Problemas con Proxy

[BlackStar]

Los sintomas que presenta mi maquina son la velocidad lenta de la conexion a internet, y creo que es debido a este troyano que no se como eliminar, puesto que cuando le coloco en cuarentena con el AVG me quedo sin conexion :S



necesito ayuda plz que seria terrible tener que formatear



Bueno tengo alunas sospechas pero no quiero intentar nada si antes consultar con ustedes



aqui dejo el log del HJT







Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 22:45:04, on 16/03/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\DNA\btdna.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

E:\Programas Hack\HiJackThis_v2.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: 167.28.132.210 NTPROD

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Archivos de programa\DNA\btdna.exe"

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunServices: [] zzcatQQ.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunServices: [] zzcatQQ.exe (User 'Default user')

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O10 - Unknown file in Winsock LSP: rsvp32_2.dll

O10 - Unknown file in Winsock LSP: rsvp32_2.dll

O10 - Unknown file in Winsock LSP: rsvp32_2.dll

O10 - Unknown file in Winsock LSP: rsvp32_2.dll

O10 - Unknown file in Winsock LSP: rsvp32_2.dll

O10 - Unknown file in Winsock LSP: rsvp32_2.dll

O14 - IERESET.INF: START_PAGE_URL=intranet

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB133D3-EA24-45BB-84B0-4B10ED493447}: NameServer = 85.255.113.133 85.255.112.140

O17 - HKLM\System\CCS\Services\Tcpip\..\{D2FD70E8-51B0-4C2A-8D09-B59205610FCB}: NameServer = 85.255.113.133,85.255.112.140

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2928755-E5A0-4A10-B64C-DCA8DA95D2FE}: NameServer = 85.255.113.133,85.255.112.140

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.133 85.255.112.140

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.133 85.255.112.140

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.133 85.255.112.140

O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\guard.tmp (file missing)

O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\ktrsl7971.dll

O21 - SSODL: rdshost32 - {9D999987-C523-4A8A-8E28-2C111AD5B67B} - kevhost32.dll (file missing)

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Actualizacion de Aplicaciones (MSI/PWC) (ActServices) - Unknown owner - d:\ActServices\actservices.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MCSII ECO - Unknown owner - C:\MCSII\System\eco32.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)

O23 - Service: NTFS Crypto Technology (NTFSCrypt) - Unknown owner - C:\WINDOWS\system32\ntfscrypt.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

O23 - Service: SysEnforce - Unknown owner - C:\ARCHIV~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing)

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe



--

End of file - 10625 bytes

[msc hotline sat]

Pues renombra este fichero a extension .VIR:



"C:\Archivos de programa\DNA\btdna.exe"







y elimina estas claves:



O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)



O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)



y envianos este fichero para analizar:



zzcatQQ.exe (Buscalo con un Inicio -> Buscar-> Todos los ficheros y carpetas)





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y tienes configurados como servidores de DNS, estos maliciosos de Ukraina, mira con el ELISTARA a ver si no tienes algun DNSCHANGE o similar:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y por ultimo, lanza el LPSFIX:



· [url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-Fix[/b][/url] (Español)



Tras recibir la muestra solicitada, la analizaremos e informaremos.





saludos



ms, 17-03-2008

[BlackStar]

Priemro que nada gracias por la rapida atencion de mi caso





tengo algunas dudas con lo de mi log del HJT. Tengo entendido que los 010 y el archivo rsvp32_2.dll tienen que ver con algo malicioso, pero no quiero intentar nada sin antes consultar con ustedes :P



Aqui dejo el log del Elistara



Mon Mar 17 01:53:29 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SIDEBYSIDE]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\KTRSL7971.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

D:\Configuraciones y Documentos\mauricio\Favoritos\Online Security Test.url --> Eliminado (Fichero Complementario).

D:\Configuraciones y Documentos\All Users\Menú Inicio\Online Security Guide.url --> Eliminado (Fichero Complementario).

D:\Configuraciones y Documentos\All Users\Menú Inicio\Security Troubleshooting.url --> Eliminado (Fichero Complementario).

Eliminada Class, "{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}" -> NULL1

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.133 85.255.112.140

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.symantec.com

Linea Eliminada del HOSTS --> 0.0.0.0 securityresponse.symantec.com

Linea Eliminada del HOSTS --> 0.0.0.0 symantec.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.sophos.com

Linea Eliminada del HOSTS --> 0.0.0.0 sophos.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.mcafee.com

Linea Eliminada del HOSTS --> 0.0.0.0 mcafee.com

Linea Eliminada del HOSTS --> 0.0.0.0 liveupdate.symantecliveupdate.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.viruslist.com

Linea Eliminada del HOSTS --> 0.0.0.0 viruslist.com

Linea Eliminada del HOSTS --> 0.0.0.0 viruslist.com

Linea Eliminada del HOSTS --> 0.0.0.0 f-secure.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.f-secure.com

Linea Eliminada del HOSTS --> 0.0.0.0 kaspersky.com

Linea Eliminada del HOSTS --> 0.0.0.0 kaspersky-labs.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.avp.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.kaspersky.com

Linea Eliminada del HOSTS --> 0.0.0.0 avp.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.networkassociates.com

Linea Eliminada del HOSTS --> 0.0.0.0 networkassociates.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.ca.com

Linea Eliminada del HOSTS --> 0.0.0.0 ca.com

Linea Eliminada del HOSTS --> 0.0.0.0 mast.mcafee.com

Linea Eliminada del HOSTS --> 0.0.0.0 my-etrust.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.my-etrust.com

Linea Eliminada del HOSTS --> 0.0.0.0 download.mcafee.com

Linea Eliminada del HOSTS --> 0.0.0.0 dispatch.mcafee.com

Linea Eliminada del HOSTS --> 0.0.0.0 secure.nai.com

Linea Eliminada del HOSTS --> 0.0.0.0 nai.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.nai.com

Linea Eliminada del HOSTS --> 0.0.0.0 update.symantec.com

Linea Eliminada del HOSTS --> 0.0.0.0 updates.symantec.com

Linea Eliminada del HOSTS --> 0.0.0.0 us.mcafee.com

Linea Eliminada del HOSTS --> 0.0.0.0 liveupdate.symantec.com

Linea Eliminada del HOSTS --> 0.0.0.0 customer.symantec.com

Linea Eliminada del HOSTS --> 0.0.0.0 rads.mcafee.com

Linea Eliminada del HOSTS --> 0.0.0.0 trendmicro.com

Linea Eliminada del HOSTS --> 0.0.0.0 pandasoftware.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.pandasoftware.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.trendmicro.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.grisoft.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.microsoft.com

Linea Eliminada del HOSTS --> 0.0.0.0 microsoft.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.virustotal.com

Linea Eliminada del HOSTS --> 0.0.0.0 virustotal.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.zango.com

Linea Eliminada del HOSTS --> 0.0.0.0 zango.com

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 17 01:54:52 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Autodesk Shared\IEPCXWR80.DLL --> Infectado, Puper-Isf

C:\WINDOWS\SOUNDMAN.EXE --> Infectado, SpyRealtek

C:\WINDOWS\system32\P2SSQL.DLL --> Infectado, Puper-Is



Nº Total de Directorios: 2256

Nº Total de Ficheros: 25266

Nº de Ficheros Analizados: 8303

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Mon Mar 17 02:10:47 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 18

Nº Total de Ficheros: 103

Nº de Ficheros Analizados: 61

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Sistema Infectado por el LOOK2ME

Sistema Infectado por el LOOK2ME

Sistema Infectado por el Flush o DNSChanger

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Mon Mar 17 10:33:30 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SIDEBYSIDE]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\KTRSL7971.DLL

a "virus@satinfo.es". Gracias.

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.133,85.255.112.140

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el LOOK2ME

Sistema Infectado por el LOOK2ME

Sistema Infectado por el Flush o DNSChanger

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)





el LSP FIX no se bien como usarlo a pesar de leer el tutorial. Dejo una cap, pues no se me ocurre nada mas :/



[url=http://imageshack.us][img]http://img444.imageshack.us/img444/9886/lspfixzo3.jpg[/img][/url]





y el archivo zzcatQQ.exe no lo pude hallar, seguire buscando, mientras se esclarece algo con estos logs





gracias, un saludo

[msc hotline sat]

PUES ENVIANOS LA MUESTRA QUE SE INDICA:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\KTRSL7971.DLL



y ya ves que tienes configurados unos servidores de DNS sospechosos de Ukraina:



Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.133 85.255.112.140:



85.255.113.133 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.

85.255.112.140 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



y te indica:



No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



pues procede en consecuencia:



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Y cuando recibamos el fichero msolicitado, lo analizaremos e infomaremos



saludos



ms, 17-03-2008





NOTA: y con el HOSTS que tenía poco podía navegar a las URL indicadas... ms.

[BlackStar]

me doy cuenta de ello claramente msc, tal y como señalaste :o





bueno el fichero pedido [ KTRSL7971.DLL ] ya lo habia enviado olvide mencionarlo antes :wink:





Procedo a pasar el Elistara con el EliNotif e informare de los resultados a la brevedad





Un saludo y gracias nuevamente

[BlackStar]

bueno pase el Elistara con EliNotif y elimino algunas cosas luego de reiniciar como el DNS Changer y el LOOK2ME, aunque presiento que los problemas persisten. Enviare la muestra al mail de lo que me arrojo el Elistara y dejo el ultimo log aqui





Mon Mar 17 11:45:40 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Autodesk Shared\IEPCXWR80.DLL --> Eliminado, Puper-Isf



Nº Total de Directorios: 1287

Nº Total de Ficheros: 12928

Nº de Ficheros Analizados: 3144

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Exploración Detenida por el Usuario.

Sistema Infectado por el LOOK2ME

Sistema Infectado por el LOOK2ME

Sistema Infectado por el Flush o DNSChanger

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Look2Me

Elininada KEY "Winlogon\Notify\RUNONCEEX"

Detectado Look2Me

C:\WINDOWS\system32\ktrsl7971.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\SIDEBYSIDE"

Detectado Flush o DNSChanger

Desinstalado EliNotif.dll



Mon Mar 17 11:57:57 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\KDOET.EXE.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KDOET.EXE --> Eliminado

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.133,85.255.112.140

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Pues ya ves que te pedimos que nos envies otra muestra:



C:\Muestras\KDOET.EXE.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.



como siempre:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 17-03-2008

[BlackStar]

Envie nuevamente las muestras pedidas, el KDOET.EXE y KTRSL7971.DLL, espero ahora si este correcto



:)

[msc hotline sat]

y para cambiar las IP de los servidores DNS, puedes probar el CONFGDNS:


[quote]
Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp





Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas[/quote]

saludos



ms, 17-03-2008

[BlackStar]

tengo algunas dudas acerca del CONFGDNS.EXE :



Mi ISP me ha recomendado una DNS primaria y una secundaria, las listo a continuacion en orden:





200.28.4.129

200.28.4.130





ahora, el CONFGDNS.EXE me detecta 5 Interfaces, y es ahi donde me surge la duda, no se cuales son las que debo cambiar para solucionra le problema de DNS



Interface 1 : "85.255.113.133,85.255.112.140"

Interface 2 : " "

Interface 3 : " "

Interface 4 : "85.255.113.133,85.255.112.140"

Interface 5 : "85.255.113.133,85.255.112.140"





PD: el Proxy. Agent.mc que me estaba detectando el AVG ya no aparece mas, eso parece estar solucionado :)







un saludo

[BlackStar]

perdon por doblepostear, pero me salta la duda..



mi DNS deberia ser asi?



"200.28.4.129,200.28.4.130"



ahora, mi duda tambien es ¿cual(es) debo reemplazar? :?

[msc hotline sat]

Si los que quieres usar son de este ISP de Chile:



200.28.4.129 CL Chile 12 Region Metropolitana Santiago -33.4500 -70.6667 Terra Networks Chile S.A. Terra Networks Chile S.A.



200.28.4.130 CL Chile 12 Region Metropolitana Santiago -33.4500 -70.6667 Terra Networks Chile S.A. Terra Networks Chile S.A.



Pon cualquiera de los dos en el CONFGDNS o incluso las dos separadas por la coma, para que haya un principal y uno secundariuo



y hemos recibido la muestra que pasamos a controlar como nueva variante del FLUSH con la nueva version del ELISTARA 15.88 que subiremos en pocos minutos



saludos



ms, 17-03-2008

[BlackStar]

El proveedor de internet que señala es exactamente el mio :wink: lo cual me asegura que son las ISP correspondientes. Ahora, he tenido una pequeña complicacion con este ultimo paso del CONFGDNS. Inicialmente me arrojo 5 interfaces, y con la DNS procedi a cambiar del siguiente modo:





Interface 1 : "85.255.113.133,85.255.112.140" por > "200.28.4.129,200.28.4.130"

Interface 2 : " "

Interface 3 : " "

Interface 4 : "85.255.113.133,85.255.112.140" por > "200.28.4.129,200.28.4.130"

Interface 5 : "85.255.113.133,85.255.112.140" por > "200.28.4.129,200.28.4.130"





El problema lo observe al desconectarme y conectarme a internet. Al desconectarme, y con el CONFGDNS abierto, desaparecen las DNS logicamente, pero al volver a conectarme, en la Interface 1 me vuelve a aparecer la IP maligna, y las demas IPs se mantienen como las modifique.



Interface 1 : "85.255.113.133,85.255.112.140"

Interface 2 : " "

Interface 3 : " "

Interface 4 : "200.28.4.129,200.28.4.130"

Interface 5 : "200.28.4.129,200.28.4.130"



:roll:



saludos.

[msc hotline sat]

Como que tienes las otras buenas, lanza el HJT y das FIX CHECKED a la del 85...

y tras reiniciar nos comentas el resultado, gracias



saludos



ms, 18-03-2008

[msc hotline sat]

Hemos vuelto a recibir las muestras, cuando ya deben ser controladas y eliminadas por el ELISTARA de ayer, como informabamos en:



ELISTARA



---v15.88-(17 de Marzo del 2008) (Muestras de (4)Vundo5, (2)DownLoader.ConHook "*****.DLL", Flush o DNSChanger "KDOET.EXE", Look2Me "KTRSL7971.DLL", AdWare.Agent.BN "ALTVXVM, BOKPKOV y DRNPFDXRQV.DLL", Dropper.Agent.FTU "TMP*******.EXE" y Corregida Falsa Detección con "ATIPRBXX.EXE" Driver de Ati)





Descarga la version actual y posteanos el infosat,txt, gracias



saludos



ms, 18-03-2008

[BlackStar]

bueno los problemas persisten... Le di Fix Checked a las entradas de la IP 85... y nada reinicio pero vuelven a aparecer en el CONFGDNS :(



Ayer hice analisis con el kaspersky online y me arrojo algunas cosas, pego el log aqui tambien





lunes, 17 de marzo de 2008 22:05:56

Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 17/03/2008

Registros en la base antivirus: 574463

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\

G:\

Estadísticas

Número de objeros analizados 32049

Virus encontrados 2

Objetos infectados 3 / 0

Objetos sospechosos 0

Duración del análisis 01:15:10



Bombre del objeto infectado Nombre del virus Última acción

C:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP912\A0678461.dll Infectados: Trojan-Proxy.Win32.Agent.mc saltado

C:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP936\A0711052.exe Infectados: Trojan.Win32.DNSChanger.apn saltado

C:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP936\change.log Object is locked saltado

C:\WINDOWS\$NtUninstallKB833987$\sxs.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\callcont.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\cmdevtgprov.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\evtgprov.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\h323.tsp Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\helpctr.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\msgina.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\mst120.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\schannel.dll Object is locked saltado

C:\WINDOWS\CSC\00000001 Object is locked saltado

C:\WINDOWS\Debug\oakley.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\rsvp32_2.dll Infectados: Trojan-Proxy.Win32.Agent.mc saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

D:\Configuraciones y Documentos\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

D:\Configuraciones y Documentos\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

D:\Configuraciones y Documentos\All Users\Datos de programa\Symantec\Common Client\settings.dat Object is locked saltado

D:\Configuraciones y Documentos\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

D:\Configuraciones y Documentos\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

D:\Configuraciones y Documentos\LocalService\NTUSER.DAT Object is locked saltado

D:\Configuraciones y Documentos\LocalService\NTUSER.DAT.LOG Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\ApplicationHistory\acad.exe.4e42c56f.ini.inuse Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\teban1@hotmail.com\real\members.stg Object is locked saltado.



Y bueno pase el ElistarA nuevamente, aqui pongo el log. Me elimino algunas cosas, pero no se si eliminar SOUNDMAN.EXE (el cual creo es un controlador de la tarjeta de sonido) ni el P2SSQL.DLL. Dejo la inquietud



Mon Mar 17 18:13:05 2008

EliStartPage v15.88 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.133 85.255.112.140

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 17 18:13:12 2008

EliStartPage v15.88 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\KDOET.EXE.MUESTRA ELISTARTPAGE V15.87 --> Eliminado, Flush(dldr)

C:\WINDOWS\SOUNDMAN.EXE --> Infectado, SpyRealtek

C:\WINDOWS\system32\P2SSQL.DLL --> Infectado, Puper-Is

C:\WinLogon\KTRSL7971.DLL --> Eliminado, Look2Me



Nº Total de Directorios: 2367

Nº Total de Ficheros: 27513

Nº de Ficheros Analizados: 10023

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 2



un saludo. :wink:

[msc hotline sat]

Sï, es rara la deteccion del SOUNDMAN.EXE, podría tratarse de un falso positivo, envianos el fichero indicando POSIBLE FALSO POSITIVO y lo analizaremos:



https://foros.zonavirus.com/viewtopic.php?f=5&t=19441



De la misma forma, tambien envianos la siguiente muestra por similar cuestion:



C:\WINDOWS\system32\P2SSQL.DLL







y este otro, sospechoso en este caso, envianoslo para analizar:



C:\WINDOWS\system32\rsvp32_2.dll





y vemos que en el RESTORE tienes bichos, que restaurarían el virus si procedieras a una restauraucion de sistema, por lo que conviene tenerlo presente para no hacerlo o eliminarlos de allí !





C:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP912\A0678461.dll



C:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP936\A0711052.exe



Para acceder a ellos debes desactivar la restauracion de sistema y arrancar en modo seguro, si quieres envianos las muestras para controlarlas y elimina dichos ficheros.



saludos



ms, 19-03-2008







NOTA: Prueba tambien el ELISTARA, que igual ya conoce estos ficheros del RESTORE y te los elimina directamente:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



ms.

[BlackStar]

tuve algunos problemas para enviar todos los ficheros posibles falsos positivos, sobre todo con el rsvp32_2.dll, el cual GMail no me permitia enviar pq contenia virus :P



Bueno finalmente pude enviarlos todos, ojala se halle algo mas.



Y ademas pase el elistara a ver si me borraba los RESTORE que me arrojo el kaspersky online. No pasa nada, solo detecta los otros dos ficheros, del rsvp32_2.dll ni hablar



pego el infosat





Wed Mar 19 10:23:35 2008

EliStartPage v15.88 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.133 85.255.112.140

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 19 10:23:45 2008

EliStartPage v15.88 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\SOUNDMAN.EXE --> Infectado, SpyRealtek

C:\WINDOWS\system32\P2SSQL.DLL --> Infectado, Puper-Is



Nº Total de Directorios: 2257

Nº Total de Ficheros: 25786

Nº de Ficheros Analizados: 8757

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0









un saludo.

[msc hotline sat]

Si te lo paraba el antivirus es que no era muy falso positivo, sino bicho de verdad... :wink:



Por ello decimos que se empaqueten con password, ya que al cifrarlo con codigo VIRUS , los antivirus no pueden mirar lo que hay dentro del pasquete, y asi nos llegan y podemos analizarlos:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



A ver si llegan a nuestras manos pronto y los podemos incluuir en las monitorizaciones de hoy, que nos vamos de Semana Santa hasta el martes que vieneeeeee !





No sé en Chile, pero aqui en Catalunya se celebra la Semana Santa incluyendo el proximo Lunes de Pascua.



Recuerdo que cuando estuve en Santiago tambien teniais muchos dias "feriados" como deciis por acá, asi que no me extrañaría que tambien hicierais unos cuantos dias de fiesta ahora ???



saludos



ms, 19-03-2008



Y hoy San José, dia del padre, felcidades si es el caso.



ms.

[BlackStar]

aww seria terrible pasar un findesemana mas con este problemilla :S

estare todo lo atento posible para responder cuanto antes a cualquier solicitacion

me cerciore tambien de haber enviado correctamente los mails, creo que esta todo en orden, ahora espero alguna via de accion.



saludos.

[BlackStar]

jejeje claro que hay varios dias "feriados" como dices y no estare mucho en casa, pero este problema ya me lo he tomado a la personal y al menos estoy luchando (bueno, ustedes luchan y yo hago lo que dicen :P )



tenemos solo 3 dias de fiesta, pero algo es algo y se agradece :wink:





saludos y felices pascuas

[msc hotline sat]

Acaba de entrar la muestra que nos has enviadp del rsvp32_2.DLL, el cual en un analisis previo ha sido calificado como malware.



Pasa a I+D para ser monitorizado e implementaremos su control y eliminacion del mismo y de los ficheros y claves anexas en nuestras proximas utilidades de hoy, de lo cual informaremos



saludos



ms, 19-03-2008

[msc hotline sat]

Llegados tambien los dos ficheros supuestamente falsos positivos, se procde a su exclusion buscando que las cadenas que detectan al malware no las contengan estas muestras.



En el ELISTARA de hoy se intentará que estén sustituidas



saludos



ms, 19-03-2008

[BlackStar]

bueno despues de hecho el analisis con el ElistarA 15.90 y tras haber eliminado el Proxy.Agent :P

me entra la siguiente pregunta:



¿eran SOUNDMAN.EXE y p2ssql.dll falsos positivos?



¿que debo hacer con ellos?



dejo el log del elistara a continuacion :wink:







Wed Mar 19 22:31:52 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.133 85.255.112.140

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 19 22:31:59 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\RSVP32_2.DLL --> Eliminado, Proxy-Agent.O



Nº Total de Directorios: 2376

Nº Total de Ficheros: 27950

Nº de Ficheros Analizados: 10034

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Digamos que eran sospechosos, por la monitorizacion de aplicaciones, pero que al no ser maliciosos, hemos excluido su deteccion.



Pero ojo con tus servidores de DNS !!!:



en el infosat aparece:



[b][i]"Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.133 85.255.112.140"[/i][/b]



Son unos conocidos servidores maliciosos de Ukraina que hay troyanos que los introducen en el registro para redirigir el trafico a traves de ellos, y poder llevarte al huerto...


[quote]85.255.113.133 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



85.255.112.140 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd. [/quote]

Pero revisando el Tema, veo que esto ya lo dijimos al principio y quedamos que eliminarias la ultima clave al respecto ya que en las demas ya lo habias hecho.



Si no lo hiciste, lanza el HJT, marca la que contenga estas IP y pulsa FIX CHECKED.



Si tras ello persiste, puede que tengamos algun hijo de los visitantes que tuviste y dimos por eliminados...



Pruebalo de nuevo e informanos del resultado, gracias



saludos



ms, 20-03-2008

[BlackStar]

bueno aquello de la IP lo hice como se me indico, e informe que apenas me conectaba y desconectaba fisicamente de internet la IP se me renovaba por la maligna a pesar de haber dado 'Fix Checked' en el HJT. Cuando boroo la DNS de Ukraine, me quedan solo 4 IPS de las 5 anteriores, las cuales parecen estar en orden, todo OK. Pero al reiniciar la conexion a internet, la DNS mala vuelve a aparecer a pesar de haberla borrado con el HJT :?



Creo que me pude haber expresado mal con respecto a esto, pero asi es lo que me sucede





dejo el log del HJT



Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 10:44:54, on 20/03/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

E:\Programas Hack\HiJackThis_v2.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = msproxy.bech.cl:7070

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 167.28.132.210 NTPROD

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunServices: [] zzcatQQ.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunServices: [] zzcatQQ.exe (User 'Default user')

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O14 - IERESET.INF: START_PAGE_URL=intranet

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB133D3-EA24-45BB-84B0-4B10ED493447}: NameServer = 85.255.113.133 85.255.112.140

O17 - HKLM\System\CCS\Services\Tcpip\..\{D2FD70E8-51B0-4C2A-8D09-B59205610FCB}: NameServer = 200.28.4.129,200.28.4.130

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2928755-E5A0-4A10-B64C-DCA8DA95D2FE}: NameServer = 200.28.4.129,200.28.4.130

O21 - SSODL: rdshost32 - {9D999987-C523-4A8A-8E28-2C111AD5B67B} - kevhost32.dll (file missing)

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Actualizacion de Aplicaciones (MSI/PWC) (ActServices) - Unknown owner - d:\ActServices\actservices.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MCSII ECO - Unknown owner - C:\MCSII\System\eco32.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)

O23 - Service: NTFS Crypto Technology (NTFSCrypt) - Unknown owner - C:\WINDOWS\system32\ntfscrypt.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

O23 - Service: SysEnforce - Unknown owner - C:\ARCHIV~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing)

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe



--

End of file - 9298 bytes



saludos.

[msc hotline sat]

Pues debe haber un Flush o DNSCHANGE no conocido oculto por ahí, que vuelve a instalar dicha clave. Envienos estos ficheros sospechosos y los analizaremos





zzcatQQ.exe



d:\ActServices\actservices.exe



C:\Archivos de programa\Network Monitor\netmon.exe (este puede estar oculto)



O23 - Service: NTFS Crypto Technology (NTFSCrypt) - Unknown owner - C:\WINDOWS\system32\ntfscrypt.exe





y el primero tiene muchos numeros:



http://fileinfo.prevx.com/spyware/qq75c534358190-ZZCA22017599/ZZCATQQ.EXE.html



Aparte de enviarnoslo, renoimbra su extension a .VIR para que en el proximo arranque no se pueda poner en marcha...



Y tras analizarlos, informaremos



saludos



ms, 20-03-2008

[BlackStar]

me ha resultado imposible encontrar algunos archivos. Voy por parte.



zzcatQQ.exe no lo hallo con un simple buscar por todos los archivos y carpetas. He debido ir al registro para ver de que se trata este archivo, aunque se que no ayuda de mucho y que debo localizarlo fisicamente :( No se que hacer para encontrarlo :/



[img]http://img296.imageshack.us/img296/2503/zzcatqqtl0.png[/img]





actservices.exe lo he logrado encontrar, mande la muestra al mail :wink:





netmon.exe, por mas que pongo en la carpeta Network Monitor "Mostrar archivos ocultos" me dice que no tiene ningun contenido y que no ocupa espacio en disco. Dejo otra cap del regedit que fue lo unico que consegui. :(



[img]http://img181.imageshack.us/img181/1435/netmonbd8.png[/img]



y con el ntfscrypt lo mismo, no se halla en la carpeta system32 :/





[img]http://img179.imageshack.us/img179/7154/ntfscrypteu2.png[/img]







sin embargo tengo dudas, como siempre :P



¿no seran falsas ubicaciones, puesto que aun dejando ver los archivos ocultos no aparecen?



Siento no haber encontrado los archivos, soy demasiado novato en esto, pero trato de aprender y estan ustedes para ayudarme por suerte!

saludos.

[BlackStar]

!!!



con la utilidad TreeSize logre entrar a la carpeta oculta System Volume Information, de la cual el kaspersky online me habia arrojado una fuente de sospecha

pongo un log de un analisis focalizado en esa carpeta





jueves, 20 de marzo de 2008 20:04:41

Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 20/03/2008

Registros en la base antivirus: 584508

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Carpetas

C:\System Volume Information\

Estadísticas

Número de objeros analizados 31

Virus encontrados 1

Objetos infectados 1 / 0

Objetos sospechosos 0

Duración del análisis 00:00:02



Bombre del objeto infectado Nombre del virus Última acción

C:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP1\A0000001.dll Infectados: Trojan-Proxy.Win32.Agent.mc saltado

C:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP1\change.log Object is locked saltado

Análisis completado.





y bueno he dado con el archivo A0000001.dll, lo envio como muestra ahora puesto que a mi parecer es lo unico que queda del Proxy.Agent :P



ahh bueno, el otro archivo que parece ser los vestigios del DNS Changer esta bloqueado y no se que hacer para localizarlo :cry:





saludos.

[flacoroo]

he visto que tienes en tu windows


[quote="BlackStar"]jueves, 20 de marzo de 2008 20:04:41

Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)[/quote]

se te recomienda que instales el SP2 de windows XP ya que te faltan parches y creo que por ahi va tu problema tambien