No me cambia las DNS (SOLUCIONADO)

porma · Mensaje por **porma** » 21 Jun 2007, 14:48

Buenos días,

Tengo un problema en un PC al que no le encuentro solución. A ver si alguien me puede dar algún tipo de pista porque ya me he vuelto loco. Y voy a intentar explicarme para no volveros locos a vosotros.

La máquina en cuestión es un portátil Fujitsu que trabaja tanto en la red del trabajo como en casa. En la red del trabajo no hay ningún tipo de problema. El problema viene en la red de casa y tiene que ver con las DNS. Me explico:

- Cuando el portátil va a casa, cambiamos los datos de la red a mano: ip, máscara, puerta y DNS. Me hace el cambio, me pone bien los datos. Pero... sigue apuntando al servidor DNS del trabajo... :?: :?:

Es decir, si yo hago este cambio y me voy a la consola de ms-dos, tecleo un nslookup y me dice que no ha podido conectar con el servidor DNS y la dirección que me muestra es la del servidor DNS del trabajo

- En el trabajo funciona todo de maravilla. De hecho, cambio las DNS en las propiedades de la conexión de red (por ejemplo pongo 4.4.4.4) y al XP le da igual. Meto un nslookup y me responde correctamente apuntándome al servidor DNS del trabajo... :shock: :shock: :shock:

Alguien sabe si estos datos se quedan en algún lugar concreto del registro?? Si pongo los datos en automático pasa lo mismo. En algún sitio se le ha quedado al sistemas, para siempre, que las DNS son las del trabajo.

Reparaciones de sistema operativo, restauraciones a puntos anteriores y demás no han dado ningún resultado. De momento no me vale formatear, ni cargar imagen, ni instalar de cero...

Un saludo

Mensaje por **msc hotline sat** » 21 Jun 2007, 15:48

Sí, hay virus como el FLUSH o DNSCHANGE que las modifican del registro, y con el CONFGDNS.EXE las cambiamos

pero pruebe el ELISTARA y nos dirá si tiene las DNS maliciosas en el registro:

[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]

saludos

ms, 21-06-2007

porma · Mensaje por **porma** » 21 Jun 2007, 16:36

Voy a probarlo y te digo... Espero que no...

De todas formas, debería detectar esos dos virus el VirusScan Enterprise 8.0 actualizado??

porma · Mensaje por **porma** » 21 Jun 2007, 17:38

Esto es lo que me ha dado:

Thu Jun 21 16:15:23 2007

EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jun 21 16:15:59 2007

EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\GSTools\GSDEL.EXE --> Eliminado, Puper-Is

C:\Archivos de programa\Cognos\cer4\bin\EPENHANCEDCOLLECTION.DLL --> Eliminado, DollarRevenue (dldr)

C:\Archivos de programa\Cognos\cer4\bin\EPFILEHELPER.DLL --> Eliminado, DollarRevenue (dldr)

C:\Archivos de programa\Cognos\cer4\bin\EPXMLHELPER.DLL --> Eliminado, DollarRevenue (dldr)

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert

C:\dev6i\jdk\bin\MATH_G.DLL --> Eliminado, Malware.ASPI

C:\dev6i\jdk\bin\SYSRESOURCE_G.DLL --> Eliminado, Puper-Is

C:\fsc.tmp\1004862_realtek_5_10_0_5200\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\orant\BIN\KG733.DLL --> Eliminado, Malware.ASPI

C:\WINDOWS\Drivers\Audio\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\Drivers\Display\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\WINDOWS\system32\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\WINDOWS\system32\ReinstallBackups\0016\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek

Y el asunto persiste. Puedo ser esto un virus cuando en el trabajo funciona todo a las mil maravillas y en el adsl de casa no??

Mensaje por **msc hotline sat** » 21 Jun 2007, 18:10

Pues tenias de todo menos Flush ! :wink:

Bien te ha ido probar el ELISTARA, pero lo de la configuracion de los servidores DNS no es por virus ni al estilo de lo que hacen los virus.

Y sobre el VirusScan 8.0i, si aun lo usas en lugar del 8.5SP1, recuerda que debes tener aplicados los 15 parches del 8.0i...

Si quieres posteanos log del HJT, no sea que veamos algun proxy que tengas instalado sin saberlo o cualeuir otra cosa, aparte de lo que ya hemos eliminado.

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 21-06-2007

porma · Mensaje por **porma** » 22 Jun 2007, 11:09

Lo del HJT no lo vamos a hacer... No es por no querer. Es que el portátil es corporativo y hay una serie de detalles que lo impiden.

Bueno, el tema ya está solucionado. Tras mucho investigar y ponernos en contacto con Microsoft, hemos descubierto que hay una línea en el registro que no debería existir... :shock:

Es una línea que fuerza a que exista un servidor DNS de manera permanente. Borrando esa línea problema solucionado. Nos hemos decidido porque esa línea no existe en los equipos corporativos en los que hemos mirado. Y, desde hace años, cargamos todos los equipos con la misma imagen (salvando excepciones).

La línea en concreto es ésta:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]

"NameServer"="X.X.X.X. 100.100.100.1"

En los valores X aparece la dirección IP de uno de nuestros servidores DNS. El 100.100.100.1 no tenemos ni idea de lo que es. Ya sólo nos queda la duda de cómo demonios ha llegado eso ahí... Algo de lo que pilló ayer el ELISTARA puede haber provocado esto??

Gracias y un saludo

P.D. La semana que viene empezamos el proceso de cambio a nueva versión del antivirus. De momento estamos con esa porque es realmente complicado, con tanta aplicación y tanto equipo, estar a la última en versión de consola, de agente, de actualizaciones...

Mensaje por **msc hotline sat** » 22 Jun 2007, 12:08

Pues gracias por indicarlo, y efectivamente es por ello que hiciemos el CONFGDNS, y no es lo mismo que cambiar el servidor por el metodo convencional

Pues nos alegramos que se haya solucionado, y en consecuencia procedemos a cerrar el tema

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 22-06-2007