Virus Extraño

[Rurounhi]

Buenas, llevo dos días con este virus, y me tiene con un dolor de cabeza...

El caso es que cuando busco algo en google, las busquedas me salen primeramente en letra algo mas grande de lo normal, y cuando pincho en la pagina, me abre otra ventanita y me sale mamma, o bediddle.com o cosas así,

El caso es que le pase el elitrip, el elistara, y el superantispyware y todo parecía solucionado.

Pero esta mña estaba ahí como por arte de magia.



Aqui os pego el log del hijackthis



Logfile of HijackThis v1.99.1

Scan saved at 23:42:35, on 05/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\SMART Technologies Inc\SMART Board Software\SMARTBoardService.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\Archivos de programa\HP\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Gigabyte\Gigabyte GN-WBKG Wireless USB Adapter\GbConfig.exe

C:\Archivos de programa\SMART Technologies Inc\SMART Board Software\SMARTBoardTools.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Rainlendar\Rainlendar.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\HP\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\SMART Technologies Inc\SMART Board Software\Aware.exe

C:\Archivos de programa\SMART Technologies Inc\SMART Board Software\Marker.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\HP\Digital Imaging\Bin\hpqSTE08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

F:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SMART Notebook Download Plugin - {67BCF957-85FC-4036-8DC4-D4D80E00A77B} - C:\Archivos de programa\SMART Technologies Inc\Notebook Software\NotebookPlugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O2 - BHO: {2992faf6-04bf-4aaa-9bc4-08eeff5941bd} - {db1495ff-ee80-4cb9-aaa4-fb406faf2992} - C:\WINDOWS\system32\peyownvh.dll (file missing)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Archivos de programa\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SpywareTerminator] "C:\ARCHIV~1\SPYWAR~1\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\HP\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Startup: Rainlendar.lnk = C:\Archivos de programa\Rainlendar\Rainlendar.exe

O4 - Global Startup: GN-WBKG Utility.lnk = C:\Archivos de programa\Gigabyte\Gigabyte GN-WBKG Wireless USB Adapter\GbConfig.exe

O4 - Global Startup: Herramientas de SMART Board.lnk = C:\Archivos de programa\SMART Technologies Inc\SMART Board Software\SMARTBoardTools.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {61FA0CB0-0806-46EA-B784-0F843285BA23} (TuentiFotoUploader Control) - http://estaticosak1.tuenti.com/TuentiPhotoUploader.7996.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Servicio de SMART Board (SMART Board Service) - SMART Technologies Inc. - C:\Archivos de programa\SMART Technologies Inc\SMART Board Software\SMARTBoardService.exe

O23 - Service: SMART Web Server - Unknown owner - C:\Archivos de programa\SMART Technologies Inc\SMART Board Software\WebServer.exe

O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Archivos de programa\WinClamAVShield\sp_



Gracias a todos

[msc hotline sat]

Lo unico que se ve mal en este log es que te faltan parches:



Platform: Windows XP SP2 (WinNT 5.01.2600)



Lanza un windowsuopdate e instala el SP3 y posteriores, como el critico MS08-067



Decirte que conocemos este problema, ya lo hemos controlado con variantes del DNSCHANGER y FLUSH, pero cada vez que aparece uno nuevo, requiere mucha investigación, dedicacion y finalmente mucha suerte, pues hasta que no se controla, buscando con el Google o con Yahoo, te encuentra links pero pulsando en ellos vas a parar a cualquier parte...



Ayer mismo McAfee nos informaba al respecto de la nueva oleada de ello:


[quote="McAfee AVERT"]


DNSChanger Trojans v4.0

Fake-Alert Tour Driven by Malware Team

More Recent Articles

Search McAfee Avert Labs

DNSChanger Trojans v4.0

Earlier today SANS posted an excellent blog on a recent variant of a DNSChanger Trojan. There are some significant implications to this threat, but before I go into those, here’s a brief rundown of the main DNS-changing Trojan tactics used to date:



Modify Windows Hosts file to map specific domain names to specific IP addresses (McAfee classifies these Trojans as QHOSTS Trojans, more of a precursor to DNSChangers

Modify Windows registry settings to reference specific (rogue) DNS servers [DNSChanger.f]

Create a scheduled task under Mac OS X to reference specific (rogue) DNS servers [OSX/Puper]

Exploit cross-site request forgery vulnerabilities in routers to overwrite the DNS server configuration offered to local area network clients [DNSChanger.f]

We’ve now seen a new tactic, which has the potential of impacting most devices on the local network–independent of the operating system or device (Windows, Linux, Internet-capable MP3 players, digital picture frames, refrigerators, you name it). The tactic involves serving the rogue DNS server configuration over DHCP, the protocol responsible for distributing dynamic IP addresses, as well as other information, including DNS settings.



Here’s a scenario:



Jill is using the free WiFi access point at her favorite coffee shop from her infected Windows laptop.

Steve sits down at the next able and fires up his laptop, which requests an IP address over the wireless local area network.

Jill’s PC injects a DHCP offer command to instruct Steve’s computer to route all DNS requests through a rogue DNS server.

Steve fires up his web browser and navigates to his favorite social networking site, but while the browser displays the correct URL name, the rogue DNS server has actually directed the browser to another site.

The same applies to any local area network (LAN) where multiple system connect via DHCP.



This is significant for several reasons:



The DNSChanger/Puper/Zlob gang has been very successful, infecting millions of PCs during the last couple of years. This gang typically uses strong social engineering to entice victims into installing the malware.

Systems that are not infected with the malware can still have the payload of communicating with the rogue DNS servers delivered to them. This is achieved without exploiting any security vulnerability.

Locating a poisoned system on a sizable network is often a difficult task.

Noninfected systems can alter between using approved DNS settings and rogue settings based on an infected system being on the LAN, and a random chance that the infected system will be able to “poison” the DCHP offer.

For those interested in the details, this DNSChanger variant drops the legitimate ArcNet NDIS Protocol Driver in the drivers directory:



%WinDir%\system32\drivers\ndisprot.sys

The Trojan uses this driver to inject DHCP Offer packets containing the rogue DNS server IPs.







Variants using this functionality are not known to be widespread at this point, though even a single infected system could potentially impact hundreds of other systems on the LAN. Though it’s awkward to check, users could examine their DNS settings to see if they have been impacted. For example, type the following from a Windows command prompt:



ipconfig /all






[/quote]

En la version de ayer del ELISTARA 17.57 ya se busca dicho fichero y se pide envio de muestra si se detecta, y mientras, puedes usar la alternativa de http://www.blackle.com , al cual no le afecta lo indicado



saludos



ms, 6-12-2008

[Rurounhi]

Buenas, ya instalé el sp3. Pero ahora intento lanzar un windows update y no me carga la pagina.

Le paso el elistara y el elitrip y de repente funciona, pero es reiniciar y deja de ir todo bien. Lo del black google ese es buena idea, pero claro, yo lo que quiero es quitar el maldito virus....

No se que hacer, alguna idea?





Thu Dec 04 18:51:20 2008

EliTriIP v5.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Raquel-\Escritorio\Ares\nod32 antivirus 2 70 16 con crack---ingles.exe --> Eliminado, Bifrose(dropper)



Nº Total de Directorios: 7252

Nº Total de Ficheros: 88882

Nº de Ficheros Analizados: 24252

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Dec 04 19:21:41 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{ADE2CEA9-956D-4404-B4A9-BB42CB87B645}" -> C:\WINDOWS\system32\ssqpo.dll

No detectado SP3 de Windows XP



Thu Dec 04 19:26:05 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7239

Nº Total de Ficheros: 88840

Nº de Ficheros Analizados: 27685

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Dec 05 11:28:41 2008

EliBagle v12.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Dec 05 11:28:43 2008

EliBagle v12.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7230

Nº Total de Ficheros: 87723

Nº de Ficheros Analizados: 17249

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Dec 05 23:53:58 2008

EliTriIP v5.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Dec 05 23:54:11 2008

EliTriIP v5.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7206

Nº Total de Ficheros: 90137

Nº de Ficheros Analizados: 24267

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Dec 06 00:13:17 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Sat Dec 06 00:14:20 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7199

Nº Total de Ficheros: 88174

Nº de Ficheros Analizados: 27496

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Gracias por todo :D

[msc hotline sat]

Pero estas probando un ELISTARA antiguo ... !!!



Siempre se ha de probar la ultima version disponible, y en este caso hay dos despues de la 17.55 ...



Venga, descarga la actual, que es la primera en la que hemos implementado la deteccion de este fichero ndisprot.sys , y si lo encontramos, lo moveremos a C:\muestras para que nos lo puedas enviar y asi analizarlo, pero de entrada ya estaría aparcado...


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



Tras descargar dicha version y probarla, posteanos el infosat.txt resultante, a ver si lo has pillado y lo tienes en cuarentena :wink:



saludos



ms, 6-12-2008

[Rurounhi]

Juraria que era el Elistara 17.57. Lo estoy pasando ahora, y he de decir, que mientras se está pasando, ( he desactivado el antivirus-nod32) google funciona sin problemas. Ahora cuando acaba el elistara, posteo el resultado y reinicio, a ver qtal.

Gracias

[Rurounhi]

Ahi va el nuevo post. Ahora va bien... ya comentaré mas adelante a ver que tal





Thu Dec 04 18:51:20 2008

EliTriIP v5.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Raquel-\Escritorio\Ares\nod32 antivirus 2 70 16 con crack---ingles.exe --> Eliminado, Bifrose(dropper)



Nº Total de Directorios: 7252

Nº Total de Ficheros: 88882

Nº de Ficheros Analizados: 24252

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Dec 04 19:21:41 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{ADE2CEA9-956D-4404-B4A9-BB42CB87B645}" -> C:\WINDOWS\system32\ssqpo.dll

No detectado SP3 de Windows XP



Thu Dec 04 19:26:05 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7239

Nº Total de Ficheros: 88840

Nº de Ficheros Analizados: 27685

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Dec 05 11:28:41 2008

EliBagle v12.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Dec 05 11:28:43 2008

EliBagle v12.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7230

Nº Total de Ficheros: 87723

Nº de Ficheros Analizados: 17249

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Dec 05 23:53:58 2008

EliTriIP v5.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Dec 05 23:54:11 2008

EliTriIP v5.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7206

Nº Total de Ficheros: 90137

Nº de Ficheros Analizados: 24267

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Dec 06 00:13:17 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Sat Dec 06 00:14:20 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7199

Nº Total de Ficheros: 88174

Nº de Ficheros Analizados: 27496

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Dec 06 21:00:08 2008

EliStartPage v17.57 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sat Dec 06 21:03:11 2008

EliStartPage v17.57 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7257

Nº Total de Ficheros: 89443

Nº de Ficheros Analizados: 27523

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues no tienes el ndisprot.sys, igual se trata de una variante que utiliza otro nombre ...



Estamos en ello, es uno de los que tenemos en proceso de estudio, y a pesar de que lo podamos soslayar con el Blackle, no por ello lo olvidamos :wink:



Como que McAfee nos envió la comunicación que publicamos en post anteriores, y va actualizando DATS (incluso en sbados y domingos) mira si lanzando su AV ONLINE detecta algo, y si es asi, envianos el fichero que detecte (dicho AV ONLINE no elimina, solo informa):



http://es.mcafee.com/root/mfs/default.asp





y nos informas del resultado, gracias



saludos



ms, 7-12-2008

[Rurounhi]

Buenas, sigue ahí. No me deja entrar en en mcafee, kaspersky y tal, podria lanzar el de panda que ese si me deja??

Pongo algo en google, va mal, y es encender el Elistara y perfecto. Una vez que lo quito y reinicio, deja de funcionar... :evil:

[msc hotline sat]

Esto es porque con nuestras utilidades restauramos las claves malwares, pero al tener el malware "vivo" , a continuacion vuelve a modificarlas



EL problema está en detectar el malware, y no es el inciial ya que no teines el fichero de marras... De todas formas, mira de arrancar en modo seguro y en este modo prbar el ELISTARA, no sea que se oculte cuando esté en uso, y asi lo podamos ver ???, y aun mejor, hazlo en MODO SEGURO CON FUNCIONES DE RED, y dinos si así, tras lanzar el ELISTARA para restaurar las claves, el Google va bien , o ya va bien de entrada ...



Piensa que con el ELISTARA cerramos el I.E. que haya, para abrirlo de nuevo sin nada que interfiera y asi poder configurarlo y realizar los tests que convienen para su proceso. Lo que nos digas será tenido en cuenta para cazar y reducir al bicho :wink:



saludos



ms, 7-12-2008

[Rurounhi]

Nada, ya probé lo de hacerlo en Modo a prueba de fallos con funciones de Red pero ahí sigue.... ya no se que probar

[julibaga]

Salvo que msc opine lo contrario, intenta desahabilitando la Restauración de Sistema antes de pasar el Elistara en modo a prueba de fallos con funciones de red y luego de reiniciar, prueba otra vez.



Salu2

[msc hotline sat]

No nos dices si te ha ido bien el www.blackle.com en lugar del www.google.com ???



Y como que hemos pensado que podría darse el caso que usara un HOSTS ubicado en otra ruta no standar, en el SPROCES que hacemos hoy implementaremos la visualkizacion de la misma si no es la normal.





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar





Por otro lado, tras ejecutar el ELISTARA, prueba de eliminar esta clave:



O16 - DPF: {61FA0CB0-0806-46EA-B784-0F843285BA23} (TuentiFotoUploader Control) - http://estaticosak1.tuenti.com/TuentiPh ... r.7996.cab





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y tras ello, reinicia y dinos si persiste el dichoso problema, o ya no se ha reproducido...



saludos



ms, 10-12-2008