espero que tu eres capaz de verlo todo con más claridaz.

Mr_X · « **Respuesta #6 en:** 16 de Diciembre de 2007, 10:26:55 pm »

Reinicia en Modo seguro, ejecuta el Autoruns, selecciona con el botón derecho la siguiente entrada y dale a 'Delete':

Código: [Seleccionar]

+ AL2Spy Class   AL2DLL Module   (Not verified) Fineart   c:\windows\autologin\al2dll.dll

Reinicia normal, actualiza el Panda y el Adaware y pásalos reiniciando en Modo seguro así como el SmitFraudFix... Nuevos logs...

WillyN · « **Respuesta #7 en:** 17 de Diciembre de 2007, 08:27:57 am »

Mi Panda y Adaware están actualizados, no creo que detectarán algo nuevo que no estaba la última vez que los pasé ayer. ¿Crees que en los logs que me pides va a haber alguna diferencia por haber eliminado esa entrada que tu indicas?

¿No existe algún programa con el cual puedo ver a donde van todos esos datos que me entran cuando no tengo ninguna aplicación abierta?

Mr_X · « **Respuesta #8 en:** 17 de Diciembre de 2007, 04:56:55 pm »

Cita de: WillyN en 17 de Diciembre de 2007, 08:27:57 am

Mi Panda y Adaware están actualizados, no creo que detectarán algo nuevo que no estaba la última vez que los pasé ayer. ¿Crees que en los logs que me pides va a haber alguna diferencia por haber eliminado esa entrada que tu indicas?

Sí, es posible que salga algo 'extra'...

Cita de: WillyN en 17 de Diciembre de 2007, 08:27:57 am

¿No existe algún programa con el cual puedo ver a donde van todos esos datos que me entran cuando no tengo ninguna aplicación abierta?

Desde una ventana del símbolo del sistema (botón Inicio-->Ejecutar-->CMD), escribe el comando:

Código: [Seleccionar]

netstat -an

O baja el TCPView...

WillyN · « **Respuesta #9 en:** 18 de Diciembre de 2007, 09:07:43 am »

Hola,

Por el momento he logrado parar ese hilillo de trafico.

Primero he pasado el Regseeker varias veces, en la primera me eliminó casi 1600 entradas. Pero, no paró el chorro.

Me bajé un parche de seguridad para el svchost.exe de la web de Windows, pero tampoco cambió...

Me bajé el TCPView y con esa utilidad podía ver que estaba continuamente conectando y desconectando a un montón de webs.

Vi que todos tenían como origen el svchost.exe. Fuí a la configuración de permisos de la Firewall de Panda y cambié los permisos de muchos procesos del sistema de windows a "ninguno", entre ellos estaba el svchost que tenía permisos entrantes y salientes. Desde entonces no tengo más trafico del raro.

No sé qué es lo que pasó ni si tengo algo raro todavía aunque me imagino que algo sigue ahí y tampoco sé si he hecho cambios que debería haber hecho.

Probaré el equipo durante unos días, os contaré...

Noticias:

Autor Tema: Continuo chorro de datos entrantes y salientes. [SOLUCIONADO] (Leído 10640 veces)

WillyN

Continuo chorro de datos entrantes y salientes. [SOLUCIONADO]

Mr_X

Re: Continuo chorro de datos entrantes y salientes.

Liamngls

Re: Continuo chorro de datos entrantes y salientes.

WillyN

Re: Continuo chorro de datos entrantes y salientes.

Mr_X

Re: Continuo chorro de datos entrantes y salientes.

WillyN

Re: Continuo chorro de datos entrantes y salientes.

Mr_X

Re: Continuo chorro de datos entrantes y salientes.

WillyN

Re: Continuo chorro de datos entrantes y salientes.

Mr_X

Re: Continuo chorro de datos entrantes y salientes.

WillyN

Re: Continuo chorro de datos entrantes y salientes.