¿¿¿SPYWARE???

Estado
Cerrado para nuevas respuestas

Nacho20

Nuevo Miembro
Miembro
#1
Gente, ocurre lo siguiente: He adquirido hace unas dos semanas una nueva PC, con WinXP Pro SP2, y no he tenido problemas en absoluto con la conexión a Internet... hasta ahora. Hete aquí que desde ayer que me conecto y, si bien siempre la velocidad fue la misma (46,6 kbps, dial-up), el ícono de la barra de tareas (el de las dos computadoras) permanece largo rato en negro, cada tanto titila en celeste y luego otra vez a negro. Además, las páginas tardan años en cargarse (cosa que hasta ahora no ocurría) y la tasa de transferencia de las descargas a caído de 4,7 kb por segundo a 990 y pico ¡¡¡BYTES!!! por segundo. Sospecho que me ha infectado un spyware, pero el Ad-Ware apenas sí encontró una cookie del tipo "tracker". ¿Qué puede estar sucediendo? Mil gracias desde ya.
 
A

Arwing

Guest
#2
Descarga el programa HijackThis 1.99, genera un Log con él y pégalo aquí. Descartaremos primero que sea obra de malware.

Arwing
 

Nacho20

Nuevo Miembro
Miembro
#3
He aquí el log que me resultó del escaneo con HijackThis 1.99:

Logfile of HijackThis v1.99.0

Scan saved at 14:44:49, on 08/01/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Ruben\Mis documentos\HijackThis1.99\HijackThis.exe

C:\WINDOWS\System32\rasautou.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sinectis.com.ar/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\system32\wbem\wmiapsrv.exe
 

alnitak

Ex-Admin
Miembro
#4
Tu log está limpio, solo revisa esta y dale a fix:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
 

Nacho20

Nuevo Miembro
Miembro
#5
Alnitak: He hecho lo que me dijiste pero el problema no se solucionó. Mi conexión se sigue interrumpiendo y me pide reconectarme de manera automática. Me llama poderosamente la atención el archivo rasautou.exe, diferente de rasauto.exe. Sospecho que es un malware o dialer.
 

alnitak

Ex-Admin
Miembro
#6
Process File: rasautou or rasautou.exe

Process Name: Microsoft Remote Access Dialler

Ese archivo no es un malware pero si puede causarte problemas, intenta terminarlo para ver si tu conexión se estabiliza pero no elimines el archivo.
 

Nacho20

Nuevo Miembro
Miembro
#8
He leído que rasautou es un troyano, ¿cuánto de verdad hay en eso? Lo interesante es que la "sintomatología" es la misma en todos los casos: el archivo ocupa gran parte del ancho de banda y acaba por terminar la conexión vía módem telefónico cada dos por tres.
 
A

Arwing

Guest
#9
Presiona al mismo tiempo las teclas Ctrl, Alt y Supr (Ctrl + Alt + Supr) y termina su proceso.

Si quieres revisar el archivo envíalo a páginas de antivirus en línea que escaneen archivos individuales y que usen varios motores antivirus: Los mejores antivirus online

Arwing
 

Nacho20

Nuevo Miembro
Miembro
#10
Curioso. En el Administrador de tareas de Windows, rasautou.exe no figura entre los procesos. Hago hincapié en esta cuestión: leí que se tiende a confundir "rasauto.exe" con "rasautou.exe". Según otras fuentes, este último es un dialer que envía información de mi equipo, saturando el ancho de banda y por ende ralentizando la conexión (sin contar que la conexión también se conecta demasiado a menudo). Es extrañísimo el hecho de que la tasa de transferencia de las descarga haya decaído a la mitad de kb/s, y que las páginas web demoren tanto en cargar. Les pido encarecidamente ayuda en este respecto porque ya me es casi imposible navegar. No creo que este sea un problema poco usual, supongo que habrá muchos a quienes les ocurre o ha ocurrido.
 
A

Arwing

Guest
#11
Pues me parece bastante raro. El primero, rasauto.exe, es el que tiene pinta de virus y el segundo, rasautou.exe, parece ser el de Microsoft. Aquí lo mencionan un poco: http://www.wilkinsonpc.com.co/free/articulos/procesos_r.html.

Pero en tu caso el nombre corresponde con el del archivo de Microsoft.

En otro sitio recomiendan, en el caso de tener el rasauto.exe que mires el Panel de Control de Acceso Telefónico y observes si hay algúna ahí que no sea la de tu ISP. También puedes deshabilitar el servicio de Administración de conexión automática, hazlo desde Panel de Control >> Herramientas Administrativas >> Servicios.

Intenta y luego nos comentas.

Arwing
 

Nacho20

Nuevo Miembro
Miembro
#12
He solucionado el problema de raíz: no me quedó otra que restaurar el sistema al día anterior en que comenzaron los trastornos. Sin embargo, hete aquí que las actualizaciones del sistema operativo han quedado nulas, teniendo yo que instarlarlas de nuevos. Antes de proceder, quisiera saber si pudieron haber sido ellas quienes ocacionaron todo este embrollo. Los componentes en cuestión son:

KB885836

KB873339

KB885835

KB834707

KB873374

KB886185

Quiero resaltar que el problema ya está resuelto. Tan sólo quiero sacarme la duda respecto de las actualizaciones críticas de seguridad. Gracias otra vez por la atención y la paciencia.

PD: antes de restaurar la configuración, había una entrada a registro que hacía referencia al tan mentado "rasauto.exe" (aquel que has distinguido como virus). Ahora, al ejecutar regedit noto que ha desaparecido. ¿Acaso rasauto.exe pudo haberse infiltrado en mi sistema durante la navegación?
 
Estado
Cerrado para nuevas respuestas
Arriba Pie