Problemas varios encontrados (en norton, I.E.) (SOLUCIONADO)

[Carloscb]

Hola,



Antes que nada, disculparme si el tema no está bien ubicado ya que en realidad, al ser varias cosas las que quiero comentar, no sabía bien dónde meterlo.



El caso es que he detectado las siguientes deficiencias en mi ordenador portátil:



- Cuando estoy navegando en el explorer, me carga bien la página de inicio pero cuando por ejemplo estoy en el google, busco algo y pincho en el enlace que me interesa, se me abre otra que nada tiene que ver. Lo curioso, es que según los casos, he descubierto que utilizando la opción "abrir en otra ventana", el explorer lo hace sin problemas, pero como ya dije, en otros casos esto no sirve de nada y por tanto me veo obligado a copiar la dirección y pegarla en la barra de direcciones.



- Tras detectar esto, me puse a escanear el ordenador por si había algo extraño. El Spybot pasado en modo seguro y con todas las actualizaciones me detectó 3 o 4 problemas pero me los solucionó sin problemas, aunque el problema seguía existiendo. Luego le pasé el norton antivirus 2005 (que viene con su firewall; norton internet security) totalmente actualizado y....., empieza el "escaneo" bien pero resulta que al poco tiempo se me para tras haber analizado 122 archivos, no me encuentra nada y de fondo me sale una ventana de norton que dice que Norton Antivirus no pudo analizar el equipo en busca de virus porque no se encuentran algunos componentes de Norton Antivirus. Me sugiere ir a la base de conocimientos de Soporte Técnico de Symantec pero no lo he hecho.... Abajo aparece el número 3019.6.



Lo curioso de esto también es que cuando hay un análisis programado de estos que saltan solos, sí te analiza sin problemas el ordenador por completo. Ayer me saltó un análisis de estos y me detectó dos troyanos que los eliminó sin problemas.



Me llama la atención como siempre se para el análisis tras haber comprobado 121, 122 o 123 archivos.



Muchas gracias de antemano. La verdad es que estoy algo perdido y no sé que puede tener el ordenador. Espero su ayuda.

[msc hotline sat]

Por lo que cuentas es el FLUSH o DNSCHANGE o una variante de los mismos.



Prueba el ELISTARA.exe con ELINOTIF.dll :






[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]





saludos



ms, 30-06-2007

[Carloscb]

Este es lo que figura en el txt.



Sat Jun 30 20:30:50 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v14.31

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Eliminado

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Por cierto, al reiniciar, el ordenador no encuentra el archivo svchost, porque como dice el log, se ha eliminado con el EliStart.



Por cierto,.... sigue el mismo problema. envio el archivo de muestras?

[msc hotline sat]

Si:



"Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v14.31 "



pero sigue las instrucciones para el foro:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 30-06-2007

[Carloscb]

Upps, me adelante... Lo mande "a pelo".



Por cierto, es malo que se haya borrado el svchost? He de hacer algo?

[Carloscb]

Se me olvidó comentar que el problema del antivirus también sigue vigente.

[msc hotline sat]

Pues mejor repite el envio tal como indicamos



Y el SVCHOST.EXE que hemos borrado:



"C:\WINDOWS\SVCHOST.EXE --> Eliminado "



no es el de sistema, ya que hubiera estado en C:\windows\system32\ asi que ningun problema !!!



Mira lo que indicamos en su día al respecto:


[quote="msc"]
EXPLICACION SOBRE SVCHOST MALWARE





El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP



Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.



Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...



En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.



Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario



Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares.


[/quote]

saludos



ms, 1-07-2007

[Carloscb]

Ok, ya se envió el archivo según vuestras indicaciones. Aclarado también lo del svchost, pero...., entonces por que cada vez que enciendo ahora el ordenador me salen un par de ventanas en las que se dice que el sistema no es capaz de encontrar el archivo (aunque no sea al svchost bueno)? En concreto sale una primera ventana con:



"Windows no puede encontrar el archivo c:\windows\svchost.exe. Asegúrese de que la ruta y el nombre de archivo estén escritos correctamente y vuelva a intentarlo. Para buscar un archivo, haga clic en el botón inicio y luego en buscar. "



y luego una segunda:



"No se puede cargar ni ejecutar c:\windows\svchost.exe especificado en el registro. Asegúrese de que el archivo existe en el equipo o quite en el registro toda referencia al mismo."

[msc hotline sat]

Claro, porque intenta cargar el gusano, desde el registro, y como que lo hemos movido a c:\muestras, y borrado de c:\windows, no puede, por eso lo hemos hecho.



De momento está aparcado, y mañana cuando monitoricemos el fichero, veremos lo que hace para deshacerlo, pero ahora que se queje, por decir alguna cosa !



Si quiere, postee el log del HJT , a ver si vemos las claves de carga y le decimos cuales eliminar:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 1-07-2007

[msc hotline sat]

Recibida la muestra, resulta estar corrupta y no ser operativa.



No se puede analizar muestras para controlarla en el futuro, pero de entrada bien eliminada está aqui, ya que estando en la carpeta C:\windows\ era un sintoma mas que suficiente para sospechar de ella y eliminarla.



En consecuencia damos por solucionado el Tema y procedemos a cerrarlo



saludos



ms, 3-07-2007