VIRUS VUNDO EN MI PC (FINZALIZADO)

Giseliz · Mensaje por **Giseliz** » 09 Jun 2007, 22:22

Hola

Por medio del elistara sè que tengo un trojano malware.rpcc ya que el mismo no puede ver el fichero rpcc.dll, luego el elistara me mando a bajar la utilidad ELINOTIF.DLL...lo bajè y nuevamente corrì el elistara y no eliminò el vundo.

Esto saliò del ultimo elistara:

Sat Jun 09 04:31:31 2007

EliStartPage v14.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\RPCC]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\RPCC.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\RPCC.DLL --> Acceso Denegado.

Eliminado Servicio, "runtime"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jun 09 04:32:01 2007

EliStartPage v14.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

A continuaciòn pego mi log para que me ayuden a resolver èste problema...

Logfile of HijackThis v1.99.1

Scan saved at 05:22:14 a.m., on 06/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\Eagle II USB ADSL Modem\Cable & Wireless USB ADSL Modem\dslmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\DOCUME~1\DELEON~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\DELEON~1\CONFIG~1\Temp\winlogon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181338231231

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{2C4F3C55-ACDA-4247-8717-193E0C790BA6}: NameServer = 201.225.225.225,201.224.73.162

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Nota: mi pc esta recien formateada y cuando saliò el virus estaba en plena actualizacion del windows despues de haber instalado el norton....

espero sus instrucciones,

gisela

Claudia34 · Mensaje por **Claudia34** » 10 Jun 2007, 02:08

Mientras esperas para ver lo que dicen sobre el log, realiza un windows update porque te faltan principalmente dos parches del año 2006. Saludos.

Mensaje por **msc hotline sat** » 10 Jun 2007, 08:25

Te quedaste justo a mitad del camino:

EliStartPage v14.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

Tras instalarla se debe reiniciar para que arranque automaticamente con dicha utilidad instalada y termine de eliminar el virus, lo cual quedará reflejado en el infosat tras esta ultima indicacion de "Instalada Utilidad ELINOTIF.DLL"

Reinicia y lo veras.

Posteanos el actual infosat para poder dar por solucionado el Tema

saludos

ms, 10-06-2007

Mensaje por **msc hotline sat** » 10 Jun 2007, 08:41

Y del log del HJT proceder con :

Y eliminar estas claves:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

y enviarnos estos ficheros sospechosos para su analisis:

C:\WINDOWS\system32\drivers\ntndis.exe

C:\DOCUME~1\DELEON~1\CONFIG~1\Temp\winlogon.exe

C:\WINDOWS\system32\rsvp32_2.dll

C:\WINDOWS\Temp\startdrv.exe

y Tras todo ello finalizar con una pasada del LPSFIX para restaurar O10:

[url=http://www.zonavirus.com/descargas/lsp-fix.asp]~~[b]~~Descargar LSP-FIX[/b][/url]

· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp]~~[b]~~Manual LSP-FIx[/b][/url] (Español)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 10-06-2007

Giseliz · Mensaje por **Giseliz** » 10 Jun 2007, 10:10

Hola

De acuerdo a sus instrucciones aqui pego el nuevo resultado del elistara:

EliNotify v1.7.04.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Malware.RPCC

Elininada KEY "Winlogon\Notify\rpcc"

C:\WINDOWS\system32\rpcc.dll -> Eliminado.

Desinstalado EliNotif.dll

Sat Jun 09 17:15:58 2007

EliStartPage v14.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "runtime"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jun 09 17:16:46 2007

EliStartPage v14.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Igualmente aqui pego el nuevo log del hijakthis:

Logfile of HijackThis v1.99.1

Scan saved at 05:25:31 p.m., on 06/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\DOCUME~1\DELEON~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\DELEON~1\CONFIG~1\Temp\winlogon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181338231231

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{2C4F3C55-ACDA-4247-8717-193E0C790BA6}: NameServer = 201.225.225.225,201.224.73.162

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Despues de todas sus instrucciones reinicie la pc y apenas empieza a cargar el windows me sigue saliendo el mensaje no es posible tener acceso al dispositivo

" system32/drivers/ntndis.exe "

espero sus nuevas instrucciones,

gisela

Mensaje por **msc hotline sat** » 10 Jun 2007, 13:10

Pues con este fichero no hemos hecho nada mas que pedirle que nos envie una muestra, junto con otras, ya que la clave de carga no puede eliminarse a la brava, al ser cargado como un modulo del explorer:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe

Por ello la hemos de restaurar, no eliminar, con nuestras utilidades, y eso haremos tras recibir la muestra, pero... es que has hecho algo mas aparte de enviarnos los ficheros pedidos ???

El ELISTARA todavia no lo controla, pero lo haremos en la proxima version del lunes 14.17, si antes hemos recibido los ficheros en cuestion

No te preocupes por el mensaje, que una vez analizado el fichero y monitorizado, desharemos lo que haya hecho.

saludos

ms, 10-06-2007

Mensaje por **msc hotline sat** » 10 Jun 2007, 13:20

Buscando informacion al respecto, vemos que sophos tiene la siguiente descripcion para el mismo:

[quote]W32/Forbot-GI

Gusano

Resumen

Resumen Descripción Desinfección Avanzado

Nombre W32/Forbot-GI

Tipo Gusano

Cómo se extiende Unidades compartidas de red

Sistemas operativos vulnerables Windows

Efectos secundarios Permite el acceso no autorizado al equipo infectado

Se instala en el registro del sistema

Protección disponible desde el 22 de abril de 2006 21:16:31 (GMT)

Detectado por Todas las versiones de Sophos Anti-Virus

Incluido en el producto desde Junio 2006 (4.06)

Descripción

Resumen Descripción Desinfección Avanzado

En esta sección encontrará información sobre su comportamiento

W32/Forbot-GI es un gusano para Windows que incluye un troyano de puerta trasera.

W32/Forbot-GI incluye funcionalidades para acceder a Internet y comunicarse con un servidor remoto vía HTTP.

Desinfección

Resumen Descripción Desinfección Avanzado

En esta sección encontrará instrucciones de desinfección del virus.

Vea la información para eliminar gusanos.

Avanzado

Resumen Descripción Desinfección Avanzado

Esta sección es para técnicos que requieren más información sobre el virus.

W32/Forbot-GI es un gusano para Windows que incluye un troyano de puerta trasera.

W32/Forbot-GI incluye funcionalidades para acceder a Internet y comunicarse con un servidor remoto vía HTTP.

Al ejecutarse por primera vez, W32/Forbot-GI se copia en <carpeta del sistema de Windows>\drivers\ntndis.exe y crea el archivo <carpeta del sistema de Windows>\drivers\ntndis.sys.

La siguiente entrada en el registro será modificada para ejecutar ntndis.exe al inicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell

Explorer.exe <carpeta del sistema de Windows>\drivers\ntndis.exe

(el valor predeterminado para esta entrada del registro es "Explorer.exe", que hace que el archivo de Microsoft <carpeta de Windows>\Explorer.exe se ejecute al inicio del sistema).

El archivo ntndis.sys es un rootkit detectado por los productos antivirus de Sophos como Troj/RKProc-F. Ntndis.sys se registra como un nuevo servicio de controlador de sistema con el nombre "ntndis", que se podrá ejecutar de forma automática al inicio del sistema. Se crearán entradas en el registro en:

HKLM\SYSTEM\CurrentControlSet\Services\ntndis\ [/quote]

Así que como Rootkit, además, esconde procesos, claves y ficheros, pues le daremos el tratamiento que se merece... :wink:

saludos

ms, 10-06-2007

Giseliz · Mensaje por **Giseliz** » 10 Jun 2007, 21:16

Hola

Ya envie el email con las muestras de los ficheros que me solicitaste al emai que ustedes indican, pero no encontrè los siguiente ficheros en modo seguro:

C:\DOCUME~1\DELEON~1\CONFIG~1\Temp\winlogon.exe

C:\WINDOWS\Temp\startdrv.exe

Nota: tal vez no encuentro esos ficheros porque cuando el elistara me dice que si quiero borrar los temporales le he dicho que sip.

Tambien elimine en modo seguro la clave solicitada.

espero sus nuevas instrucciones,

gisela

Mensaje por **msc hotline sat** » 10 Jun 2007, 21:33

No, los temporales que borra el ELISTARA son los de Internet, esto es , los contenidos en Content IE5, mira que no estén ocultos...:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

Y con lo que envies o hayas enviado, mañana procederemos e informaremos

saludos

ms, 10-06-2007

Giseliz · Mensaje por **Giseliz** » 11 Jun 2007, 03:31

Hola MS

Activè la opcion de mostrar las carpetas y archivos ocultos pero en la carpeta content EI5 no aparecen los ficheros que deseas ver.... :(

estarè atenta a tus noticias mañana

gisela

Mensaje por **msc hotline sat** » 11 Jun 2007, 04:49

Claro que no, esta carpeta es la de los temporales de Internet, que son los que borra el ELISTARA cuando se acepta borrar temporales de Internet.

Tal como deciamos son los de estas otras carpetas las que pueden interesar, y concretamente si existen los ficheros indicados, aunque estén ocultos

C:\DOCUME~1\DELEON~1\CONFIG~1\Temp\winlogon.exe

C:\WINDOWS\Temp\startdrv.exe

saludos

ms, 11-06-2007

Giseliz · Mensaje por **Giseliz** » 11 Jun 2007, 20:56

Hola MS

no he sabido nada de usted hoy....si recibiò o nop el email con la muestra ?

saludos,

gisela

Mensaje por **msc hotline sat** » 11 Jun 2007, 22:01

Yo no recibo los mails...

Nuestros tecnicos de la web clasifican el correo y lo entregan a los diferentes departamentos, en su caso a I+D para analizar y monitorizar la muestra, y , si procede, implementar su control y eliminacion en nuestras utilidades, y cuando lo han hecho me comunican las referencias al respecto, y de referencia "Giseliz" no me han indicado nada.

O no ha llegado o está en cola. Si lo envió como se indica en:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

debe estar en cartera y lo mas seguro es que se analice mañana, pues hoy han quedado bastantes carpetas pendientes, por la complejidad y cantidad de las muestras, pero mañana seguiremos, si Dios quiere.

saludos

ms, 11-06-2007

Mensaje por **msc hotline sat** » 12 Jun 2007, 13:32

Ya te ha llegado el turno !

De los 4 ficheros enviados 2 pasamos a controlarlos con el ELISTARA 14.18 y otros 2 con el ELITRIIP 3.64 ambos de hoy

A partir de las 20 h GMT de hoy , estaran disponibles para evaluacion es esta web:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 12-06-2007

Giseliz · Mensaje por **Giseliz** » 12 Jun 2007, 20:18

Hola MS

adjunto el infosat del elistara y elitriip:

Mon Jun 11 13:14:05 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINSOCK64.DLL --> Eliminado Alanchum(rootkit)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jun 11 13:15:05 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\SFIPM5MZ\144[1].EXE --> Eliminado, Alanchum

C:\Muestras\SPOOLSVV.EXE.MUESTRA ELISTARTPAGE V14.15 --> Eliminado, Alanchum

C:\WINDOWS\144.EXE --> Eliminado, Alanchum

C:\WINDOWS\system32\RSVP32_2.DLL --> Eliminado, Trojan.Pakes

Mon Jun 11 13:22:47 2007

EliTriIP v3.64 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\NTNDIS.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DRIVERS\NTNDIS.SYS --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Mon Jun 11 13:23:12 2007

EliTriIP v3.64 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nota: Cuando reiniciè me volviò a salir el mensaje de que no se puede accesar a la ruta del fichero system32/drivers/ntndis.exe, pero aunque se eliminò continuara saliendo ese mensaje ??

saludos,

gisela

Mensaje por **msc hotline sat** » 12 Jun 2007, 20:25

No debiera ser asi, algo está haciendo o pasando atípico...

Posteanos nuevo log actual del HJT, a ver si se ha regenerado la clave, que aunque sea inocua a falta del fichero, sería incordiante, y habremos de eliminarla en el siguiente reinicio si es necesario.

Ya sabes como postear el log, verdad, pues a la vista del mismo, procederemos en consecuencia

Pero ya queda poco... :wink:

saludos

ms, 12-06-2007

Giseliz · Mensaje por **Giseliz** » 12 Jun 2007, 21:35

Hola MS

El nuevo log HJ

Logfile of HijackThis v1.99.1

Scan saved at 02:52:00 p.m., on 06/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\Eagle II USB ADSL Modem\Cable & Wireless USB ADSL Modem\dslmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\De Leon\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\DELEON~1\CONFIG~1\Temp\winlogon.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181338231231

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{2C4F3C55-ACDA-4247-8717-193E0C790BA6}: NameServer = 201.225.225.225,201.224.73.162

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

saludos,

gisela

Mensaje por **msc hotline sat** » 13 Jun 2007, 11:20

Pues efectivamente queda un resto inocuo pero que puede molestar por el mensaje, pues la proxima version del ELITRIIP de hoy, 3.65 , restauraremos la clave en cuestion (no eliminar, cuidado!)

La que podemos eliminar para quitar otros restos inocuos es esta:

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\DELEON~1\CONFIG~1\Temp\winlogon.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y este tarde, a partir de las 20 h GMT, baja la indicada version de ELITRIIP 3.65 y pruebala, tras ello reinicia y ya no deberá salir el mensaje de marras

saludos

ms, 13.06.2007

Giseliz · Mensaje por **Giseliz** » 15 Jun 2007, 01:58

Hola MS

Gracias por tu ayuda pero lastimosamente decidí formatear la pc ya que desde el martes en la noche no pude entrar a internet en ningun modo nada de nada.... es increible la tal cantidad de virus que tenia esa pc segun los infosat....

gracias por todo,

saludos,

gisela

Mensaje por **msc hotline sat** » 15 Jun 2007, 10:25

Pues muerto el perro se acabó la rabia...

Damos por finalizado el Tema y procedemos a cerrarlo

saludos

ms, 15-06-2007