Problemas con el msn en el foro de Chat, E-Mail y Mensajeros:

pase el nod 32 y nada , pase el spyware terminator y me detecto un programa que yo habia bajado para espiar conversaciones por el msn pero solo por el msn, un adware llamado newdot y otro adware mas ...los elimine y a su ves el douglas , desde ahi me dejo de pedir conexion el zone alarma a DGL/SVCHOST.EXE.

lo que ahora salta en el zone alarma es el Ares nomas, asi que no se donde mas buscar , igual ya el msn no lo abro mas y no tengo ningun problema.

te dejo el nuevo analisis con el hijackthis



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:01, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\thomson\Dragdiag.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Ares Lite Edition\Ares.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Archivos de programa\Archivos comunes\Nokia\MPAPI\MPAPI3s.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Barra &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\thomson\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares Lite Edition\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: &Search - Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
O8 - Extra context menu item: Add to Windows &Live Favorites - Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
O17 - HKLM\System\CCS\Services\Tcpip\..\{E81F5B53-B12A-4BB3-B7C0-8363E4C45DC9}: NameServer = 200.51.211.7 200.51.212.7
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe (file missing)

--
End of file - 6752 bytes

Joya. Lo últimas 2 cosas que podés hacer es, por un lado cuando con el ares te salta el zonealarm, fijate si no hay una opción de "confiar en esta aplicación" asi no te jode de nuevo.

Y si querés baja e instalate el spybot search & destroy para todo lo referente a spywares (el zonealarm sé que trae pero no sé cuan confiable es).

Ya en sí no habría más nada para hacer.

Saludos, Mauro.

el spybot lo tengo y solo lo que me salto al analizarme es un tal Avenue que y alo borre, antes de hacer revisar la compu por los tecnicos siempre me saltaba en el spy el avenue , zedo o fastclick y esos nomas despues tengo el ad-ware se personal y solo me borro las cokies , pase el programa que te dije y el nod

asi que ya gaste todas las posibilidades jajajajajajaja , lo que si no noto que me manejen el mouse o me aparezcan o se me cierren ventanas.

problemas habitual que los aquejan a los que tenian ciertas porqueria espias isntaladas. solo eso del msn nomas es por eso tanta es mi duda

AAh agrego que esta desabilitado el escritorio remoto y asistencia remota , lo que sospecho que la asistencia remota del msn pueda ser eso lo que este jodiendo, lo que tambien me olvide de contar que baje un programa que captura los movimientos que se hizo en la pc


pero que despues lo desabilite o borre , asi que no se que mas hacer jajaja

Te diria que dejes de experimentar con keyloggers y cosas asi.

El resto estaría bien. Si te vuelve a suceder avisanos.

Saludos, Mauro.

bueno gracias !! jaja ahora duermo tranquila por que es la pc de mi hermana y pobre yo siempre se la uso para joder jajaajajaja


bueno lo unico que hice ahora es desabilitar conexiones atravez de netbios , por que el zone alarm a cada rato me tiraba direcciones de ip que pedian conexion atravez de netbios. y han bajado considerablemente las amenazas entrantes.

ahora lo unico que jode son siempre con direcciones de speedy y con los puertos TCP 135 Y 445, No se si seran normales ya que todas las direcciones que tira son las de mi servidor speedy y al terminar las ip's dice por ejemplo ahora me salto esto en el cartel de alerta



201-254-41-17.speedy.com.ar y generic host process for win32

asi que no se jajaja , estoy perdida ya que me limpian la pc y no me dicen nada jajaja.

El netbios es lo que el s.o. utiliza principalmente para la comunicación entre 2 Windows y saber que carpetas e impresoras están siendo compartidas, por eso los lammers (gente que se la da de hackers pero que son unos estúpidos) se la pasan escaneando principalmente esos puertos y por eso tanto aviso del zonealarm.

Y encima son tan vivos que para hacerlo toman su dirección de IP y escanean IPs similares, es por eso que si tenés speedy lo más probable es que muchos de estos "ataques" provengan de alguien que usa speedy también.

Lo que te conviene hacer es configurar el zonealarm (creo que trae un asistente que lo hace) de manera que todo el trafico de tu red interna lo tome como de confianza y lo permita hacer asi podés compartir todo entre la compu de tu hna y la tuya y el resto sí, que lo bloquee o permita acorde a como lo tenés configurado ahora.

Saludos, Mauro.

al ejecutar el ares me sale el error del archivo "chatserver.exe" si alguien tiene alguna respuesta agradecere
Daniel

A que tipo de error haces referencia??

Hola, primeramente eso es muestra de un Spyware.

Tendrias que desactivar primero los servicios de Ares y luego podes probar de sacar estas entradas:

Ir a Inicio > Ejecutar > y ahi pones sc delete AresChatServer y OK.

O4 - HKCU\..\Run: [ares] "F:\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [areslite] "C:\Archivos de programa\Ares Lite Edition\AresLite.exe" -h
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - F:\Ares\chatServer.exe

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Ojo: chatserver.exe es parte de Ares, y si, a veces algun soft te detecta a Ares como spyware, a mi me pasa con Zone Alarm...