Virus redirección a 127.0.0.1. Revisado archivo Hosts

[pipepupo]

Hola. Eliminé varios virus de mi equipo pero aún tengo problemas para ir a sitios como norton.com, forospyware.com, eset.com, y muchos más de seguridad; revisé el inicio del equipo en el regedit "Run", limpié el archivo "Hosts", y usé herramientas como ATF Cleaner, CCleaner, CureIt, Avast. Desde luego que no puedo entrar a muchos sitios web de antivirus si no es usando su IP, ni actualizar el Avast.



Al iniciar el equipo siempre se abre la carpeta Mis documentos del usuario actual, no sé si esto se relaciona con el virus o es otro virus más.



¿Qué me falta hacer?



Envío registro de HijackThis HijackThis:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:54:18 p.m., on 09/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\SYSTEM32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINXP\System32\snmp.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\Explorer.EXE

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINXP\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dameunacasa.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=

F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,userinit.exe

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINXP\system32\msxml71.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\4.1.509.6972\swg.dll

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZKxdm012YYCO

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINXP\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINXP\system32\msjava.dll

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/WebfettiInitialSetup1.0.0.15-3.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208490519015

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_04) -

O16 - DPF: {CAFEEFAC-0014-0001-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_03) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{79239056-E6D8-4348-A5B6-6F9174C4E4F7}: NameServer = 200.75.51.132 200.75.51.133

O20 - Winlogon Notify: pftkorac - pftkorac.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe



--

End of file - 4877 bytes





Gracias. FelipeR26.

[lucl]

Pues tienes que pasar elistara y pegarnos el log que te dejara en C infosat.txt



http://www.zonavirus.com/descargas/elistara.asp





y actualizar el pc pues te falta el sp3 y notaras mucha mejora y el java tambien tienes que actualizarlo, saludos

[flacoroo]

bajate este programita [url=http://www.zonavirus.com/descargas/elibagla.asp]Descargar Elibagla[/url] y lo ejecutas unas 2 veces en modo normal y 2 veces en modo seguro....y nos pegas el resultado creado en C:infosat.txt

[msc hotline sat]

Y envianos este fichero para analizar:



C:\WINXP\system32\[b][i]msxml71.dll[/i][/b]



ya que probablemente sea malware: http://www.prevx.com/filenames/912883454107448267-0/MSXML71.DLL.html





y elimina estas claves:



O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B}



O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZKxdm012YYCO



O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/WebfettiInitialSetup1 .0.0.15-3.cab





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y lanza un windowsupdate escoge modo personalizado e instala el SP3 que aun no lo tienes instalado y ya es hora !!!



Y nos cuentas el resultado, gracias.



saludos



ms, 10-09-2008

[pipepupo]

Hola de nuevo.



Eliminé los registros mencionados.

Los programas Elistara y Elibagla dicen no ser para Win32 entonces no me funcionaron.

Las direcciones como support.microsoft.com o windowsupdate.microsoft.com también están bloqueadas por lo que no he podido actualizar el SP.

Traté de enviar el archivo msxml71.dll como debe ser pero apenas hago clic en "enviar" me presenta la página de IE "No se puede mostrar la página", si envío el archivo sin comprimir no funciona el botón de "enviar" y el problema persiste.



Gracias por su ayuda. FelipeR

[Claudia34]

Descargate esos programas elistara, elitrip y elsitar en un diskette desde otro pc (puede ser un ciber) y los pasas a tu pc, y realizas el escaneo pertinente en cada caso.



Saludos.

[pipepupo]

Hola de nuevo.



Pasé el Elistara y en el C:autorun encontró open=kbeijy.exe un archivo de 454.126 bytes con ícono de carpeta para simular que es carpeta, tengo problemas para enviar muestras a esta página (me muestra un mensaje como de error que al parecer pide 2 parámetros) Borré ese archivo y otros por el estilo que creo que tienen relación.



Registro:





Thu Sep 11 21:10:06 2008

EliStartPage v16.92 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINXP\WEB\RELATED.HTM --> Eliminado

C:\WINXP\SYSTEM32\PHCNR4JOEV37.BMP --> Eliminado

C:\WINXP\OK.INI --> Eliminado (Fichero Complementario).

Eliminada Class, "{147A976F-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Carpeta "%Archivos de Programa%\Passware"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=kbeijy.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

open=kbeijy.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

[msc hotline sat]

Ademas del fichero que te pedimos enviaras, C:\WINXP\system32\msxml71.dll, gracias al ELISTARA vemos que tambien tiene malware de los que se propagan por pendrive, asi que:



Detectado AUTORUN.INF en la Unidad (E)

open=kbeijy.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF



Y ademas de enviarnoslo (si tienes problemas con el envío, hazlo manualmente, empaqueta con password "virus" todos los ficheros que tienes que enviar y anexa el ZIP o RAR a un mail dirigido a zonavirus@satinfo.es en cuyo ASUNTO indiques tu nick del foro)



Además vacuna todas las unidades del ordenador y todos tus pendrives con el ELIPEN:




[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]





saludos



ms, 12-09-2008

[pipepupo]

Bueno, hice lo que me dijeron; siempre me daba cosa instalar el SP3 por que muchas veces es para beneficio de Ms y no de uno; pasé todos los programas que me dijeron e instalé el SP3 y empezó a molestar el PC, lo bueno fue que como no podía entrar por Win aprendí a navegar en Linux y bajar las cosas desde hay y pasarlas con rsftools al disco de Windows.



Ahora está funcionando mucho mejor, gracias.

[lucl]

Entonces dinos si crees que esta solucionado para cerrar el tema, gracias saludos

[msc hotline sat]

Y a lo que indica de "instalar el SP3 por que muchas veces es para beneficio de Ms", los parches son especialmente para tapar agujeros de seguridad, y evidentemente para mejora de producto, con beneficio dell usuario y de Microsoft en lo que cabe, si bien el SP· es especialmente util al usuario por el incremento de prestaciones que conlleva al sistema, de promedio un 10 %, aparte de los agujeros que tapa (añade 1073 respecto al SP2)



Como que su Tema ya es relativamente antiguo, no sé si enviaste los ficheros que te pediamos msxml71.dll, kbeijy.exe y AUTORUN.INF, que si pasaste el ELIPEN será AUTORUN.OLD, si no lo hiciste, hazlo, aunque ahora uses LINUX, para beneficio de este foro al poder pasar a controlar dichos troyanos.



saludos



ms, 2 de octubre de 2008