Cadenas de B's en el navegador

Hupre · Mensaje por **Hupre** » 01 Ago 2007, 02:54

Hola, desde hace unos dias me sale una cadena de B's en la parte de arriba de algunas paginas. He probado tanto con Firefox como con IE y me pasa con los dos, la unica diferencia es que con firefox la cadena es de B's y signos de interrogacion y en IE solo es de B's (BBBBBBBBBB???????????, en firefox, BBBBBBBBBBB en IE)

Aparte de eso, parece que el supuesto virus tambien provaca un error en WIndows Update porque desde que me viene pasando eso tampoco me va el WU.

He intentado eliminarlo con Spybot Search and Destroy, el AD-Aware y el Avast antivirus, pero me siguen saliendo esas lineas en el navegador.

Algunas paginas en las que em salen son http://www.paginasamarillas.es, en esta misma pagina http://www.zonavirus.com/ o en google.

¿Alguien sabe de que se trata y como eliminarlo?

Gracias

Edito para dejar el log del HijackThis por si sirve de algo

Logfile of HijackThis v1.99.1

Scan saved at 3:02:12, on 01/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Avast4\aswUpdSv.exe

C:\Archivos de programa\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\ARCHIV~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\RALINK\Common\RaUI.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\PokerOffice\bin\javaw.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Avast4\ashMaiSv.exe

C:\Archivos de programa\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Pedro\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Archivos de programa\Pando Networks\Pando\PandoIEPlugin.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll (file missing)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [POEngine] "C:\Archivos de programa\PokerOffice\POEngine.exe" C:\Archivos de programa\PokerOffice

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Archivos de programa\RALINK\Common\RaUI.exe

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: MANSION - {CD03D14B-0EF6-4f5a-BB81-1ECAFFC676AF} - C:\Archivos de programa\MANSION\Villa\MANSION.exe

O9 - Extra 'Tools' menuitem: MANSION - {CD03D14B-0EF6-4f5a-BB81-1ECAFFC676AF} - C:\Archivos de programa\MANSION\Villa\MANSION.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F3090DC4-BD9D-44FF-BCC7-BF2F9EE9CC3A}: NameServer = 212.145.4.97,212.145.4.98

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Archivos de programa\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)

Hupre · Mensaje por **Hupre** » 01 Ago 2007, 03:24

Queria añadir que dos de mi tres compañeros de piso les ocurre lo mismo.

Aparte de eso, en algunas paginas en lugar de mostrar la cadena de B's arriba y el resto de la pagina con normalidad muestra directamente la dichosa cadena y un monton de simbolos extraños, pero nada de lo que seria la pagina original, por ejemplo esto es una parte de lo que me sale en el navegador si intento entrar en http://www.msn.com

[quote]

BBBBBBBBBBBBBBBBBBBB��

��

��³Qtñw‰pUÈ(ÉÍQuòñtVPÒÕ×7vÖ×w qQˆðñõQ0Ô3P.)ÊL.Ñ×wõSRPÊ())°Ò×///×+7ÖË/J× Ò¯�™bÒeêƒõè¥”¤(ÙÙ€í¨ÈÍ±ÊIÌK·UJÍÓ--VR@á�eóŠm±˜nhii 1dPjbŠMnjI"ÐÝ%º©…¥™e¶JÎùy%©y%º!•©J ÉžRIjE‰>H§µBrFbQqj‰miIš®…’‚>C 2“‹us“RsŒÐ�‹ê*¨–æ—X#¹/3¹(ìÂ¢Ä’Ì¼ôâ2#=e… 9 é©y %E¥© iùE˜Ús‹óô’ós¡ª‹4’«r@DˆÈe@BAT1¤¸$‰×à5)™:þ*.É"Å ½ À-*NLFCŠâ&OÁ@¡ˆË€8GÁ@“„!^+Öx@×Njè“¤K £ë×gžœÌ¼l…¢Ô[¥`ÿ çÐOg`ñQ”šÏÅ0óôÓsò“sô“be†úi‰e™À<ÌCùJ %À\k«”™›˜žª_¡GdÐ¼Ä\ \¿“H0R¶ôó÷w @sIqjbQrÌ¸Ä‚‚œÌd`ìççéç¤æAdSR‹“‹2@¢ÚÀ¨8³$¨Ú'³,U!j�Š@É!(öˆ¡1 JéMAu-’%HNö öS/VHÌÉÑÍÌÓÍÏKUðJå¥–(ä•$æè(”d¤*däç¦*ä§)xä—ä&fÚ|S‹‹SóÒS‹À\'g¿Ôòb·ü …`f ;8'±$UÁ71=±*hvb^ŠBn~QªBf0šsÁÁ P™_ªœLLÊ/-»ì}; ¡ ïÙèC¸6Å%•9©Ðp—¡ÉÅÅJv™¹ ËJ‹r4`¡ƒ”äô“Š€‘«.ÎAô ôK‹3 Êõ@º5ÉÐž_VtX· P-ÐQv6ŠººÑ™i ž®±Ttgf*¦=Ñ©y)™i±ººp;sJ€Ö*˜Q×bS¼6#Rwb(µ�#[/*.FIÎîÀt¬S12Ì%@õúé 5z‰Åhùˆ$›é‘€uy@%Û†Hñl++¢†ï\AÙ´$13/˜ Xd!”SÅ¾ÀÂ¢’°Å¹ e!ErÍJ,K„ˆ*)%ÃÍB*öQ’hV±¾‘[’®—LÞÀ ÖMŠÙ‰)Å†pÃs2“Š‹*õSÐ‡’q -ÔAy¢8#5hpfŠP¤-8ðå2#ý¤œRp&S 0v¾@c<ôB2RsSõ‚SK4ª3S¬àÖê$%§Zá°VIX‚3•Utµ§•ÐR%+%§`]–PÒ jÅá6'+%eÃDs³$s¥ZéE@@Ü‹RAU6N€ê&˜™%š¥@MÈ/J›à_liãsP!ÂˆKsC#S¨E©)`#‚RSðèªBèO26626‚ê/ÏÈëÏÈÖO¸M�ªC˜š’f´·

6¶V“ÈD‹67`mœY•ªç¦¡i]–X¤PPP\’XRZl«î–˜Sœª®“Q�,žmÕ±ä#uâøÄääüR`m!‰9 Y]§*³À¶ºÊJÝÈÂÀÀP]''ÑJÝÄ@ÏÄÀÒÈÉ·R×5Ö3³03R×I¶Rw V¯Õ)(·U÷™˜‘ŸŸmjoYCLSà&)ˆá”ÌLuÉVõyJ0—(!ùZÒãIÊO©´³IÉ,g‚üÜ¼L`öÉÌM‡ä‰’Ät%…òÌ”’[%C`ÖHÍLÏ�¶8€L`ac«„š%I6Y/=3Í>%ÓÖØÄ@-1·Àº ÓÖÜØÐÂ.¶µ065‚pJ l±XJjZbi¤ó«+fIŠ ,võ‹ã“óSRI)vÀ) ¤(19¸ °--Ð¨°ª.�¶*ý€U•Rh°‚G€o°[ˆŸ’NqjQYj‘•,Äu Šò”ÀqáYAû¦`ž±•TØÈJä`# ž¸lÕAÝÝ¼tu{¸ ‚•4ÍiBL·´99¸§–�TŸªÓ§©ì«æå¥æ�3"

°•jIËè!Qž˜Ybed``€lŒ>0A!RUy°&J-6Ys‹]qPÈ•Kát`Åd Œ˜:PŠDâ¤¦æ$-CÒW¬ú€=î"`Ö1S(º"'ÕY8½BU'gdæ¤($*

¤eV•KLFRIf1°Ð�V½„¼ ¬V4”ÀÉ0ÀÝXqZ†€yŽ¶†ÆæfJ:†:†àfŠï‘I¸.öK°ùÇØwÊ,

�úG!9 Õ±).HÌ¥^0E=_…† |ei ñvOa:ÎÕÉšÔÎ&µ6MÍöJáùÈvSôÓRÉ³(µXXÆfd§$B[v!¥© žŽ‚WiN¥‚±¡Ž0¡™Ûè'rŽ±‹ç`7a8)9'[/±$%·ì `0è§çƒ=yÙiE¦À„ F@ ]E©É%ú†úö`# &€º—Àž‘nyf^J~9°6‡vé2 -}ûœüäD`“œåÁ!œŸL!!ñžAñ¹™é Á„ü< +/3¾4§´¬<'#7h¹90Ï%fƒ«7`;Öyu¸ŠŠòòË1$°,…’óPR\aibŠ4”@ª¾Ì

ÉOG$P|YXG€Š<ä%¸8!5 ”Ršƒ)9™Å%FÐdŸ“ “Y‰_ÈÕ„=xœ/µT”Ú¹³Ãáù9�ÉÉD6Hb1 Ø¼…‚vAÁÁú¥90$ÁI2×@˜>2Æê#K¬R(NÍ&"`Ã9Ðn?ÌsÀü�¬!= {7ÿ _Põ�§ŸÜìPj ó m•ìÂS“ýMÈlðˆH1iVx‚õb¨cFš Þ^rŠƒ&Íó*ÇïâŒü‚Pe†ê@‰tãA(ÐÌ`¨âÓYa^"ÂÍÐ0Â \œœ,«ËS“°{œI“RK•ìó±¦WÌäi+Aã5 ‰É ’†˜D§¤›Z’‘´1ÔG‚Zœ™¬¤Ì N¶·2ÒŠ@y¾À.l¸¤§Æ°[€¡÷ s�°®†(³º$ljæ”–€ Ê"UUJÐ!¯B`«Øì¶U27:(±"'5/Ô525�6B““S‹‹³S+m•‚áòˆ0TÀÀì˜Ÿ‘™’’š³J e‰ÀÞ¸ó�gsdõÅ¥I¹™ˆ H*-) ÀAµ@=ô4X#´ô6œ?KòóÍe²¸L6B´@:ÊSs€‘š@‰Xì-›$PËÜ4‡hƒ5°¹%·8Ü-A7THCTb-ÿÀqŸ™ž— †DÑ*Ñ’?°FÉÌCés‹‹ÒìËmË!¦êAº EÅye¶†Nr‰¡¡…©¥±…)DØ¼±5Ñ3Ð345R`±ò['O³(µ §R-«¹Reäå$Í76³Þ�Ú`÷C 0ö}]ãA©è,…Ìm¢Ÿ©ïd¦oläjbæâjdaèhfádéllìæljaäbdjféêóÂ;ËFÀÒ Ö[6•T î²k^Yj°€‡ôdÁ™Ø»ËÏK·ƒ¶ë€YÂ‡çYlu]f."SåÂÆñ¢À†gnª¾}10¾’SAÕKˆ‹§Ÿ7Aÿ™Xè[˜¹›þf&–f.n®†NŽ.fŽN¦nF&–„½—©MtŸÁgHò[n%ÌaÄ8ÛÌÙÅÕÄÀÄÉÄÉÍ'&.FÆ®¦&FF†®„î–™ì~€&G€½Ôâ|PÎWHºµ$´X¤)äæçe³#/V‚&Oðù¾+.HMÎöçážJÌ)È�ÖŽÐA^B`n¡oîìjjnablibáŒ:CcWsKG#` ¸š:“âÿÄ¢¢ür…‚üÌ<Ð8¨vÿRAu%†§ƒý\À¢ü¢JÜ~ÇÛ2Aë4&çç+$ç•˜…I-6¡!“¨R %;G°�Þ´VR”Ì–p=ÈcO@ý™E !™ÉÙ©À6aX!^³KKòñˆfH¯nÐ0Âô+Ù9CÀµ•‚W~Š~ü©*9³¤2½X ›Sp¢E™á 297Xå@Òb^Jj¤i%òt±55434ƒT¸N á§"˜‰±±)Ð`¿˜Î þ�g>`FÀHÙ%¸—ÀRx5�»À9%ð&®’˜µÓ-³$XBáTPâNÖW© *È6aàå(ô]RJ<ò‹òÁÍwH�„g¤æÙBš(Ži¶º†NX0Ð0¥$DgNf°5P™“ ·Ø©(3%=Ôâ€&0˜*Å-J_9-Û—gØ½S¥‹J lëÀ,x§R³æCÔ ƒ†7¤È€4ð9xÊ äE‰ˆœ ª×@ö I0 ,9™ø‚ùøµ”gÂ‡°:@\âãÚxJB2µ7KIT“,0jKà±j&æ(¸‚õƒ€!E0ßÀÃÑÀÑ˜Íô- ,ôíí=œC@=Cp$93(D Ì p· öðp[/quote]

Un saludo

Mensaje por **msc hotline sat** » 01 Ago 2007, 05:00

Pues elimine esta clave:

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll (file missing)

y esta otra, si no usa MySQL, tambien:

O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)

(pero solo si no usa MySQL !!!)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y, tras reiniciar, nos cuenta el resultado, gracias

saludos

ms, 1-08-2007

Hupre · Mensaje por **Hupre** » 01 Ago 2007, 23:28

Hola, gracias por tu respuesta.

Desgraciadamente la cadena de B's sigue apareciendo en mi navegador al entrar en ciertas paginas.

Ayer se me olvido comentar que el virus parece estar durmiendo a ciertas horas durante las cuales el navegador abre todas las paginas de forma normal, y se activa siempre mas o menos a la misma hora, sobre las 23:00 hora de España tanto en mi ordenador como en los de mis compañeros de piso.

¿Alguna idea de que puede ser esto? La verdad es que me tiene bastante mosqueado.

Un saludo

Edito para decir que no he eliminado las entradas de MySQL porque si que lo utilizo.

Claudia34 · Mensaje por **Claudia34** » 01 Ago 2007, 23:33

Pues mientras descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

Saludos.

Mensaje por **msc hotline sat** » 02 Ago 2007, 09:55

Pues del log del HJT no se ve nada mas sospechoso

Veamos, usais todos la misma ADSL supongo, a traves de un router... es inalambrico ???

Os pasa individualmente, es decir, con que haya uno conectado solo ???

Si os pasa hace poco, habeis probado de restaurar sistema a una fecha anterior a la anomalía ???

saludos

ms, 2-08-2007

Patricio Ojeda · Mensaje por **Patricio Ojeda** » 07 Ago 2007, 17:36

yo estoy teniendo igual problema, hemos ejecutado un sniffer tanto en el lciente como el serivor al mismo tiempo y observamos que en servidor servidor sale la siguiente cabecera:

..........-x..E.....@...tB.........P..wc....X=P...g...HTTP/1.1 200 OK..Date: Mon, 06 Aug 2007 22:48:49 GMT..Server: Microsoft-IIS/6.0..X-Powered-By: ASP.NET..Content-Length: 7767..Content-Type: text/html..Cache-control: private....

pero en el cliente llega la siguiente cabecera.

.....0...X....E.....@.~.vB.........P..wc....X=P....i..HTTP/1.1 200 OK..Content-Length: 7876 ..Content-Type: text/html....BBBBBBBBBBBBBBBBBBBB.........................................................................................

de lo que hemos leido y determinado una tercera maquina intrusa esta cambiando esta cabecera atacando una vulnerabilidad.

Mensaje por **msc hotline sat** » 07 Ago 2007, 18:33

Pues como se indica en post anterior, vea si se soluciona restaurando a un punto anterior a dicha anomalia, y nos comneta el resultado, gracias

saludos

ms, 7-0º8-2007

Patricio Ojeda · Mensaje por **Patricio Ojeda** » 07 Ago 2007, 21:36

si tiene toda la razon, pero mi pregunta es como llego a identificar la maquina intrusa, en la red existen con 400 maquinas.

Saludos

POD

Mensaje por **msc hotline sat** » 08 Ago 2007, 08:07

De las 400 maquinas de su empresa ya se cuidará el servicio de mantenimiento informático que tengan contratado, aqui vamos a tratar de saber lo que les pasa a la suya y las de sus otros dos compañeros de piso...

"Queria añadir que dos de mi tres compañeros de piso les ocurre lo mismo"

Pues trate de hacer lo indicado en dichas máquinas y cuentenos el resultado, gracias

Ademas, no vemos posteado el contenido del infosat.txt que debe postearse tras probar cualquiera de nuestras utilidades:

"~~[b]~~[i]Elistara: ...Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt[/i][/b] "

las cuales se recuerda que se permiten probar en este foro, en concepto de evaluacion, pero si no nos postean el resultado, de nada sirve.

Espero que se pueda solucionar con la de Vd y sus amigos, y, si es el caso, extrapolarlo en las de su empresa.

saludos

ms, 8-08-2007

Hupre · Mensaje por **Hupre** » 08 Ago 2007, 19:41

Hola de nuevo. Perdon por no haber contestado antes, pero es que el maldito virus o lo que sea no aparece todos los dias y hasta hoy no habia vuelto a dar signos de vida. Esta tarde otra vez me han vuelto a aparecer las B's en el navegador, pero al contrario que otros dias hoy solo aparecian en mi PC, en los de mis compañeros de piso no, cosa extraña ya que ellos no han hecho nada por solucionarlo, supongo que simplemente el suyo esta en letargo todavia como habia estado el mio hasta ahora. La conexion, tenemos una ADSL por un router pero no inalambrico.

Por otro lado he pasado el Elistara y el Elitriip y el log que me han generado es el siguiente:

Wed Aug 08 19:18:12 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Aug 08 19:18:20 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Aug 08 19:25:31 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Aug 08 19:26:03 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\CS Odessa\ConceptDraw V Professional Trial\CONCEPTDRAWPRO.EXE --> Eliminado, CommanderNET (TB)

C:\Archivos de programa\Steam\steamapps\b0ss62@hotmail.com\counter-strike source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\Steam\steamapps\dmh4@alu.ua.es\counter-strike source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\Steam\steamapps\raichuken\counter-strike source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\MATLAB6p5\help\base\install\mac\INTRO8.HTML --> Eliminado, MalWare.Celular

Wed Aug 08 19:32:06 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Aug 08 19:32:09 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Wed Aug 08 19:32:21 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Aug 08 19:32:24 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

En cuanto a la restauracion del sitema, creo que no puedo usarla porque la tengo siempre desactivada.

Ahora las B's despues de reiniciar no aparecen pero no se si porque el EliTriIP o el Elistara han solucionado el problema o simplemente porque han dejado de aparecer como pasa normalmente y dentro de unas horas o dias volveran a aparecer.

A ver si alguien puede interpretar el log infosat.txt y si no me tocara esperar unos dias a ver que si vuelven a aparecer.

Gracias por vuestra ayuda.

Un saludo

Edito para aclarar que el usuario Patricio Ojeda no es uno de mis compañeros de piso. Supongo que simplemente vio que tenia el mismo problema que yo y posteo aqui. Tambien quiero pedirle que si el descubre como solucionar el problema que lo postee aqui, por favor.

Mensaje por **msc hotline sat** » 09 Ago 2007, 09:32

Queda claro, y centrandonos en su maquina y en la de sus compañeros, en vistas a que tenia bichos pululando, CommanderNet, MoviePass y Celular, y los hemos eliminado, vea que tambien ellos prueben el ELISTARA, por si las moscas...

Wed Aug 08 19:26:03 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\CS Odessa\ConceptDraw V Professional Trial\CONCEPTDRAWPRO.EXE --> Eliminado, CommanderNET (TB)

C:\Archivos de programa\Steam\steamapps\b0ss62@hotmail.com\counter-strike source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\Steam\steamapps\dmh4@alu.ua.es\counter-strike source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\Steam\steamapps\raichuken\counter-strike source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\MATLAB6p5\help\base\install\mac\INTRO8.HTML --> Eliminado, MalWare.Celular

y esperemos que fuera por ello dichas anomalias y se hayan solucionado, pero en cualquier caso mantenganos informados, gracias

Y para el otro usuario, Patricio Ojeda, si bien en su empresa debe recurrir a los servicios tecnicos contratados al respecto, comprueben que no tengan en ellos ni MoviePass ni Celular, lo cual debería controlarlo el antivirus que tuvieran instalado...

Solo para evaluacion, al no tener contratados los servicios de SATINFO, prueben en alguna máquina que "navegue" el ELISTARA y vean en el C:\infosat.txt el resultado, y si detecta algo, ABRA NUEVO TEMA AL RESPECTO con el titulo de MALWARE EN RED DE 400 ORDENADORES aparte de este, que se centra en tres ordenadores particulares.

saludos

ms, 7-08-2007