ataque dos

[cabekpao]

Hace algun tiempo tengo ataques de denegacion de servicio.tengo Alphashield y antivirus panda + firewall.Hace unos dias tengo ataques de denegacion de servicio que mi panda bloquea.Ya hice varios scaneos tanto de antivirus como antyspiware y no tengo nada pero me siguen saliendo esos intentos.tengo el spybot Search and destroy y el espyreblaster

y intentos de ataque 7 u 8 al dia.no me hacen nada pero pueden o podrian hacer algo?solo era esa cuestion. Gracias.

[msc hotline sat]

Si tiene instalado un alphashield, estas denegaciones no son intrusiones via IP, sino que puede tener un malware en el ordenador que le esté incordiando.

Pruebe el SPROCES y posteenos el informe resultante:

SPROCES.EXE (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT

lo analizaremos e informaremos al respecto.

saludos
ms, 26-07-2008

[cabekpao]

No me cabe tanto archivo aquí. Que hago los comprimo y lo mando así o que?

[msc hotline sat]

Debe ser que tienes las pesadas entradas del spybot con 127.0.0.1...

Anexalo a tu proximo post de respuesta a este Tema, ya lo editaré yo quitandole estas entradas, si es el caso.

saludos
ms, 26-07-2008

[cabekpao]

Sat Jul 26 18:07:56 2008
SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA ANTIVIRUS + FIREWALL 2008\PAVSRV51.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA ANTIVIRUS + FIREWALL 2008\AVENGINE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIV~1\WINTV\EPG SERVICES\SYSTEM\EPGSERVICE.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA ANTIVIRUS + FIREWALL 2008\PSCTRLS.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA ANTIVIRUS + FIREWALL 2008\PAVFNSVR.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\PANDA SOFTWARE\PAVSHLD\PAVPRSRV.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA ANTIVIRUS + FIREWALL 2008\FIREWALL\PSHOST.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA ANTIVIRUS + FIREWALL 2008\PSIMSVC.EXE
C:\ARCHIVOS DE PROGRAMA\SITEADVISOR\6261\SASERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA ANTIVIRUS + FIREWALL 2008\TPSRV.EXE
C:\ARCHIVOS DE PROGRAMA\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\CORE\SMAX4PNP.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA ANTIVIRUS + FIREWALL 2008\APVXDWIN.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\WEBROOT\SPY SWEEPER\SPYSWEEPERUI.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\WEBROOT\SPY SWEEPER\SSU.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA ANTIVIRUS + FIREWALL 2008\WEBPROXY.EXE
C:\ARCHIVOS DE PROGRAMA\SITEADVISOR\6261\SITEADV.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE
C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
C:\DOCUMENTS AND SETTINGS\PROPIETARIO\ESCRITORIO\ANTIBICHOS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1	vorlagenonline.com
O1 - Hosts: 127.0.0.1	www.webscweb-scannerfree.com
O1 - Hosts: 127.0.0.1	webscweb-scannerfree.com
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [TABS] Tabbed Browsing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C26646B3-CF62-4097-BB59-307153C655A1}: NameServer = 194.179.1.100,194.179.1.101
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll
O20 - Winlogon Notify: AVLDR - AVLDR.DLL
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: WRNOTIFIER - WRLOGONNTF.DLL
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Panda CPoint Driver (cpoint) - Panda Software - C:\WINDOWS\SYSTEM32\Drivers\cpoint.sys
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: EPGService - Hauppauge Computer Works - C:\ARCHIV~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe
O23 - Service: pavdrv (PAVDRV) - Panda Software International - C:\WINDOWS\SYSTEM32\DRIVERS\pavdrv51.sys
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Driver (PavProc) - Panda Software International - C:\WINDOWS\system32\DRIVERS\PavProc.sys
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: Servicio SiteAdvisor (SiteAdvisor Service) - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6261\SAService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe
**O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: ADI DTS Filter Service (ADIDTSFiltService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\adidts.sys
O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys
O23 - Service: AE Audio Service (AEAudio) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys
O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\ARCHIV~1\WinTV\HCWTVS~1.EXE
O23 - Service: Hauppauge WinTV 88x DVB Tuner/Demod (HCW88BDA) - Hauppauge Computer Works, Inc - C:\WINDOWS\SYSTEM32\drivers\hcw88bda.sys
O23 - Service: Hauppauge WinTV 88x MPEG/TS Capture (HCW88TSE) - Hauppauge Computer Works, Inc - C:\WINDOWS\SYSTEM32\drivers\hcw88tse.sys
O23 - Service: Hauppauge WinTV 88x Tuner (HCW88TUNE) - Hauppauge Computer Works, Inc. - C:\WINDOWS\SYSTEM32\drivers\hcw88tun.sys
O23 - Service: Hauppauge WinTV 88x Video (hcw88vid) - Hauppauge Computer Works, Inc - C:\WINDOWS\SYSTEM32\drivers\hcw88vid.sys
O23 - Service: Hauppauge WinTV 88x Crossbar (HCW88XBAR) - Hauppauge Computer Works, Inc. - C:\WINDOWS\SYSTEM32\drivers\HCW88BAR.sys
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PANDA NDIS IM Filter Miniport v1.5.0.97 (NETIMFLT01050097) - Panda Software - C:\WINDOWS\SYSTEM32\DRIVERS\netimflt.sys
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: PavSRK.sys - Unknown owner - C:\WINDOWS\system32\PavSRK.sys (file missing)
O23 - Service: PavTPK.sys - Unknown owner - C:\WINDOWS\system32\PavTPK.sys (file missing)
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Webroot Spy Sweeper Keylogger Shield Keyboard Filter (SSKBFD) - Webroot Software Inc (www.webroot.com) - C:\WINDOWS\SYSTEM32\Drivers\sskbfd.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller (yukonwxp) - Marvell - C:\WINDOWS\SYSTEM32\DRIVERS\yk51x86.sys

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

 41 Servicios.
 16 de Carga Automatica.
 24 de Carga Manual.
  1 Deshabilitados.

[msc hotline sat]

Vemos instalado el spysweeper, podría tratarse de colisiones con Panda. Prueba desinstalarlo desde Panel de control -> Agregar o Quitar programas

Aparte envíanos este fichero que resulta sospechoso: C:\WINDOWS\SYSTEM32\Drivers\sskbfd.sys

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos
ms, 26-07-2008

[cabekpao]

Bueno ya mande el archivo con contraseña virus.Espero que sea eso.Despues desistale el spysweeper.Pero sigue saliendo el intento de ataque dos a la ip de mis DNS.Un saludo.

[msc hotline sat]

Pues mañana analizaremos en SATINFO dicho fichero e informaremos

De momento puedes renombrar su extension a .VIR para que no sea utilizado a partir del proximo reinicio, y, tras reiniciar, nos cuentas elr esultado, gracias

saludos
ms, 27-07-2008

[cabekpao]

Creo que ese fichero era de Spy Sweeper.Parece que no hay solucion en este aspecto.Puesto que elproblema sigue.A menos que sea otra cosa.Nose problema de mis DNS

. Por decir algo

.no lo se

sigo con el mismo problema

ojala se pueda solucionar

.Un saludo

.

[cabekpao]

Hoy pase varios antivirus on line y aqui estan los resusltados:
martes, 29 de julio de 2008 12:22:45
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 29/07/2008

Código: Seleccionar todo

Registros en la base antivirus: 906774
Configuración del análisis
Analizar usando las siguientes bases 	standard
Analizar archivos 	verdadero
Analizar bases de correo 	verdadero
Objetivo a analizar 	Mi PC
A:\
C:\
D:\
E:\
F:\
G:\
H:\
Estadísticas
Número de objeros analizados 	73677
Virus encontrados 	3
Objetos infectados 	3 / 0
Objetos sospechosos 	0
Duración del análisis 	00:44:43

Bombre del objeto infectado 	Nombre del virus 	Última acción
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\d43317c6bfccf6201fd789c5f8c9f1dePSK_NAMES 	Object is locked 	saltado
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\d43317c6bfccf6201fd789c5f8c9f1dePSK_NAMES2 	Object is locked 	saltado
C:\Documents and Settings\All Users\Datos de programa\sentinel\2.1\gwhashs.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Cookies\index.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\NTUSER.DAT 	Object is locked 	saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\Cache\_CACHE_001_ 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\Cache\_CACHE_002_ 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\Cache\_CACHE_003_ 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\Cache\_CACHE_MAP_ 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\urlclassifier3.sqlite 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Historial\History.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Temp\etilqs_a9SWFvaRwHufIpihq5cX 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Temp\Perflib_Perfdata_650.dat 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Configuración local\Temp\~DF83DC.tmp 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Cookies\index.dat 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\cert8.db 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\content-prefs.sqlite 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\cookies.sqlite 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\downloads.sqlite 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\formhistory.sqlite 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\key3.db 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\parent.lock 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\permissions.sqlite 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\places.sqlite 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\places.sqlite-journal 	Object is locked 	saltado
C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\ewqb4uwa.default\search.sqlite 	Object is locked 	saltado
C:\Documents and Settings\Propietario\ntuser.dat 	Object is locked 	saltado
C:\Documents and Settings\Propietario\ntuser.dat.LOG 	Object is locked 	saltado
C:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	saltado
C:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP52\A0010211.EXE 	Infectados: Trojan-Downloader.Win32.IstBar.vh 	saltado
C:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP56\A0011406.EXE 	Infectados: Trojan-Downloader.Win32.IstBar.vk 	saltado
C:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP56\A0011521.EXE 	Infectados: Trojan-Downloader.Win32.IstBar.vl 	saltado
C:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP59\change.log 	Object is locked 	saltado
C:\WINDOWS\Debug\PASSWD.LOG 	Object is locked 	saltado
C:\WINDOWS\SchedLgU.Txt 	Object is locked 	saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{F10EB98B-DD4D-4749-97D3-7BB94E6112C2}.bin 	Object is locked 	saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	Object is locked 	saltado
C:\WINDOWS\Sti_Trace.log 	Object is locked 	saltado
C:\WINDOWS\system32\CatRoot2\edb.log 	Object is locked 	saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb 	Object is locked 	saltado
C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb 	Object is locked 	saltado
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb 	Object is locked 	saltado
C:\WINDOWS\system32\config\AppEvent.Evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\default 	Object is locked 	saltado
C:\WINDOWS\system32\config\default.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\Internet.evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\SAM 	Object is locked 	saltado
C:\WINDOWS\system32\config\SAM.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\SecEvent.Evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\SECURITY 	Object is locked 	saltado
C:\WINDOWS\system32\config\SECURITY.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\software 	Object is locked 	saltado
C:\WINDOWS\system32\config\software.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\SysEvent.Evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\system 	Object is locked 	saltado
C:\WINDOWS\system32\config\system.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\h323log.txt 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	Object is locked 	saltado
C:\WINDOWS\wiadebug.log 	Object is locked 	saltado
C:\WINDOWS\wiaservc.log 	Object is locked 	saltado
C:\WINDOWS\WindowsUpdate.log 	Object is locked 	saltado
D:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	saltado
D:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP59\change.log 	Object is locked 	saltado
E:\5e93be13f452d7d121b7fe6623de64\i386\update\setupapi.dll 	Object is locked 	saltado
E:\5e93be13f452d7d121b7fe6623de64\i386\update\spcustom.dll 	Object is locked 	saltado
E:\5e93be13f452d7d121b7fe6623de64\i386\update\update.exe 	Object is locked 	saltado
E:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	saltado
E:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP59\change.log 	Object is locked 	saltado
F:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	saltado
F:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP59\change.log 	Object is locked 	saltado
G:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	saltado
G:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP59\change.log 	Object is locked 	saltado

Análisis completado.

[cabekpao]

Y aqui esta el del ewido:

Name: TrackingCookie.Webtrends

Path: C:\Documents and Settings\Propietario\Cookies\propietario@m.webtrends[2].txt

Risk: Medium



Name: TrackingCookie.Netflame

Path: C:\Documents and Settings\Propietario\Cookies\propietario@ssl-hints.netflame[1].txt

Risk: Medium

[msc hotline sat]

Estamos pendientes de recibir la muestra que el pediamos:

C:\WINDOWS\SYSTEM32\Drivers\sskbfd.sys

aunque fuera del Spy Sweeper !

Debe enviarla como se indica:

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

De otra forma pierde la prioridad que tiene este foro, y va a la pila junto con otros cientos...

NOTA: Por otro lado, el kaspersky lo que le detecta lo tiene en el RESTORE:

C:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP52\A0010211.EXE Infectados: Trojan-Downloader.Win32.IstBar.vh saltado
C:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP56\A0011406.EXE Infectados: Trojan-Downloader.Win32.IstBar.vk saltado
C:\System Volume Information\_restore{AD04D574-E270-49E5-BD3C-BF4B1CD924AE}\RP56\A0011521.EXE Infectados: Trojan-Downloader.Win32.IstBar.vl saltado


asi que no está activo, solo si se restaurara a una sesion anterior podria reactivarse. Si quiere eliminarlo de allí, desactive la restauracion de sistema, arranque en modo seguro y pase su antivirus que lo deberá detectar y eliminar.

Y sobre el otro log no pedido del ewido, son coojies de seguimiento, ni caso.

saludos
ms, 29-07-2008

[msc hotline sat]

Recibida la muestra solicitada, no está modificada sino que es un fichero inicial del SPY SWEEPER

En cualquier caso, si persiste el problema, sugerimos desinstalar dicha aplicacion, ya que nos dice tener instalados ademas : el spybot Search and destroy y el espyreblaster ! (supongo que el último habrá querido ceir Spyblaster

Por otro lado nos comenta algo sobre sus DNS ???

Vemos que tiene configurados: 194.179.1.100,194.179.1.101

que corresponden a :
194.179.1.100 ES Spain 29 Madrid Madrid 40.4000 -3.6833 Telefonica de Espana Telefonica Transmision de Datos
194.179.1.101 ES Spain 29 Madrid Madrid 40.4000 -3.6833 Telefonica de Espana Telefonica Transmision de Datos

Son correctos, lo unico es tener en cuenta las vulnerabilidad explotada de los DNS servers:

saludos
ms, 31-07-2008

[cabekpao]

Habiendo hecho un chequeo en http://www.doxpara.com/?page_id=1159 me dice lo siguiente:

Your name server, at 80.58.4.100, may be safe, but the NAT/Firewall in front of it appears to be interfering with its port selection policy. The difference between largest port and smallest port was only 31.



Please talk to your firewall or gateway vendor -- all are working on patches, mitigations, and workarounds.

Requests seen for c5cbb30e9606.doxdns5.com:

80.58.4.100:47897 TXID=809

80.58.4.100:47914 TXID=14193

80.58.4.100:47918 TXID=3747

80.58.4.100:47923 TXID=3458

80.58.4.100:47892 TXID=1115

[cabekpao]

Despues probe en cambiar mis DNS a 208.67.222.222 y 208.67.220.220 y parecia que habia desaparecido el ataque pero al final paso lo mismo de siempre pero a estas DNS.Me baje un parche de panda el:hft70708s3 que es un actualizador generico de modulos de aplicaciones propias de P.S.I. y tampoco dio resultado.Que puedo hacer?.saludos.

[msc hotline sat]

y PORQUÉ pones estos servidores de California ???

208.67.222.222 US United States CA California San Francisco 94105 37.7898 -122.3942 OpenDNS, LLC OpenDNS, LLC 807 415
208.67.220.220 US United States CA California San Francisco 94105 37.7898 -122.3942 OpenDNS, LLC OpenDNS, LLC 807 415

Tu sabrás, lo lógico es poner los que te diga tu ISP...

saludos
ms, 31-07-2008

[cabekpao]

No si esos ya los quite.Ahora los que tengo son 194.179.1.100,194.179.1.101.Que son los que me dijo mi ISP.En caso que no tenga solucion lo de los ataques de Dos, en agosto me cumple la licencia del Panda y comprare una licencia de distinto antivirus o suitte de NOD32 O KARPESKY a ver si asi no tengo problemas.Un saludo.

[msc hotline sat]

Creo que la solucion que necesitas no va solo por instalar un buen antivirus, sino con todo lo relativo a lo que se comenta sobre la vulnerabilidad de DNS CACHE POISONING... Mira los post añadidos a este Tema:

http://www.zonavirus.com/noticias/2008/ ... e-pero.asp

y ya sabes:

http://www.zonavirus.com/noticias/2008/ ... verano.asp

saludos y felices vacaciones !

ms, 31-07-2008

[cabekpao]

Bueno pues parece que no es facil la solucion de mi problema.Asi que felices vacaciones,suerte y gracias.Saludos. :D :D :D .

[msc hotline sat]

Igualmente cabekpao, que pases una felices vacaciones, y a ver si los hackers-coders se van tambien de vacaciones ...

saludos
ms, 1 de Agosto de 2008