Flush trojan. DNS secuestradas

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Avatar de Usuario
omnius
Mensajes: 6
Registrado: 12 Jun 2007, 12:55
Ubicación: BARCELONA
Contactar:
Contactar omnius

Flush trojan. DNS secuestradas

Mensaje por omnius » 19 Jun 2007, 19:48

Hola.



Un conocido mio me comenta: "intento navegar y me voy a otras paginas" y le digo tendras las dns secuestradas... :)



el caso es que el elistara me lo detecta pero me dice que en el proximo reinicio lo elimina. pero no es asi, se embucla. Cada vez que lo reinicio me lo encuentra



que se puede hacer o que pasos tengo que seguir para poder eliminar este bicho molesto debidamente.



posteo el infosat y el hjt



INFOSAT

*******





Fri May 11 11:17:27 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUME~1\IRENE\CONFIG~1\TEMP\BHZACA.EXE --> LinkOptimizer.B Renombrado a .VIR

C:\WINNT\WEB\RELATED.HTM --> Eliminado

C:\WINNT\SYSTEM32\DMHMQ.EXE --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "BHZACA.EXE"="C:\DOCUME~1\Irene\CONFIG~1\Temp\bhzaca.exe"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.35,85.255.112.65

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri May 11 11:20:24 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Jun 19 16:17:42 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\KERNEL32.EXE --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Jun 19 16:17:57 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Jun 19 16:18:04 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\DMHMQ.EXE --> Acceso Denegado.

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 19 16:59:58 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\DMHMQ.EXE --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 19 17:00:21 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Jun 19 17:16:04 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\DMHMQ.EXE --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 19 17:18:32 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\DMHMQ.EXE --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 19 17:21:08 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\DMHMQ.EXE --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 19 17:23:36 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 19 17:59:35 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\DMHMQ.EXE --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 19 18:21:21 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\DMHMQ.EXE --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 19 18:49:05 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\DMHMQ.EXE --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





Hijathis

******



Logfile of HijackThis v1.99.1

Scan saved at 18:50:19, on 19/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\wdfmgr.exe

C:\WINNT\System32\alg.exe

C:\WINNT\system32\wuauclt.exe

C:\WINNT\system32\wbem\wmiprvse.exe

C:\ARCHIV~1\MOZILLA.ORG\SEAMON~1\SEAMON~1.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINNT\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINNT\system32\Notepad.exe

C:\ARCHIV~1\WinZip\winzip32.exe

C:\DOCUME~1\Irene\CONFIG~1\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Irene\Escritorio\ELISTARA.28062007.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182267372482

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Windows Management Service - Unknown owner - C:\WINNT\system32\dmhmq.exe



Gracias de antemano.

un saludo



Omnius.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 19 Jun 2007, 19:58

Sí, hay un servicio que debes eliminar arrancando en modo seguro y renombrando primero el fichero



C:\WINNT\system32\dmhmq.exe



a extension .VIR, luego volviendo a arrancar en modo seguro y eliminando la clave:



O23 - Service: Windows Management Service - Unknown owner - C:\WINNT\system32\dmhmq.exe





y este fichero C:\WINNT\system32\dmhmq.exe o .VIR, da igual, envianoslo para analizar y controlar en proxima version:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 19-06-2007
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”