Problema Complicado

Estado
Cerrado para nuevas respuestas

lostguy

Nuevo Miembro
Miembro
#1
Que tal,

espero puedan ayudarme porque tengo un problema tremendo aquí. Desde hace unos días tengo problemas con mi navegacion por internet.

Primero cuando trataba de acceder a algúnas paginas, en lugar de la pagina me salia un error de esos de Forbiden. Sin embargo no era una sino varias paginas con el mismo forbiden.

Al recibir estos forbiden trate de entrar a la pagina principal de estos forbiden y siempre me salia la pagina MED NETWORK en cualquiera de las paginas que me dieran el forbidden.

Despuésintente con un ativirus, el panda, pero por algúna razon no se me conecta para actualizarse.

Finalmente trate de utilizar la herramienta en linea de panda Active Scan perocuando le digo analizar PC me sale una peticion de usuario y contraseña... a pesar de que esta herramienta no pide eso y no puedo pasar el Active Scan.

Este es el log del hijackthis

Logfile of HijackThis v1.98.2

Scan saved at 04:31:29 p.m., on 04/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\SYSTEM32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\GEARSEC.EXE

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\RunDll32.exe

D:\Archivos de programa\iTunes\iTunesHelper.exe

D:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

D:\WINDOWS\system32\ctfmon.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

D:\Archivos de programa\Yahoo!\Messenger\ypager.exe

D:\WINDOWS\system32\svchost.exe

D:\Archivos de programa\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

D:\ARCHIV~1\ARCHIV~1\DATADY~1\ACTIVE~1\WEBCAC~1.EXE

D:\Archivos de programa\iPod\bin\iPodService.exe

D:\Archivos de programa\Mozilla Firefox\firefox.exe

F:\SOFTWARE\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.latinmail.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.latinmail.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Archivos de programa\GetRight\xx2gr.dll

O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [EasyPHP] "D:\Archivos de programa\EasyPHP1-7\easyphp.exe"

O4 - HKLM\..\Run: [iTunesHelper] D:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RemoteControl] "D:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MsnMsgr] "D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] D:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O8 - Extra context menu item: + Offline &Explorer: Download the link - file://D:\Archivos de programa\Offline Explorer Enterprise\Add_UrlO.htm

O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://D:\Archivos de programa\Offline Explorer Enterprise\Add_AllO.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\system32\msjava.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {7BA7BCE2-D359-4407-82D9-CDF9A74C487A} (DownLoadStub Class) - http://www.hpphoto.com/downloads/DownloadPhotos.cab

Espero que alguien pueda ayudarme.
 
A

Arwing

Guest
#2
Hola, no sé pero yo no veo gran cosa en tu sistema que justifique el problema, de todos modos realiza lo siguiente y veamos si mejora.

Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:Manual pasos a seguir para el uso HijackThis

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

Y da click en el botón "Fix Checked"

Reinicia el sistema y prueba que tal te va ahora. También te recomiendo que uses el programa Ad-aware SE 1.05 para escanear tu sistema, puede que haya algo que no se muestre en el log.

¿Tienes dos discos duros? quizá el malware esté instalado en el segundo disco duro, con Ad-aware manda un escaneo en el segundo disco, por ejemplo, el spyware NavExcel se puede instalar en un disco esclavo y el HijackThis nunca lo detectaría. Por decirte un ejemplo.

Saludos

Arwing
 

lostguy

Nuevo Miembro
Miembro
#3
Pues intente todo eso, y pues funciono por unas horas, al rato ya tenia otra vez el programa ese, a veces me saca en lugar de la imagen de una web, propaganda de pastillas y viagra.

Paso el antispyware y vuelve y me reconoce y vuelvo y le doy y se arregla por un tiempo, pero vuelve, desactive la recuperacion automatica, pero nada. Sera algún bicho raro
 

lostguy

Nuevo Miembro
Miembro
#5
Listo alnitak, ya lo instale y actualice. Por Dios, de me demoro dos horas en pasar por todo el disco duro (80GB), pero bueno, encontro 33 virus que el panda no había mostrado.

Sin embargo me esta pasando algo y es que este antivirus me dice constantemente que me a bloqueado un ataque desde lared, por parte de LOVESAN , desde una dirección ip. Y dice que lo ha rechazado efectivamente. Pero el ataque sigue desde otroas direcciones.

El mensaje es:

Attention! Your computer has been attacked from the Internet

Network attack Lovesan from 200.114.12.4 has been succesfully repelled.

Pero sigue apareciendo despues.

Alguna idea de este Lovesan?
 

lostguy

Nuevo Miembro
Miembro
#6
Hey gente, ahora la cosa esta mas rara todavia. COmo dije antes, el antivisur me esta bloqueando ataques desde ciertas direcciones IP. Pero lo mas raro es que puse estas direcciones IP en un rastreador, y resulta que esas direcciones son de mi proveedor de internet!!!:confused: :confused:

Que demonidos pasa!! algúna idea!!!
 

alnitak

Ex-Admin
Miembro
#7
Me ha llegado a pasar algo parecido y hasta me he llegado a infectar con un gusano una vez inmediatamente después de reinstalar y conectarme sin haber parcheado y sin firewall. Se debe a que los servidores del ISP están infectados. Lo mas comico en mi caso es que me han llegado a suspender la cuenta 3 veces porque los pobres sostenian que mi sistema estaba infectado y eran mas bien sus servidores pero no había quien se lo hiciera entender. :(

Instala un firewall, te aconsejo Outpost, tienes un tutorial de uso pegado aquí arriba.
 

lostguy

Nuevo Miembro
Miembro
#8
Alnitak, entonces crees que mi proveedor esta infectado?

Lo que pasa es que también coloque esa ip en otro que rastrea la ubicacion y me dijo que estaba en australia... no se, sera que están isando mi Proveedor como un elnace o algo?

De todas formas voya a activar el Firewall de WinXP SP2, aunque colocar un firewall me molesta mucho porque yo descargo bastante y no me dejan hacerlo en paz.

Si alguien sabe algún dato mas... agradezco toda su colaboracion.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie