LSA Shell (continuacion)

[jevirulo]

Hola amigos,

Este tema es continuacion de:
viewtopic.php?f=13&t=5284

Siento volver a molestaros, pero creo q aun no esta solucionado el tema. La cosa es q ya no me aparece el mensajito y se apaga, pero ahora va lentisimo y ya he instalado varias actualizaciones del XP, tb he vuelto a pasar el antivirus en modo seguro como hice, pero tampoco encuentra virus. Por ierto al hacer el log veo q me vuelve a aparecer el dichoso win32ttb.exe!!. Tb tengo algo de spyware pero no se exactamente q registro es. Os pongo el log a ver si podeis volverme a ayudar porfa.
Muchas gracias.

Logfile of HijackThis v1.99.0
Scan saved at 19:33:39, on 01/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de Programa\YA.COM\dslstat.exe
C:\Archivos de Programa\YA.COM\dslagent.exe
C:\WINDOWS\system32\defragfatx.exe
C:\WINDOWS\System32\rtnfs.exe
C:\WINDOWS\system32\windns.exe
C:\WINDOWS\System32\win32ttb.exe
C:\WINDOWS\System32\neomonap23.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\girajevis\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sport.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [Sagate Security Firewall] sagate.exe
O4 - HKLM\..\Run: [NTsrv.exe] NTsrv.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatx.exe
O4 - HKLM\..\Run: [Windows_Protect] rtnfs.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\windns.exe
O4 - HKLM\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKLM\..\Run: [MS Unix Binary] win32ttb.exe
O4 - HKLM\..\RunServices: [Sagate Security Firewall] sagate.exe
O4 - HKLM\..\RunServices: [NTsrv.exe] NTsrv.exe
O4 - HKLM\..\RunServices: [Windows_Protect] rtnfs.exe
O4 - HKLM\..\RunServices: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] win32ttb.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows_Protect] rtnfs.exe
O4 - HKCU\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKCU\..\Run: [MS Unix Binary] win32ttb.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sagate Security Firewall - Unknown - C:\WINDOWS\System32\sagate.exe (file missing)
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[maura63]

Te falta lo principal, no tienes en el Internet explorer el SP1 + parches, y el XP ni tienes el SP1 + parches y tampoco el Sp2.



Logfile of HijackThis v1.99.0

Scan saved at 19:33:39, on 01/02/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Despues de ir instalando parches, se debe conectar de nuevo con windows update descargar y volver a comprobar, a veces nos dice 3 actualizaciones y despues instalarlas y volver aparecen 20.



Saludos

maura63

[maura63]

Si ves que no te deja bajar las actualizaciones prueba estas utilidades antes y vuelve a intentar

Lanza la utilidad ELITRIIP y acepta en BLOQUEAR EL INTENTO DE INTRUSIÓN, lo cual cerrará el port TCP 445 por donde te puede estar atacando el intruso y podrás bajar e instalar los parches,

http://www.zonavirus.com/descargas/elitriip.asp

Saludos
maura63

[jevirulo]

Y en cuanto a lo del log??, no veis algo raro, es q antes se me ha habierto una pagina sola y eso me hace sospechar de spyware

[maura63]

Tienes basura por supuesto, pero intenta descargar los parches antes, deja solo pendiente cuando te salga que solo queda por descargar el SP2 del XP.



Antes de hacerlo pasas los anti-spyware comentados y despues de eliminar toda la basura nos pegas de nuevo el log y veremos que rastro sospechoso queda.



Microsoft recomienda instalar el SP2 del XP y el SP2 que trae consigo el IE una vez limpios de parasitos.



Pasa las utilidades y prueba de actualizar.



Te recomiendo tambien instalar antes un firewal, por experiencia.



Saludos

maura63

[jevirulo]

Cuando me lo has puesto me he ido a windows update y me ha salido el XP sp2, ninguna otra actualizacion anterior

[maura63]

C:\WINDOWS\system32\defragfatx.exe
C:\WINDOWS\System32\rtnfs.exe
C:\WINDOWS\system32\windns.exe
C:\WINDOWS\System32\win32ttb.exe
C:\WINDOWS\System32\neomonap23.exe
*************************
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sport.es/
O4 - HKLM\..\Run: [Sagate Security Firewall] sagate.exe W32.GAOBOT.BOW WORM
O4 - HKLM\..\Run: [NTsrv.exe] NTsrv.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatx.exe
O4 - HKLM\..\Run: [Windows_Protect] rtnfs.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\windns.exe
O4 - HKLM\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKLM\..\Run: [MS Unix Binary] win32ttb.exe
O4 - HKLM\..\RunServices: [Sagate Security Firewall] sagate.exe
O4 - HKLM\..\RunServices: [NTsrv.exe] NTsrv.exe
O4 - HKLM\..\RunServices: [Windows_Protect] rtnfs.exe
O4 - HKLM\..\RunServices: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] win32ttb.exe
O4 - HKCU\..\Run: [Windows_Protect] rtnfs.exe
O4 - HKCU\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKCU\..\Run: [MS Unix Binary] win32ttb.exe
O23 - Service: Sagate Security Firewall - Unknown - C:\WINDOWS\System32\sagate.exe (file missing)

Tambien en modo seguro y desactivando restaurar sistema lanza el hijackthis con todos los programas cerrados pulsa scan y marca las entradas de los asteriscos para abajo, pulsa fix y aceptas.

Las entradas en C, utiliza el buscador o esplorador y elimina.

Conecta con windows update y actualiza.

Saludos
maura63

[jevirulo]

Ya lo he hecho y me lo ha eliminado todo, pero cuando estoy conectado bajando la actualizacion se me abre solo el proceso win32ttb.exe como system. Ufff, creo q nunca va a desaparecer, ya no se q hacer!!. Otra pregunta,pq los antivirus no detectan nada??.

[maura63]

Las eliminas en modo seguro y desactivando restaurar sistema :?: .



Tamben las que estan en c



Saludos

maura63

[jevirulo]

Si asi lo hice, lo q pasa es q concretamente el archivo win32ttb.exe, no esta, lo he buscado y no aparece por ningun lado, lo unico q puedo hacer es borrarlo del registro. Y claro cuando vuelvo a modo normal y conecto a internet al rato me aparece el proceso como system y empieza a ir lento el pc, y cuando reinicio ya lo tengo otra vez en el registro de inicio.

[maura63]

Comprueba que se muestren archivos y carpetas ocultos.



Saludos

maura63

[jevirulo]

Tengo q buscarlo en modo seguro??, es q lo acabo de buscar ahora incluyendo carpetas y archivos ocultos y no aparece nada, lo mas parecido es win32k y win32spl.dll.

[maura63]

Son de windows, el log de hijactkhis mostrando todos los archivos y carpetas ocultos tienes que lanzarlo en modo normal , en modo seguro es para eliminarlos y que no carguen en el inicio.



Saludos

maura63

[maura63]

Y dado que vuelve, no olvides antes desactivar restaurar sistema y luego en modo seguro eliminar.



Saludos

maura63

[jevirulo]

No hay ni rastro del archivo win32ttb.exe, ni oculto ni sin ocultar. Estoy desesperado!!!

Aunque muchisimas gracias, por la ayuda q me estas prestando y x tu paciencia.

[maura63]

Esta utilidad no la he tenido que usar nunca y tampoco se si vendra al caso

***********************************************

msc hotline sat
Administrador



Registrado: 09 Mar 2004
Mensajes: 4298
Ubicación: BARCELONA (ESPAÑA)
Publicado: Mie Jul 21, 2004 5:05 pm Asunto: Nueva utilidad para dar acceso TOTAL a ficheros en NTFS

--------------------------------------------------------------------------------

Como que la última picardía de los virus es esconderse entre las propiedades de restriccion de acceso a ser accedidos y solo poder ser ejecutados, de los última generacion de virus, como el backdoor CFB, y ahora parece que añgun SDBOT.worm.gem.I, que si bien los detecta McAfee, luego el usuario no puede acceder a los ficheros infectados para eliminarlos, y ya en el caso el Bacdoor CFB hemos tenido que crear la utilidad ELIBDCFB.EXE para su eliminacion, ante los nuevos casos que se nos presentan de ficheros no visibles en NTFS, ni accesibles aunque ejecutables, hemos creado la nueva utilidad ELITOTAL.EXE que da permisos totales a los ficheros que se indiquen al respecto con dicha utilidad, y así poder acceder a ellos y eliminarlos o poder verlos y enviarlos para analizar si son nuevos gusanos.

saludos

ms, 21-07-2004
***********************************************

Descargala y en modo seguro y desactivando rstaurar sitema la lanzas, introduce el nombre win32ttb.exe y de encontrarlo ver las opciones que te da y si puedes eliminar.

Saludos
maura63

[jevirulo]

Aunq tengo xp conservo el sistema de ficheros en FAT32, sirve igual la aplicacion q me has dado??

[maura63]

No, solo para archivos en NTFS.



Olvidala.



Saludos

maura63

[msc hotline sat]

Si tras pasar el antivirus en modo seguro y los antispyware del mismo modo, con restauracion de sistema deshabilitado, sigues teniendo dicho proceso, lo mas probable es que no sea virus , pero siempre podría ser algo no co´ntrolado aún.

Como sea que el fichero esixte en tu ordenador, porque lo detecta en uso el HJT, y además se carga en el inicio desde dos claves de registro, RUN y RUNSERVICES, existe en tu irdenador, y si no lo ves es porque no lo haces con derecgos de administrador, o tiene privilegios de NTFS para no ser visto.

No hay docimentacion de dicho fichero en Internet, por lo que se ignora lo que pueda hacer hasta que lo examinemos, pero para ello deberías enviarnos una muestra, cuando accedas a él, a zonavirus@satinfo.es anexandola a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos como respuesta de este Tema,

Para poder acceder a dicho fichero:

Arrabca en modo seguro, con derecgos de administrador, y mira si en C;\windows\system32 te aparece. En tal caso, procede a enviarnos muestra, y además sacalo del ordenador y guardalo en un disqute, reinicia la máquina y mira si todo va bien t nos lo cuentas como respuesta de este tema.

Si así tampoco lo ves, aplicale el ELITOTAL para restaurar privilegios totales a dicho fichero, según se cuenta en:

http://www.zonavirus.com/descargas/elitotal.asp

Así se esconden virus de la serie AGENT, pero no consta ninguno con el nombre indicado, pero al menos veamos si lo cazamos y lo podemos examinar.

saludos

ms, 3-02-2005

[jevirulo]

Bueno aqui estoy de nuevo despues de hacer lo q me habeis dicho no he conseguido encontrar el archivo win32ttb.exe en modo seguro como administrador. Utilice la aplicación q me has dado en ultimo lugar, ELITOTAL, pero creo q no funciona, ya q es para sistema de archivos NTFS y yo los tengo en FAT32. He pasado el McAfee 8 viruscan q me he bajado y nada el ad-ware tampoco lo ha quitado y por ultimo el spy-bot tampoco, pero mediante la utilidad lista de procesos q incluye he realizado esta captura.

win32ttb.jpg (75.89 KiB) Visto 3748 veces

Ya me direis a ver si todavia se puede hacer algo, aunq ya estoy perdiendo la esperanza

[msc hotline sat]

Bien, conforme me indicó en privado Maura63, al parecer mientras yo editaba el post donde le ofrecía el ELITOTAL, él lo hacía paralelamente y ya se había comentado que en FAT32 no venía al caso.



Como que estoy atendiendo consultas hot line mientras tengo abiertos las respuestas, a veces puedo tardar bastante tiempo para ir contestando a ratitos, cuando puedo, y cuando envio la respuesta ya habermela "pisado" como me dice Maura63.



Pero menos mal que decíamos lo mismo :D :D :D



Bueno, pues visto que es FAT32 no debe haber misterios, ya que no hay privilegios, solo atributos de fichero.



Como que es W XP, arranque pulsando repetidamente F8 y seleccione en el Menu de inicio ARRANCAR EN MODO SEGURO CON SOLO SIMBOLO DE SISTEMA



Una vez arrancado, vaya al directorio c:\windows\system32 escribiendo



CD \windows\system32



una vez allí, busque el fichero escribiendo:



DIR win32ttb.exe /A



y si está, lo encontrará. En tal caso muevelo a un disquete escribiendo:



MOVE win32ttb.exe A:



una vez movido al disquete, ya no estará en el disco duro, saca el disquete, reinicia el ordenador, y a ver si muerto el perro...



Luego el fichero del disquete nos lo envias, como te he indicado antes, a zonavirus@satinfo.es



Y si así no lo encuentras, puede que haya alguna meiga en tu PC...



saludos



ms, 3-02-2005

[jevirulo]

Pero como puedo ser tan tonto!!!, tienes razon no se me ocurrio iniciar en modo DOS y buscar el archivito del copon. Pero, como tu decias ahi estaba, aunq resistio hasta el final, ya q tenia levantadas las defensas jeje, le tuve q quitar las protecciones y ala pa el diskette. Ahora parece q ya todo ha vuelto a la normalidad (os pego el log, pa ver q opinais). Espero q no tenga mas sustos. No se como agradeceros vuestra ayuda...soys los mejores y lo mejor de todo es la paciencia q teneis. De todo corazon MUCHISIMAS GRACIAS!!!. Por cierto, ahora os envio el archivo, como me pedisteis.

Logfile of HijackThis v1.99.0
Scan saved at 19:48:19, on 03/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de Programa\YA.COM\dslagent.exe
C:\ARCHIV~1\mcafee.com\vso\mcvsescn.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
C:\films\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Documents and Settings\girajevis\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A68A4D49-2D69-4AC5-93D6-CCD3ACBD65C5}: NameServer = 62.151.8.100 62.151.2.8
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: McAfee.com McShield - Unknown - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: McAfee Personal Firewall Service - McAfee Corporation - C:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[maura63]

Conecta via windows update y actualiza, te faltan parches y service-packs.

Logfile of HijackThis v1.99.0
Scan saved at 19:48:19, on 03/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Tanto el SP1 como el SP2 + parches, de lo contrario seguiras con problemas en cualquier momento.


Saludos
maura63

[msc hotline sat]

Mientras actualizas y nos copias el nuevo log del HJT que te ha pedido Maura63, puedo adelantarte que hemos recibido la muestra del win32ttb.exe y, aunque no es detectado todavía por los antivirus, hemos visto que se trataba de una variante mas del SDBOT, que hemos pasado a enviar a McAfee para su control y estamos haciendo nueva version del ELISLUTA para siu control y eliminacion, Hoy mismo subiremos esta nuieva version a esta web, aunque ya habiendolo eliminado del ordenador, espero que se le acaben los problemas al respecto.



Por cierto, que como he ido indicando, en breve presentaremos una utilidad triple que combine las tres que utilizamos mas a menudo contra los virus que nos entran por IP, la gama del agujero RPCDCOM; que controlamos con el ELIRPCA, la del desborfamiento de buffer del LSASS, que controlamos con el ELILSA, y la de las intrusiones por comparticiones administrativas, de muchos SDBOT entre otros, que controlamos con el ELISLUTA.



Pues bien, estamos desarrollando una multiutilidad que incluirá las tres gamas indicadas, a la que llamaremos EliTriIP, y que sustituirá las tres utilidades indicadas existentes hasta la fecha, y que en tantos miles de casos han sido provechosas. Ya se comunicará oportunamente su disponibilidad, pero sabed que estamos en ello.



Por otra parte, en cuanto McAfee nos indique como controlarán esta nueva variante, lo indicaremos.



saludos



ms, 7-02-2005

[msc hotline sat]

Bueno, pues como adelantabamos, McAfee ha bautizado el bicho como WIN32.SDBOT.gen.worm.y , pasandolo a controlar en proximos DAT.



Mientras, el fichero EXTRA.DAT que puede crearse para controlarlo es:



___________



240 178 156 179 77 51 218 128 63 28 222 215 111 92 249 157

122 92 255 222 49 150 138 37 104 127 130 188 2 105 40 182

65 60 130 188 87 71 114 178 121 131 143 179 29 214 129 188

160 18 240 35 190 251 186 65 28 4 250 190 143 57 136 212

104 93 163 202 13 51 140 179 25 204 140 222 67 204 22 19

148 164 141 179 12 164 141 179 13 127 140 179 20 51 154 179

94 92 235 199 122 82 255 214 81 126 228 208 127 92 254 220

107 71 209 252 65 118 141 247 13 51 141 179 78 99 141 218

13 76 140 179 12 22 12 204 14 51 140 150 140 76 143 179

12 22 12 204 9 51 140 150 140 76 143 179 140 76 140 179

140 76 141 179 140 76 142 179 12 22 12 204 13 51 140 150

140 76 136 179 12 22 12 204 15 51 140 150 140 76 143 179

12 20 12 204 12 51 140 150 140 76 141 179 140 76 140 179

140 76 141 179 6 50 141 179 141 4 141 179 17 63 141 193

5 51 141 179 13 47 141 179 127 178 242 126 15 52 141 253

10

15012 256 12885 340 W32/Sdbot.worm





_____________





y paso a subir nuestra nueva version de ELISLUTA que lo controla y elimina:



---v6.5---( 7 de Febrero del 2005) (para SdBot Y "WIN32TTB.EXE" según muestra)



saludos



ms, 7-02-2005

[jevirulo]

Bueno, pues ya he actualizado a SP2, os pego el log a ver q tal.
Por cierto, ya decia yo q el virus tenia tela, jejeje. A los virus no se le pone el nombre del descubridor como a los cometas???, jejeje
Muchas gracias, por todo, sin vuestra ayuda no lo habria logrado.

Logfile of HijackThis v1.99.0
Scan saved at 23:10:27, on 06/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de Programa\YA.COM\dslstat.exe
C:\Archivos de Programa\YA.COM\dslagent.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\girajevis\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sport.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A68A4D49-2D69-4AC5-93D6-CCD3ACBD65C5}: NameServer = 62.151.8.100 62.151.2.8
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[maura63]

Estas dos entradas no son necesarias, eliminalas





O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)



Que antivirus usas? Y firewall? tienes activado el propio que trae el SP2 del XP?



Un antivirus es primordial.



Saludos

maura63

[jevirulo]

Antivirus ahora mismo no tengo. El problema es q mi pc solo tiene 64 de ram y el antivirus consume mucha mem (por lo menos el q tenia). Podrias recomendarme alguno q no consuma muchos recursos??. En cuanto a lo del firewall ahora mismo tengo el q viene con el SP2 q parece q no consume mucha memoria.

[maura63]

Antivirus GRATIS:

· Grisoft (AVG)
Antivirus gratis, solo para uso particular, solo tendras que entrar un pequeño formulario tu nombre, apellido y correo donde inmediatamente se te enviara el número de serie necesario para el registro del programa
http://www.zonavirus.com/descargas/avg- ... dition.asp


Comprueba en el centro de seguridad que esta activo el firewall del XP.

Saludos
maura63

[maura63]

Se me olvidaba, ve pensando en ampliar memoria, ahora no es muy cara, y la informatica cambia por horas.



De algunos modulos de memoria no muy antiguos te las ves y deseas para encontrar.



Saludos

maura63