internet no entra a paginas de antivirus (SOLUCIONADO)

novael · Mensaje por **novael** » 05 Ene 2009, 18:56

hola, despues de elimiar con el nod32 C:window/system32/dmdt.dll - win32/conflicker.x (gusano de internet), ya no puedo ingresar al foro de zonavirus y a ninguno de antivirus online, e probado varios.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:05:44, on 02/01/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Atheros\ACU.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\So lidPdfService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - E:\programa todo 08 y\inter download portable\Portable_IDM_5.08_build_7\Portable IDM 5.08 build 7\bin\IDMIECC.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\Ex ploreExtPDF.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Archivos de programa\Hotspot Shield\hssie\HssIE.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\Ex ploreExtPDF.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\ARCHIV~1\TEXTAL~1\TAForIE.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ACU] "C:\Archivos de programa\Atheros\ACU.exe" -nogui

O4 - HKLM\..\Run: [SynTPStart] C:\Archivos de programa\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinMessenger StartUp.lnk = C:\Archivos de programa\WinMessenger\WinMesgr.exe

O8 - Extra context menu item: Download All Links with IDM - E:\programa todo 08 y\inter download portable\Portable_IDM_5.08_build_7\Portable IDM 5.08 build 7\bin\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - E:\programa todo 08 y\inter download portable\Portable_IDM_5.08_build_7\Portable IDM 5.08 build 7\bin\IEExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{43C4B6E1-5B02-4F26-BEE0-616F8C8D1830}: NameServer = 200.45.191.35 200.45.48.233

O17 - HKLM\System\CS1\Services\Tcpip\..\{43C4B6E1-5B02-4F26-BEE0-616F8C8D1830}: NameServer = 200.45.191.35 200.45.48.233

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Servicio de configuración de Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\So lidPdfService.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O24 - Desktop Component 0: (no name) - http://www.culturasalta.gov.ar/mambots/content/mosthumb/thumbs/OrquestaInfantojuvenil1.jpg

Mensaje por **flacoroo** » 05 Ene 2009, 20:52

comomenzaremos por lo mas básico,bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt (si no puedes ejecutarlos en forma normal hazlo reiniciando tu compu en modo seguro)

[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url] (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

y si sigues teniendo problemas ejecutas de nuevo el HijackThis

Mensaje por **msc hotline sat** » 06 Ene 2009, 09:12

Y faltan parches !!!:

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

LLanzar un windowsupdate e instalar el SP3 y demas críticos posteriores , como el MS08-067 y MS08-078

saludos

ms, 6-1-2009

novael · Mensaje por **novael** » 12 Ene 2009, 17:44

hola, gracias por responder

este es mi log de elistara y elitrip

Mon Jan 12 13:17:23 2009

EliStartPage v17.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 010402.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.0scan.com

Linea Eliminada del HOSTS --> 127.0.0.1 0scan.com

Linea Eliminada del HOSTS --> 127.0.0.1 1000gratisproben.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.1000gratisproben.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.1001namen.com

Linea Eliminada del HOSTS --> 127.0.0.1 1001namen.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.100888290cs.com

Linea Eliminada del HOSTS --> 127.0.0.1 100888290cs.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.100sexlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 100sexlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.10sek.com

Linea Eliminada del HOSTS --> 127.0.0.1 10sek.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.1-2005-search.com

Linea Eliminada del HOSTS --> 127.0.0.1 1-2005-search.com

Linea Eliminada del HOSTS --> 127.0.0.1 123haustiereundmehr.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.123haustiereundmehr.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.123simsen.com

Linea Eliminada del HOSTS --> 127.0.0.1 123simsen.com

Linea Eliminada del HOSTS --> 127.0.0.1 123topsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.123topsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 125sms.co.uk

Linea Eliminada del HOSTS --> 127.0.0.1 www.125sms.co.uk

Linea Eliminada del HOSTS --> 127.0.0.1 125sms.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.125sms.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.132.com

Linea Eliminada del HOSTS --> 127.0.0.1 132.com

Linea Eliminada del HOSTS --> 127.0.0.1 1337crew.info

Linea Eliminada del HOSTS --> 127.0.0.1 www.1337crew.info

Linea Eliminada del HOSTS --> 127.0.0.1 www.1337-crew.to

Linea Eliminada del HOSTS --> 127.0.0.1 1337-crew.to

Linea Eliminada del HOSTS --> 127.0.0.1 136136.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.136136.net

Linea Eliminada del HOSTS --> 127.0.0.1 150freesms.de

Linea Eliminada del HOSTS --> 127.0.0.1 www.150freesms.de

Linea Eliminada del HOSTS --> 127.0.0.1 163ns.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.163ns.com

Linea Eliminada del HOSTS --> 127.0.0.1 171203.com

Linea Eliminada del HOSTS --> 127.0.0.1 17-plus.com

Linea Eliminada del HOSTS --> 127.0.0.1 1800searchonline.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.1800searchonline.com

Linea Eliminada del HOSTS --> 127.0.0.1 180searchassistant.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.180searchassistant.com

Linea Eliminada del HOSTS --> 127.0.0.1 180solutions.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.180solutions.com

Linea Eliminada del HOSTS --> 127.0.0.1 181.365soft.info

Linea Eliminada del HOSTS --> 127.0.0.1 www.181.365soft.info

Linea Eliminada del HOSTS --> 127.0.0.1 www.1987324.com

..............................

(son un mucho los resumo creo que son le Spybot)

.....................................

Linea Eliminada del HOSTS --> 127.0.0.1 www.zonealarm-stop.com

Linea Eliminada del HOSTS --> 127.0.0.1 zone-media.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.zone-media.com

Linea Eliminada del HOSTS --> 127.0.0.1 zoneoffreeporn.com

Linea Eliminada del HOSTS --> 127.0.0.1 zoofil.com

Linea Eliminada del HOSTS --> 127.0.0.1 zoomegasite.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.zpwebsource.com

Linea Eliminada del HOSTS --> 127.0.0.1 zpwebsource.com

Linea Eliminada del HOSTS --> 127.0.0.1 zqavanjpn.biz

Linea Eliminada del HOSTS --> 127.0.0.1 www.zqavanjpn.biz

Linea Eliminada del HOSTS --> 127.0.0.1 z-quest.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.z-quest.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.zsupereva.it

Linea Eliminada del HOSTS --> 127.0.0.1 zsupereva.it

Linea Eliminada del HOSTS --> 127.0.0.1 www.zsvcompany.com

Linea Eliminada del HOSTS --> 127.0.0.1 zsvcompany.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.zuoyouweinan.com

Linea Eliminada del HOSTS --> 127.0.0.1 zuoyouweinan.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.zurrusco.com

Linea Eliminada del HOSTS --> 127.0.0.1 zurrusco.com

Linea Eliminada del HOSTS --> 127.0.0.1 zvimigdal.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.zxcsolution.com

Linea Eliminada del HOSTS --> 127.0.0.1 zxcsolution.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.zxlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 zxlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 zyban-zocor-levitra.com

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 12 13:17:38 2009

EliStartPage v17.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\luis\Datos de programa\TuneUp Software\TuneUp Utilities\StartUp Manager\Objetos desactivados\POWERREG SCHEDULERV2.EXE --> Infectado, PowerReg

Nº Total de Directorios: 4575

Nº Total de Ficheros: 63657

Nº de Ficheros Analizados: 9870

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Mon Jan 12 13:28:45 2009

EliTriIP v5.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Mon Jan 12 13:28:52 2009

EliTriIP v5.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4575

Nº Total de Ficheros: 63658

Nº de Ficheros Analizados: 9241

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 12 Ene 2009, 17:54

Pues no sé lo que habrá hecho el NOD32 al respecto, pero este virus puede llegar por tres causas, que debes corregir si aun no lo has hecho:

Por falta de parches - especialmente el MS08-067

Por insercion de pendrive sin proteccion de ELIPEN

Por comparticion de recursos con otros ordenadores infectados, por ejemplo al conectar un portatil a una red, se infectan los demas ordenadores de la red.

Contra lo primero, lanzar un windowsupdate

De lo segundo vacunar ordenadores y pendrives con el ELIPEN

y de la tercera causa, antes de conectar cualquier ordenador a una red, examinarlo con un antivirus actualizado o con uno ONLINE.

Recordar que para eliminar este virus debe desconectarse el ordenador infectado, arrancar en modo seguro y lanzar el antivirus que lo detecte, y lo mismo con cada ordenador, y sobre todo no conectar a los limpios ordenadores infectados, sino volverian a infectarse.

Ver el Tema que ya empezamos la semana pasada al respecto de esta segunda oleada de Confickers, pues la primera ya la solucionamos en Noviembre:

https://foros.zonavirus.com/viewtopic.php?f=12&t=27397

saludos

ms, 12-1-2009

novael · Mensaje por **novael** » 16 Ene 2009, 00:19

hola, instale la actualizacion msS08-067 y MS08-078 pero no se soluciono el problema pero despues pase el Dr Web que encontro C:\WINDOWS\system32\yxlwsd.dll, infectado con.win32.hllw.autorunner.5555el cual el NOD32 el cual el nod32 no lo podia abrir cuando hacia el analisis.

PD: como puedo limpiar un pendrive ya esta infectado, como usar eletrip, H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx Variante modificada de Win32/Conficker.AA (Gusano de Internet) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\System32\svchost.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

esa misma carpeta RECYCLER tambien la tenia en mi disco de la pc. en C y E que la elimine, luego entonces ya puede entrar a las paginas que no entraba hace como un mes.

nos vemos

Mensaje por **msc hotline sat** » 16 Ene 2009, 03:34

Mira lo que se dice en este articulo:

http://www.satinfo.es/web/2009/usb445.html

Y prueba el USB445.EXE

http://www.zonavirus.com/datos/descargas/281/usb445.asp

Aparte envianos este fichero que dices, si aun lo tienes:

C:\WINDOWS\system32\yxlwsd.dll

por si se trata de una variante del que ya hemos recibido

Y por ultimo prueba el ELITRIIP actual, que ya controla este H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx , si tienes el pendrive insertado, claro.

Aparte, con el ELIPEN que te indicaba en mi primera respuesta, ya bloqueabas la propagacion por pendrive de este virus, y entre esto y el parche indicado MS08067, solo te queda desconectar lor ordenadores de la red, arrancar en modo seguro y lanzar el antivirus que tengas, y una vez todos limpios, ya puedes volver a conectarlos, poero no te olvides ninguna manzana podrida... y no conectes ningun portatil a la red sin haberlo escaneado antes :roll:

Y seguiremos implementando en el ELITRIIP el control de nuevas variantes de este virus, que ya empezamos a Noviembre con la version A, y lo estamos haciendo con las nuevas versiones actuales del ELITRIIP y las que vamos haciendo a diario. Ademas de la actual, prueba la nueva que haremos hoy, en la que implementaremos el control y eliminacion de nuevas muestras

saludos

ms, 16-1-2009

novael · Mensaje por **novael** » 16 Ene 2009, 05:26

hola. msc hotline sat, si se soluciono por ahora llego como 10 horas y el nod32 actualizado ya no me sale el aviso rojo de Archivo http://190.137.213.126:1144/zoxfny Variante modificada de Win32/Conficker.AA (Gusano de Internet, como tengo una red de 2 pc en la 1a pc tenia C:\WINDOWS\system32\awndhk.dll con.win32.hllw.autorunner.5555 que lo detecto el Dr web y el 2pc tenia C:\WINDOWS\system32\yxlwsd.dll tenia otra nombre de archivo pero con la diferencia que en 1pc si podia navegar en todos los sitios y que en la 2pc no, con respecto a ambos los 2 archivos lo elimine con el fileassasin de Malwarebytes

si todo lo hice en modo seguro y desactivando restaurar el sistema. es instalando ambos parches ms67 y 78.

PD: con respecto a las pendrive le pase ELIPEN y instalo en el mp3 y mp4, esto copia la carpeta Autorun.inf en ambos, una consulta, esta bien lo que hice? y otra tambien lo hago para las particiones del disco?

Mensaje por **msc hotline sat** » 16 Ene 2009, 06:49

Es suficiente como lo hiciste, ahora prueba la actual version del ELITRIIP que buscará en todas las unidades el dichoso fichero \RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx y lo moverá a C:\muestras si lo encuentra, o lo eliminará si es el que ya conocemos.

Comentanos el resultado, gracias

saludos

ms, 16-1-2009

Mensaje por **msc hotline sat** » 16 Ene 2009, 07:01

Y lo indicado sobre http://190.137.213.126:1144/zoxfny

era un intento acceso a una IP de Argentina por el port 1144. Dicha web ya no está operativa:

190.137.213.126 AR Argentina 10 Jujuy Jujuy -24.1833 -65.3000 Telecom Argentina S.A. Telecom Argentina S.A.

(La indicada IP corresponde a un ISP ubicado cerca de San Salvador de Jujuy, ciudad argentina equidistante de Chile, Paraguay y Bolivia)

No sé si tiene alguna relación con el conficker, solo que ahora ya no está accesible, saludos.

saludos

ms, 16-1-2009

novael · Mensaje por **novael** » 16 Ene 2009, 16:56

hola msc hotline sat, le pase ELITRIIP, a una 2 pc le pase y no encontro nada, esta limpio, con respecto a la pagina el ip es de jujuy ( lo raro que yo vivo la provincia vecina a jujuy argentina la provincia de salta), tiene algo que ver?

y estos con los avisos de nod32 que cada vez me conectaba me salia el aviso

http://190.137.213.126:1144/zoxfny

http://190.139.119.239:1144/akvqwg

http://190.138.81.98:1144/weked

http://190.137.54.204:1144/iliokod

http://190.139.14.221:1144/iliokod

http://190.139.112.207:1144/ibstfza

http://190.138.85.60:1144/qrmta

http://190.139.112.25:1144/qrmta

http://190.137.227.242:1144/qrmta

http://190.137.215.238:1144/qrmta

http://190.139.14.81:1144/dbauu

http://201.253.195.51:1144/bfzvg

http://190.137.216.187:1144/bfzvg

http://201.253.193.18:1144/aehcgjum

http://190.229.24.50:1144/fwyuad

http://190.137.56.20:1144/xysa

http://190.139.15.220:1144/fkdwsbv

http://190.229.28.146:1144/fkdwsbv

http://190.139.126.85:1144/fkdwsbv

http://190.229.33.180:1144/iglbo

http://190.139.119.138:1144/wprjvrsg

http://201.253.194.125:1144/stvo

http://190.229.30.102:1144/egpxi

http://190.137.214.222:1144/egpxi

http://190.137.217.210:1144/ludbwq

http://190.31.106.164:1144/qhbpt

http://201.253.194.88:1144/wiybn

http://190.139.6.11:1144/ijreicfi

http://190.225.137.214:1144/ijreicfi

http://190.225.142.210:1144/zrmpf

y tengo un monto (desde el 17 de diciembre salia cada vez que me conectada a internnet via modem usb)

PD: voy analizar la otra pc con los eletrip, y tb los pendrive y mpe si encuentra te mando la muestra?

Mensaje por **msc hotline sat** » 16 Ene 2009, 19:13

Pues he cogido los 10 ultimos y veo que son de ujuy, de Salta, y de Tucuman:

190.139.119.138 AR Argentina 10 Jujuy Jujuy -24.1833 -65.3000 Telecom Argentina S.A. Telecom Argentina S.A.

201.253.194.125 AR Argentina 24 Tucuman Orán -27.1000 -65.0167 Telecom Argentina S.A. Telecom Argentina S.A.

190.229.30.102 AR Argentina 24 Tucuman Tucumán -26.8167 -65.2167 Telecom Argentina S.A. Telecom Argentina S.A.

190.137.214.222 AR Argentina 24 Tucuman Tucumán -26.8167 -65.2167 Telecom Argentina S.A. Telecom Argentina S.A.

190.137.217.210 AR Argentina 10 Jujuy Jujuy -24.1833 -65.3000 Telecom Argentina S.A. Telecom Argentina S.A.

190.31.106.164 AR Argentina 10 Jujuy Jujuy -24.1833 -65.3000 Telecom Argentina S.A. Telecom Argentina S.A.

201.253.194.88 AR Argentina 24 Tucuman Orán -27.1000 -65.0167 Telecom Argentina S.A. Telecom Argentina S.A.

190.139.6.11 AR Argentina 24 Tucuman Tucumán -26.8167 -65.2167 Telecom Argentina S.A. Telecom Argentina S.A.

190.225.137.214 AR Argentina 24 Tucuman Tucumán -26.8167 -65.2167 Telecom Argentina S.A. Telecom Argentina S.A.

190.225.142.210 AR Argentina 17 Salta Salta -24.7833 -65.4167 Telecom Argentina S.A. Telecom Argentina S.A.

y lo que entiendo es que tienes un conficker que se actualiza de estos servidores aleatoriamente, a traves del port 1144

Mira en este Tema como proceder con el USB445, en la misma sesion actualizar parches (especialmente el MS08-067) y acontinuacion arrancar en modo seguro y lanzar tu antivirus actualizado que deberá eliminarlo:

https://foros.zonavirus.com/viewtopic.php?f=12&t=27397

saludos

ms, 16-1-2009

NOTA: Lee bien la informacion del ultimo link, recuerda que se propaga tambien a traves de pendrive y por comparticiones administrativas, asi que vacuna tus poendrives con el ELIPEN y desconecta los ordenador para limpiarlos, y una vez limpio el servidor, ve limpiando uno a uno y le vas conectando solo los limpios. Si le conectas uno de infectado... la manzana podrida pudre todo el cesto !

ms.

MetCris · Mensaje por **MetCris** » 24 Ene 2009, 03:32

tambien tengo un pc infectado con este virus maldito...

probare las indicaciones y les contare como me fue

pd: no puedo ingresar al ultimo link me dice que no tengo permiso para ingresar

Mensaje por **msc hotline sat** » 24 Ene 2009, 09:23

pruebelo de nuevo con este:

https://foros.zonavirus.com/viewtopic.php?f=13&t=27359

saludos

ms, 24-1-2009

novael · Mensaje por **novael** » 24 Ene 2009, 15:41

muchas gracias por su valiosa ayuda, todo va de bien, por el momento.

pueden cerrar este tema, gracias amigos

Mensaje por **msc hotline sat** » 24 Ene 2009, 21:43

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 24-1-2009

internet no entra a paginas de antivirus (SOLUCIONADO)

internet no entra a paginas de antivirus (SOLUCIONADO)

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus

Re: internet no entra a paginas de antivirus