Redirecciona paginas WEB (SOLUCIONADO)

[Larry]

Buenas Tardes,

Me pasa algo muy curioso cuando entro en google me sale "Insecure Internet activity. Threat of virus attack" para que compre un antivirus y cuando intento bajarme el ElistarA me sale "http://meds-buy-online.com/" pagina que me vende viagra, da igual que lo busque desde google como si intento barjarlo de la página de zonavirus. Tampoco puedo buscar otros mensajes en el foro porque también me envia a la página de "viagraaa".



Al fina lhe bajado la última versión desde otro ordenador y lo he ejecutado pero sigue dando el mismo problema, también he pasado el AVG v8 pero nada de nada.

Os dejo el informe del hijackthis por si os sirve de opción. Mi sistema operativo es Windows XP 64, porque? porque sigo sin fiarme del Vista y por la memoria que tengo 4G no me vale el XP 32 bits.



Además de todo esto, la navegación me va muuuy lenta.



[i]"Logfile of HijackThis v1.99.1

Scan saved at 18:08:17, on 13/07/2008

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)



Running processes:

E:\PROGRA~2\AVG\AVG8\avgwdsvc.exe

E:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe

E:\Program Files (x86)\Common Files\Microsoft Shared\VS7Debug\mdm.exe

E:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe

E:\WINDOWS\SysWOW64\ctfmon.exe

E:\WINDOWS\RTHDCPL.EXE

E:\WINDOWS\vsnpstd3.exe

E:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe

E:\PROGRA~2\AVG\AVG8\avgtray.exe

E:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe

E:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe

E:\Program Files (x86)\Internet Explorer\iexplore.exe

E:\Program Files (x86)\WinRAR\WinRAR.exe

E:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.031\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files (x86)\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - E:\Program Files (x86)\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: QXK Olive - {B364AADE-53FA-4779-8643-D833B8969F10} - E:\WINDOWS\wbxdpgfedxa.dll

O3 - Toolbar: sqvgnrpx - {88BD6C7F-49B8-4873-AF65-38706E659377} - E:\WINDOWS\sqvgnrpx.dll

O4 - HKLM\..\Run: [AVG8_TRAY] E:\PROGRA~2\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [NBKeyScan] "E:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe"

O4 - Global Startup: Microsoft Office.lnk = E:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{590AAF31-F96C-4B7C-B0A5-DD30DA3BD153}: NameServer = 62.14.2.1,62.14.63.145

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - E:\Program Files (x86)\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: dimsntfy - E:\WINDOWS\SYSTEM32\dimsntfy.dll

O20 - Winlogon Notify: EFS - E:\WINDOWS\SYSTEM32\sclgntfy.dll

O21 - SSODL: fsrpknov - {A0E6E6D9-9B3B-4B60-9D7D-C495D7905852} - E:\WINDOWS\fsrpknov.dll

O21 - SSODL: fdxbameg - {0E25F8AC-3823-4CDA-9B32-5402094D2BA6} - E:\WINDOWS\fdxbameg.dll

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - E:\PROGRA~2\AVG\AVG8\avgwdsvc.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - E:\WINDOWS\System32\dmadmin.exe (file missing)

O23 - Service: Event Log (Eventlog) - Unknown owner - E:\WINDOWS\system32\services.exe (file missing)

O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - E:\WINDOWS\System32\lsass.exe (file missing)

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - E:\WINDOWS\system32\imapi.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - E:\WINDOWS\system32\msdtc.exe (file missing)

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - E:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: Net Logon (Netlogon) - Unknown owner - E:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: NMIndexingService - Nero AG - E:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - E:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - E:\WINDOWS\system32\nvsvc64.exe (file missing)

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - E:\WINDOWS\system32\services.exe (file missing)

O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - E:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - E:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - E:\WINDOWS\system32\sessmgr.exe (file missing)

O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - E:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Virtual Disk Service (vds) - Unknown owner - E:\WINDOWS\System32\vds.exe (file missing)

O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - E:\WINDOWS\System32\vssvc.exe (file missing)

O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - E:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)"[/i]



Espero que podais ayudarme, gracias y saludos.

[msc hotline sat]

Aunque es posible que el HJT no vea las claves donde se esconda este malware, y precisemos que pruebes el SPROCES, de momento envianos estos ficheros sospechosos para analizar, a ver si es suficiente:





E:\WINDOWS\wbxdpgfedxa.dll



E:\WINDOWS\sqvgnrpx.dll



E:\WINDOWS\fsrpknov.dll



E:\WINDOWS\fdxbameg.dll





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 13-07-2008

[msc hotline sat]

Recibidas las muestras solicitadas, resultan ser nueva variante del Adware AGENT BN, el cual pasamos a controlar y eliminar con la version de hoy del ELISTARA 16.71 que vamos a subir a esta web a continuacion, para prubeas de evaluacion:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 15-07-2008

[Larry]

Buenas Tardes,

Paso a postear el fichero Infosat.





[i] Tue Jul 15 19:29:48 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{88BD6C7F-49B8-4873-AF65-38706E659377}" -> E:\WINDOWS\sqvgnrpx.dll

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Tue Jul 15 19:30:03 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\RECYCLER\S-1-5-21-3817186115-790096690-1998986762-500\DE10.DLL --> Eliminado, AdWare.Agent.BN(BHO)

E:\RECYCLER\S-1-5-21-3817186115-790096690-1998986762-500\DE3.DLL --> Eliminado, AdWare.Agent.BN

E:\RECYCLER\S-1-5-21-3817186115-790096690-1998986762-500\DE4.DLL --> Eliminado, AdWare.Agent.BN

E:\RECYCLER\S-1-5-21-3817186115-790096690-1998986762-500\DE5.DLL --> Eliminado, AdWare.Agent.BN(BHO)

E:\RECYCLER\S-1-5-21-3817186115-790096690-1998986762-500\DE6.DLL --> Eliminado, AdWare.Agent.BN(TB)

E:\RECYCLER\S-1-5-21-3817186115-790096690-1998986762-500\DE7.DLL --> Eliminado, AdWare.Agent.BN

E:\RECYCLER\S-1-5-21-3817186115-790096690-1998986762-500\DE8.DLL --> Eliminado, AdWare.Agent.BN

E:\RECYCLER\S-1-5-21-3817186115-790096690-1998986762-500\DE9.DLL --> Eliminado, AdWare.Agent.BN(TB)

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP56\A0007468.DLL --> Eliminado, AdWare.Agent.BN(TB)

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP56\A0007469.DLL --> Eliminado, AdWare.Agent.BN

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP56\A0007470.DLL --> Eliminado, AdWare.Agent.BN(BHO)

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP56\A0007471.DLL --> Eliminado, AdWare.Agent.BN

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP59\A0008652.DLL --> Eliminado, AdWare.Agent.BN

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP59\A0008653.DLL --> Eliminado, AdWare.Agent.BN(TB)

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP63\A0009949.DLL --> Eliminado, AdWare.Agent.BN(BHO)

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP63\A0009950.DLL --> Eliminado, AdWare.Agent.BN

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP63\A0009951.DLL --> Eliminado, AdWare.Agent.BN

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP63\A0009952.DLL --> Eliminado, AdWare.Agent.BN(BHO)

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP63\A0009953.DLL --> Eliminado, AdWare.Agent.BN(TB)

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP63\A0009954.DLL --> Eliminado, AdWare.Agent.BN

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP63\A0009955.DLL --> Eliminado, AdWare.Agent.BN

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP63\A0009956.DLL --> Eliminado, AdWare.Agent.BN(TB)

E:\WINDOWS\FSRPKNOV.DLL --> Eliminado, AdWare.Agent.BN

E:\WINDOWS\WBXDPGFEDXA.DLL --> Eliminado, AdWare.Agent.BN(BHO)



Nº Total de Directorios: 2897

Nº Total de Ficheros: 43526

Nº de Ficheros Analizados: 18106

Nº de Ficheros Infectados: 24

Nº de Ficheros Limpiados: 24[/i]



Gracias y Saludos,

Larry

[msc hotline sat]

Si, pero asegurate con la version de hoy 16.71.



Descarga de nuevo el ELISTARA y pruebalo de nuevo, creo que hay variantes que solo las controlamos a partir de la 16.71



Indiocanos el resultado, gracias



saludos



ms, 15-07-2008

[Larry]

Buenas Noches,

He pasado la última versión e inserto el resultado del fichero InfoSat



Wed Jul 16 21:10:39 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Wed Jul 16 21:11:16 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP63\A0009957.DLL --> Eliminado, AdWare.Agent.BN

E:\System Volume Information\_restore{44F3E876-4B33-4424-8FAA-5F8F2764C7E5}\RP63\A0009958.DLL --> Eliminado, AdWare.Agent.BN(BHO)



Nº Total de Directorios: 3021

Nº Total de Ficheros: 45787

Nº de Ficheros Analizados: 18728

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2





Gracias y Saludos,

Larry

[lucl]

Con lo que tu diras si ya se soluciono el problema y descargate el sp3 pues es importante para que no entren virus muy pesados, saludos

[msc hotline sat]

Y a la vista de los informes y tras lo indicado pro lucl, damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo. ya sabes donde estamos



saludos



ms, 17-07-2008