| jos123 |  |
|
2005-09-02 15:08 - Respuestas: 2 - Tema nº: 41712
Hola, amigos. Ultimo intento antes de formatear mi disco duro. Lo mío no es un problema (no lo vale). Si acaso es un reto a los expertos. Un entretenimiento. Somos más de dos mil ordenadores en esta casa. Uso dos situados en distintas dependencias, uno para trabajar, otro para probar aplicaciones, anti-cosas, etc descargadas de la red. Estamos conectados todos a Internet por una LAN corporativa (¿hay alguna que no lo sea?) Hay una posibilidad (remota) de que esté siendo colonizado por un intruso con nombre y apellidos. No puedo detallar a partir de qué momento, aparece el aviso: "Internet Explorer ha detectado un problema y se cerrará". No dice qué problema. Dos alternativas. "Reiniciar/no reiniciar IExplorer" y "enviar/no enviar informe". Lo que hago: paso dos o tres antivirus y antispys antes y después de entrar a prueba de fallos, paso un Hijacthis cuyo log incluyo abajo. Paso el MBSA (Microsoft Baseline Security Analizer) que no indica nada especial. Salgo al DOS a inspeccionar la red con netstat -an Aparecen de vez en cuando dos IP que no son mías. Trato de pensar: navego bien con Mozilla (navegador alternativo) y deduzco que la red está bien configurada. Funciona bien el programa de correo Outlook Express: mi Windows 2000 Pro y mi Internet Explorer no están del todo mal. Pero me es imposible navegar más allá de la URL de mi empresa que sí aparece. Desactivo el proxy, es peor. Reinstalo unas cuatro veces MSIE, sin resultado: no puedo navegar. Paso otro programa experto, el LSPFix.
Aquí van dos logs:
1)
Logfile of HijackThis v1.99.1
Scan saved at 13:39:56, on 02/09/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Iomega\Iomega HotBurn Pro\Autolaunch.exe
C:\Archivos de programa\mozilla.org\Mozilla\Mozilla.exe
C:\WINNT\system32\ctfmon.exe
C:\Archivos de programa\TuneUp Utilities 2004\MemOptimizer.exe
C:\WINNT\system32\mira.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.deusto.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Archivos de programa\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = jeison.deusto.es:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Archivos de programa\Iomega\Iomega HotBurn Pro\Autolaunch.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Archivos de programa\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: PowerReg Scheduler V3.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{56BDF5FC-C32E-4816-91F2-EC5CA7DB6A4A}: NameServer = 130.206.100.1,130.206.100.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDC6F1C6-1C19-4A05-8EB3-7017F2C497A8}: NameServer = 130.206.100.1,130.206.100.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{56BDF5FC-C32E-4816-91F2-EC5CA7DB6A4A}: NameServer = 130.206.100.1,130.206.100.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{56BDF5FC-C32E-4816-91F2-EC5CA7DB6A4A}: NameServer = 130.206.100.1,130.206.100.2
O17 - HKLM\System\CS3\Services\Tcpip\..\{56BDF5FC-C32E-4816-91F2-EC5CA7DB6A4A}: NameServer = 130.206.100.1,130.206.100.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
2) LSP-Fix
rnr20.dll Tcpip
winmr.dll NTDS
msafd.dll [Protocol handler]
rsvpsp.dll [Protocol handler]...
En la ventana REMOVE (a la derecha) no aparece nada que quitar
3) Log de netstat -an (mis exploraciones de la red)
Conexiones activas
Proto Direcci¢n local Direcci¢n remota Estado
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1132 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1131 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1131 127.0.0.1:1132 ESTABLISHED
TCP 127.0.0.1:1132 127.0.0.1:1131 ESTABLISHED
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING
TCP 192.168.10.28:139 0.0.0.0:0 LISTENING
TCP 192.168.10.28:1140 192.168.10.44:139 TIME_WAIT
TCP 192.168.10.28:1142 0.0.0.0:0 LISTENING
TCP 192.168.10.28:1142 192.168.10.44:139 ESTABLISHED
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 192.168.10.28:137 *:*
UDP 192.168.10.28:138 *:*
Conexiones activas
Proto Direcci¢n local Direcci¢n remota Estado
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1132 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1131 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1131 127.0.0.1:1132 ESTABLISHED
TCP 127.0.0.1:1132 127.0.0.1:1131 ESTABLISHED
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING
TCP 192.168.10.28:139 0.0.0.0:0 LISTENING
TCP 192.168.10.28:1140 192.168.10.44:139 TIME_WAIT
TCP 192.168.10.28:1142 192.168.10.44:139 TIME_WAIT
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 192.168.10.28:137 *:*
UDP 192.168.10.28:138 *:*
Nota: la TCP 192.168.10.44 no es mía
Me decido a borrar MSIE ya que no se puede desinstalar. Lo aplasto con JV16 Power Tools. Y lo reinstalo desde un puesto de nuestra LAN (imposible acceder a actualizaciones de la web de Microsoft que sólo funcionan con su MSIE, no con Mozilla).
Empiezo con los consejos de Fuliazo y su
"C:\IE6\iesetup.exe /c:"ie6wzd.exe /d /s:""#E"
Llego hasta
C:\Archivos de programa\Windows\WindowsUpdate\IE6setup.exe.
varias veces. Con estos avisos repetidos en que me atasco:
"Está pendiente la finalización de una instalación previa que necesita reiniciar el equipo. Necesita reiniciar su PC para completar esa instalación antes de ejecutar el programa de instalación de Internet Explorer. La instalación se va a cerrar"
No se cierra. Se muere. RIP
Recuerdo la pregunta ¿tendré que formatear?
Añado. Mi PC es viejillo y el disco duro produce ruido de tripas. Quizás el disco duro esté fisicamente mal. Pero un CHKDSK /F /r no dice nada. Eso sí, se detiene a veces más de un minuto; pero no quiero cambiar de disco duro antes de saber si mi Internet Explorer es recuperable.
Señas: Pentium III 730 MHz. 128 RAM. DD 6 Gigas. Daré nuevos detalles si alguien se toma el trabajo de ayudarme. Gracias.
| |
|
|
| tordanxa |  |
|
Re: IExplorer. Ultimo intento - 2005-09-02 16:07 - Respuesta 2
El log está limpio. Oye ¿No será que os hayan restringido la navegación?
Prueba esta utilidad a ver si te dice algo más, onlinecheck.emsisoft.org/es/
Yo, es lo único que te puedo decir
Saludos | |
|
|
| jos123 | |
|
Re: IExplorer. Ultimo intento - 2005-09-02 17:16 - Respuesta 3
Gracias Rahel por tu interés y rapidez. Pasaré el Onlinechek de mis antiguos amigos de emsisoft. Desinstalé su antitroyanos porque opiné que era un coladero: no veía lo que sí había. Escribo con el ordenador "sano" y todo está normal. Internet Explorer funciona. Tengo razones para sospechar que nuestra Web está under construction pero no se nos suele avisar. Veremos en qué para.
| |
|
|
|
