Perdida conexión a internet

[carpincho]

Hola,

sin ánimo de molestar, quisiera saber si alguien podría ayudarme un poco.

He leído por aquí sobre, creo, un problema similar al mío, o al menos por eso el buscador me ha traído hasta este foro que antes desconocía.

Probablemente mi problema ya lo haya expuesto alguien y le han ayudado, pero, sinceramente, no entendí la solución para el problema que, vuelvo a recalcar, creo es igual al mío.n Es decir, si hubiera podido solucionar mi problema con lo que he leído por aquí, no les haría perder tiempo en que me lean.

A ver...

De un momento para el otro mi conección comenzó a fallar, al punto de que, por momentos funcionaba normal y por otros daba la sensación de que directamente no tenía conección.

Me comuniqué con la empresa proovedora del servicio y me hicieron seguir unos pasos a través de "simbolo de sistemas" (que creo es lo mismo que DOS) y me dijeron que tenía troyanos que "se conectaban solos" y me consumían internet.

Pasé el SUPERAntiSpyware, pero en modo normal se me reiniciaba la pc, por lo que lo tenía que usar en modo a prueba de fallos. Encontraba un par de cookies y cosas así. Pasé mi antivirus (ESET Smart Security) sin que encuentre virus alguno. Luego pasé el ad-aware, que encontraba unas cookies también y un archivo más (si mal no recuerdo), pasé el ccleaner para borrar todo y el registro también y terminé incluso con el HJT. Parecía que todo volvía a la normalidad.

Pero al tiempo volvía a pasar lo mismo. Repetía los pasos y al poco tiempo volvía a caerse la conección.

Al día de hoy, siempre que paso el ad-aware (lo hago seguido) encuentra los mismos archivos que, supuestamente, los elimina o algo así dice que hace, PERO al volverlo a pasar siguen los mismos archivos!

Como si fuera poco, ahora me sale, bastante seguido, un cartel sobre el ícono del ad-aware que dice que svchost (y pone mi ip, si no me equivoco) se quiere conectar por el puerto 25, si no me equivoco, y que supuestamente, el ad-aware no se lo permitiría (eso es lo que entiendo de ese cartel).

No se que hacer!

No se si influirá, pero hay unas cuantas actualizaciones de windows que aún no instalé (no se porqué...digamos que no me dió ganas jeje)...

Si alguien pudiera ayudarme, le agradecería muchísimo.

[u]Perdón[/u] por lo extenso del mensaje y, sobre todo, [u][b]perdón por molestar[/b][/u]...



Muchísimas gracias!.-

[lucl]

Lo primero de todo no molestas. Lo segundo pasate estos antitrojanos que te indico y peganos el log de infosat que te dejaran en C





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp





Una vez pasados estos mira que tal va tu conexion y mira si puedes actualizar el pc y nos comentas resultados saludos

[julibaga]

Pues empieza por bajarte las siguientes utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.

Y para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.



A parte, por si hubiera alguno otra cosa, te recomiendo que hagas lo siguiente y cito:
[quote="[color=#800000]msc hotline sat[/color]"]Si quieres, mientras, puedes lanzar este [b][color=#000080]AV ONLINE[/color][/b] y postearnos el infome resultante, por si hubiera más cosas:



http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar [b]MY COMPUTER[/b] para escanearlo todo. Si no se tiene la versión de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho [b][color=#000080]AV ONLINE[/color][/b] no limpia, sólo testea, así que lo que pretendemos con ello es sólo el informe, ya obraremos en consecuencia. ms.

[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img][/quote]

P.D. Por lo visto posteé en paralelo con lucl.... sorry

[carpincho]

No esperaba ya tener una respuesta... muchas gracias, de verdad.

Pasé EliStarA y EliTriIP (son bastante parecidos :roll: )

Ya sabrán que hace unas preguntas al principio, puse a todo NO excepto a borrar la página de inicio o una pregunta similar.

Antes de copiar, tal vez sirva aclarar dos cosas: 1) me salió un cartel que dice que hay acceso denegado a x carpeta (en las cuales solo tengo algunos mp3) 2) con el eltriip me salió (entre las preguntas o en ese momento) algo así como si quería desactivar no se qué y decía algo de host, le puse que si (debería haber anotado lo que decía textualmente).

Bien, el Infosat:





(13-5-2009 20:40:06)

EliStartPage v18.60 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



(13-5-2009 20:43:38)

EliStartPage v18.60 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\Escritorio\Aplicaciones\Total Video Converter 3.14.08113\TRADUCCIóN AL ESPAñOL POR GOTHANIAK.EXE --> Eliminado, DownLoader.BShooterEgypt

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 6441

Nº Total de Ficheros: 70689

Nº de Ficheros Analizados: 14963

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(13-5-2009 20:54:24)

EliStartPage v18.60 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 50

Nº Total de Ficheros: 433

Nº de Ficheros Analizados: 280

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(13-5-2009 20:56:34)

EliTriIP v5.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"

No detectado SP3 de Windows XP



(13-5-2009 20:57:00)

EliTriIP v5.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"





----------------------------------------------------------------------------------------------------------------



Pasé luego "sproces" y sproglog dió esto:



(13-5-2009 21:9:50)

SProces v3.5 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: COLOSSUS

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JAVA.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: epfw - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfw.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SeaPort - Microsoft Corp. - C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Power Control [2009/05/06 11:56:28] ({B154377D-700F-42cc-9474-23858FBDF4BD}) - CyberLink Corp. - C:\Archivos de programa\CyberLink\PowerDVD9\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: C-Media Azalia Audio Interface (cmudax) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmudax.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Personal Firewall (Epfwndis) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\Epfwndis.sys

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\drivers\HdAudio.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller (yukonwxp) - Marvell - C:\WINDOWS\SYSTEM32\DRIVERS\yk51x86.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe



35 Servicios.

12 de Carga Automatica.

19 de Carga Manual.

4 Deshabilitados.



Eso es lo que hice. No puedo probar como va la conección en este momento porque ando sin tiempo.

Mil gracias!

[julibaga]

Pues después de que pruebes la conexión nos comentas. No te olvides de pasar el antivirus online por si hubiera algo más. Con respecto al Sproces, esperaremos a que [color=#800000]msc hotline sat[/color] lo analice.

[msc hotline sat]

Pues solo falta el informe del analisis con el AV ONLINE, ya que los demas informes enviados son correctos, pero tras tantas utilidades que dices haber pasado antes que llegara a nuestras manos, pueden haber borrado algun fichero de sistema, DLL , por lo que primero posteanos dicho informe, luego si no vemos nada que nos ayude, te indicaremos como REPARAR (no reinstalar) sistema y si ni con ello funcionara, te indicariamos las DLL que convendria registrar por si lo que hubieras hecho las hubiera afectado.



Vamos por pasos, lanza el AV ONLINE que ya deciamos en anterior post y posteanos el informe resultante, gracias



saludos



ms, 14-5-2009

[carpincho]

No he estado en la pc estos últimos dias, pero hoy ya puedo contar novedades.

Para no hacer perder (aún más) tiempo, intentaré ser lo más preciso posible.

Como bien decía, sólo me faltaba pasar el av online como me lo habían dicho aquí. Lo había pospuesto para hoy, pero antes ya me había pasado algo extraño que fue que se me reinició la pc y decía algo de volcando memoria física. Se reinició la pc y la dejé prendida durante mi ausencia estos días. Al volver, comprobé que la conección seguía sin ir bien.

Reinicié (manualmente), ya que antes me resultaba que al hacer esto, sucedía que, en cierta manera, retomaba la conección.

Pues bien, el ad-aware comenzó a sacar esos "cartelitos" sin parar que, de algunos llevo anotados por si sirve de algo.

Estos avisos dicen:

* "Ad-Watch live! ha impedido que svchost.exe se conecte a un sitio web dañino en internet. Dirección de ip:194.85.61.78 (puerto 25)" *

El resto de esos avisos son iguales, solo que varía el número ip (por ejemplo: 77.221.141.90 / 216.8.179.24 / 75.52.140.4 / 89.104.70.15 / etc etc).

Esto sigue pasando (en este instante).

Pero antes de escribir este mensaje, pasé el av online, el cual a la hora y minutos se quedó trabado y, hasta ese entonces, había encontrado 1 objeto, pero como no había terminado el scaneo no me daba el detalle. Lo dejé un buen tiempo y seguía trabado, le dí a detener pero seguía sin poder saber por lo menos el detalle de ese objeto infectado que encontró.

Pues bien, cerré la página del av, navegué (no muy bien) unos minutos y... pantalla azul... esta vez anoté algo de lo que salía...

"se ha encontrado un problema y windows ha sido apagado para evitar daños al equipo"

decía algo así como: "kenel_data_inpage_error"

y al final algo así como:

información técnica stop0x0000007A (0xc03dd9a8 .... ¿?)

atapi.sys_address F766A302



He detallado todo lo posible.

PIDO DISCULPAS por seguir molestando y, como si fuese poco, con un mensaje tan largo como este.

Desde ya AGRADEZCO la orientación y ayuda que hasta aquí me han ofrecido, y me parece que quizás no sea un problema de un simple virus (es una suposición mía).

Muchas gracias por la predisposición!

[msc hotline sat]

Pues analizadas las IP relacionadas con su Tema, tres de ellas son de Rusia... mala pinta tienen, puede tener un cazapassword bancario o un backdoor desde el que esten controlando su ordenador.



-> 194.85.61.78 RU Russian Federation 48 Moscow City Moscow 55.7522 37.6156 ROSNIIROS Russian Institute for Public Networks RU NCC Network



-> 77.221.141.90 RU Russian Federation 66 Saint Petersburg City Saint Petersburg 59.8944 30.2642 ZAO National Telecommunications Colocation and virtual hosting



216.8.179.24 CA Canada ON Ontario Windsor 42.3333 -83.0333 Managed Network Systems Next Dimension



75.52.140.4 US United States CA California Dublin 94568 37.7186 -121.9164 SBC Internet Services M CHAPMAN 807 925



-> 89.104.70.15 RU Russian Federation 48 Moscow City Moscow 55.7522 37.6156 Hosting-Center LTD CJSC Arbatek





Mucho cuidado si en su ordenador tiene contraseñas bancarias... o maneja datos de sus cuentas corrientes, puede que esten en peligros "sus dineros"



Es imperativo lanzar el AV ONLINE hasta el final y postearnos el resultado, como ya habiamos dicho. Para ello pruebe de ARRANCAR EN MODO SEGURO CON FUNCIONES DE RED



y si tiene algo relacionado con bancos, hable con ellos y que cambien contraseñas o cuentas corrientes, no sea que hagan transferencias a bancos rusos, como se estila en estos casos !!!



saludos



ms, 18-5-2009

ref AR/BA-34.5875-58.6725

[carpincho]

Gracias por la respuesta.

No he realizado ninguna transacción por internet ni mucho menos, por lo que no se porqué puede ser esto.

He pasado el av online. Este es el resultado:



--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Monday, May 18, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Monday, May 18, 2009 18:23:23

Records in database: 2191491

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

A:\

C:\

D:\



Scan statistics:

Files scanned: 74831

Threat name: 2

Infected objects: 4

Suspicious objects: 0

Duration of the scan: 01:56:38





File name / Threat name / Threats count

tsmmensajes.exe\ossmtp.dll/tsmmensajes.exe\ossmtp.dll Infected: not-a-virus:PSWTool.Win32.Messen.r 1

C:\Documents and Settings\Administrador\7zS836.tmp\wince3files.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\Documents and Settings\Default User\7zS836.tmp\wince3files.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\WINDOWS\system32\config\systemprofile\7zS836.tmp\wince3files.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1



The selected area was scanned.



Saludos y gracias!

[lucl]

Pues envianoslos para analizarlos y te diran algo al respecto sobre ellos, saludos





https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[carpincho]

Perdón por el post, pero es que no he entendido bien del todo y no quiero cometer algún error o enviar una muestra errónea.

Debo enviar los archivos que me dice el report de av online (de los cuales 3 de los que ahí figuran es el mismo). En este caso "wince3files.exe" y "ossmtp.dll"? En el caso de tener que enviar ambos, pongo cada uno en un archivo zip separado o los dos juntos en el mismo archivo zip?

Perdón por las preguntas, pero es que no quiero equivocarme.

Gracias.

[msc hotline sat]

Con el primero y el segundo nos vale, los demas son copias del segundo.



Los empaquetas juntos en un ZIP o RAR con contraseña virus y nos los envias para analizar, gracias



Tan pronto los recibamos, los analizaremos e informaremos



saludos



ms, 19-5-2009

[carpincho]

Perdón que moleste, pero no se si ha llegado el archivo con las muestras como me han dicho que haga, es que mi internet es cada vez peor y no estoy seguro de que haya llegado el zip con las muestras.

Por otro lado, con el eset smart security, en la parte de cortafuegos personal se ven las millones de ips que van cambiando a cada instante y que, intuyo, son las que me quitan la velocidad de internet, pero no puedo bloquearlos porque, justamente, cambian a cada instante.

Hay alguna forma de solucionar este problema?? Es que, con mucha suerte, mi conección aguanta 30 minutos y ya debo reiniciar para tener otro poco tiempo más de conección, que a veces ni siquiera llego a tener internet ni por 30 minutos..

Gracias por todo y perdón por las molestias.

[msc hotline sat]

Pues para ver si vale la pena que te esfuerces en enviarnos dichos ficheros, [b][i]"wince3files.exe" y "ossmtp.dll"[/i][/b], ya que parece que tienes problemas en ello, subelos al VIRUSTOTAL : https://www.virustotal.com/es/ y si detectan en ellos virus, posteanos el informe resultante, asi veremos si los ficheros son realmente virus o solo sospechosos, y obraremos en consecuencia.



saludos



ms, 23-5-2009

ref AR/BA-34.58-58.67

[carpincho]

Ante todo, gracias nuevamente por responder.

Debo decir que no es esfuerzo enviar el archivo zip, la cuestión es que no puedo saber si llega o no cuando lo envío y, justamente al no poder saberlo, no quiero enviar dos veces (en el caso de que llegue).

He hecho lo del virustotal, no se muy bien como postear los resultados con exactitud, espero que sirva como lo hago.



[b]Análisis del archivo OSSMTP.dll recibido el 2009.05.19 16:34:11 (UTC)[/b]



a-squared 4.0.0.101 - 2009.05.19 - [color=#FF0000]Riskware.PSWTool.Win32.Messen.r!A2 [/color]

Antiy-AVL 2.0.3.1 - 2009.05.19 - [color=#FF0000]Trojan/Win32.Bancos [/color]

CAT-QuickHeal 10.00 - 2009.05.19 - [color=#FF0000]PSWTool.Messen.r (Not a Virus) [/color]

eSafe 7.0.17.0 - 2009.05.19 - [color=#FF0000]PSWTool.Win32.Messen [/color]

Fortinet 3.117.0.0 - 2009.05.19 - [color=#FF0000]PossibleThreat [/color]

K7AntiVirus 7.10.739 - 2009.05.19 - [color=#FF0000]not-a-virus:PSWTool.Win32.Messen.r [/color]

PCTools 4.4.2.0 - 2009.05.18 - [color=#FF0000]PWSTool.Messen [/color]

TheHacker 6.3.4.1.327 - 2009.05.19 - [color=#FF0000]Trojan/Messen.r [/color]



[u]Link[/u]: https://www.virustotal.com/es//analisis/e52e71bfe9e694cffcdd26e9a08bf48dc0aa61087309fc478965b253290e162b-1242750851



------------------------------------------------------------------------------------------------------------------------------------------------



[b]Análisis del archivo wince3files.exe recibido el 2009.05.23 05:25:16 (UTC)[/b]



AntiVir 7.9.0.168 - 2009.05.23 - [color=#FF0000]DR/Frodo[/color]

DrWeb 5.0.0.12182 - 2009.05.23 - [color=#FF0000]Tool.HideWindows [/color]

Fortinet 3.117.0.0 - 2009.05.23 - [color=#FF0000]HackerTool/HideWindow[/color]

Ikarus T3.1.1.49.0 - 2009.05.23 - [color=#FF0000]not-a-virus:RiskTool.Win32.HideWindows[/color]

Kaspersky 7.0.0.125 - 2009.05.23 - [color=#FF0000]not-a-virus:RiskTool.Win32.HideWindows[/color]

McAfee 5623 - 2009.05.22 - [color=#FF0000]potentially unwanted program Tool-HideWindow[/color]

McAfee+Artemis 5623 - 2009.05.22 - [color=#FF0000]potentially unwanted program Tool-HideWindow [/color]

McAfee-GW-Edition 6.7.6 - 2009.05.23 - [color=#FF0000]Riskware.HideWindows.31232.1[/color]

Microsoft 1.4701 - 2009.05.22 - [color=#FF0000]Tool:Win32/Cmdow [/color]

NOD32 4098 - 2009.05.22 - [color=#FF0000]Win32/CMDOW.143[/color]

Prevx 3.0 - 2009.05.23 - [color=#FF0000]Medium Risk Malware[/color]

Sophos 4.42.0 - 2009.05.23 - [color=#FF0000]HideWindow[/color]

TrendMicro 8.950.0.1092 - 2009.05.22 - [color=#FF0000]PAK_Generic.001 [/color]

VirusBuster 4.6.5.0 - 2009.05.22 - [color=#FF0000]RiskTool.HideWindows.K[/color]



[u]Link[/u]: https://www.virustotal.com/es//analisis/400b3101b489c8dd90b41384f8a9269fbb3321b4b5130fd0b1104c8ff2d9f68f-1243056316



Espero me puedan ayudar, esto es ya insoportable.

Saludos y gracias.-

[msc hotline sat]

Pues ello confirma que son malwares y ademas cazapasswords bancarios ... !!!



Mira de enviarnoslos, aunque sea por duplicado, ello es mejor que al reves y no lo recibamos !



Y de momento añade .VIR a la extension de ambos ficheros, y tras reiniciar ya no se pondrán en marcha, a ver si asi dejan de incordiar, temporalmente.



Y voy a revisar el log, sabiendo que son maliciosos, a ver si te puedo añadir algo mas



saludos



ms, 23-5-2009

[msc hotline sat]

Pues no aparecen en el log, solo en el informe del AV ONLINE, y ya que vemos que el "wince3files.exe" está en varias carpetas, añade .VIR a su extension en cada una de dichas carpetas :





C:\Documents and Settings\Administrador\7zS836.tmp\wince3files.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1



C:\Documents and Settings\Default User\7zS836.tmp\wince3files.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1



C:\WINDOWS\system32\config\systemprofile\7zS836.tmp\wince3files.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1





y fijandome en el nombre de como lo detectan, "RiskTool.Win32.HideWindows" entiendo porqué no lo vemos en el SPROCLOG, debe tratarse de un rootkit que oculta claves, ficheros y procesos , y no deja ver ni sus procesos ni los del otro que tambien debe ocultar... (ossmtp.dll)



Tras añadirles a todos la extension .VIR, reinicia a ver si ya no persiste la anomalia, y en cualquier caso, arrnca en modo seguro (pulsando repetidamente F8 al arrancar y escogiendo la opcion de ARRANCAR EN MODO SEGURO CON FUNCIONES DE RED, y asi lanzas el SPROCES y nos posteas en nuevo c:\sproclog.txt resultante, a ver si asi vemos las claves y procedemos al respecto antes que lleguen las muestras.



Y recuerda, si has mantenido informacion bancaria, cuentas, passwords, pagos, compras, etc, posiblemente tenga todos los datos el autor del malware, asi que, si es el caso, habla con tu banco, cambia numeros de cuenta, passwords y demas, no vaya a ser que te encuentres sin blanca !



saludos



ms, 23-5-2009









NOTA: Recuerda las IP a las que tu ordenador se conectaba:



-> 194.85.61.78 RU Russian Federation 48 Moscow City Moscow 55.7522 37.6156 ROSNIIROS Russian Institute for Public Networks RU NCC Network



-> 77.221.141.90 RU Russian Federation 66 Saint Petersburg City Saint Petersburg 59.8944 30.2642 ZAO National Telecommunications Colocation and virtual hosting



-> 89.104.70.15 RU Russian Federation 48 Moscow City Moscow 55.7522 37.6156 Hosting-Center LTD CJSC Arbatek



Muchos cazapasswords envian datos a hackers rusos, todo concuerda ! ms.

[carpincho]

En primer lugar, he intentado enviar el zip con las muestras vía mail, pero gmail no me deja enviarlo porque contiene un archivo ejecutable, por lo cual no se como poder hacerlo.

En segundo, cambié las extensiones: los 3 repetidos de wince3files.exe quedaron wince3files.exe.vir y también cambie la extensión de ossmtp, el cual quedó ossmtp.dll.vir

Luego reinicié en modo seguro y pasé el SProces, el cual dió el siguiente informe:



(23-5-2009 22:53:32)

SProces v3.5 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: COLOSSUS

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\SYSTEM32\USERINIT.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: epfw - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfw.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SeaPort - Microsoft Corp. - C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Power Control [2009/05/06 11:56:28] ({B154377D-700F-42cc-9474-23858FBDF4BD}) - CyberLink Corp. - C:\Archivos de programa\CyberLink\PowerDVD9\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: C-Media Azalia Audio Interface (cmudax) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmudax.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Personal Firewall (Epfwndis) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\Epfwndis.sys

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\drivers\HdAudio.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller (yukonwxp) - Marvell - C:\WINDOWS\SYSTEM32\DRIVERS\yk51x86.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe



35 Servicios.

12 de Carga Automatica.

19 de Carga Manual.

4 Deshabilitados.



--------------------------------------------------------------------------------------------------------------------------------------------------



Por último, si sirve el dato: acabo de abrir el ESET y en la parte cortafuegos personal (en la cual antes se veían ips cambiando a cada segundo, más precisamente en dos de las aplicaciones svchost), pues... nada de ips, solo una en cada svchost y tiene el mismo número que en la imagen de msc hotline sat (la cual dice mi ip)... además, no han aparecido carteles del ad-aware... se habrá solucionado???



Saludos y Gracias.-



--------------------------------------------------------------------------------------------------------------------------------------



EDITO:

Todo indica que se ha normalizado!!

Eternamente agradecido por la ayuda y la preocupacion!!

Muchas gracias!!.-

[msc hotline sat]

Bueno, al respecto de lo que dices [b][i]"nada de ips, solo una en cada svchost y tiene el mismo número que en la imagen de msc hotline sat (la cual dice mi ip)"[/i][/b], informarte que la IP de la imagen que posteo en mi firma, al final de cada post, solo la ve el usuario, y cada cual ve la suya, y bien que te ha ido en este caso :mrgreen:



y voy a analizar el log...



Pues si, parece que el problema está aparcado, pero necesitamos las muestras para hacer limpieza del registro y controlarlas a partir de proximas versiones.



Seguro que las envias empaquetas con password virus y a traves de pulsar en ENVIO MUESTRAS de la parte superior derecha de este Tema ???



Si ni asi las puedes enviar, el mismo ZIP o RAR, enviame un privado y lo anexas al mismo. (Esto es excepcional y no debe hacerse salvo que lo pida ! )



saludos





ms, 24-5-2009





NOTA: De todas formas puedes seguir trabajando normalmente, solo tener en cuenta que se han enviado datos confidenciales a las IP de Rusia indicadas en otros post. ms.

[carpincho]

He enviado via web (envío muestras) el zip.

Pues no he comprado nada ni a rusia ni a ningún lado :shock:

Gracias!.-

[msc hotline sat]

No, a Rusia no hacia falta comprar nada, es que cualquier dato bancario relativo a compras, transferencias, consultas bancarias, etc, han sido enviadas a Rusia... y no hace falta decir donde transferirian si pudieran sus dineros, verdad ???



Pues mañana analizaremos su muestra e informaremos



saludos



ms, 24-5-2009

[carpincho]

Gracias por la preocupación. Espero el informe para saber que hacer.

Por otro lado, al parecer volvieron los problemas (ya el ad-aware comenzó con sus carteles) y la conección, aunque no es pésima como antes, se ha enlentecido algo.

Quizás deba buscar si hay más de los wince3files.exe para cambiarle la extensión, pero por las dudas esperaré a lo que me digas.

Gracias!.-



EDITO: pues si, han vuelto los problemas y la conección va realmente mal.



EDITO #2: bueno, ya anda como antes, es decir, prácticamente no anda. Debo reiniciar para, al menos, tener un poco de conección para postear aquí. He pasado el av online y en el reporte ha salido lo siguiente:



File name / Threat name / Threats count

C:\Documents and Settings\Administrador\7zS836.tmp\wince3files.exe.VIR Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\Documents and Settings\Default User\7zS836.tmp\wince3files.exe.VIR Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\WINDOWS\system32\config\systemprofile\7zS836.tmp\wince3files.exe.VIR Infected: not-a-virus:RiskTool.Win32.HideWindows 1



Al parecer no hay solución.

[msc hotline sat]

Confio que sí habrá solución :wink: , hoy miraremos las muestras enviadas y si nos has enviado los dos ficheros, veremos el rootkit, que oculta informacion y lo eliminaremos para que nos deje hacer el trabajo restante, es posible que sea por ello el que persista en tu equipo



POr cierto, en tus ultimos informes no veo referencia al : OSSMTP.dll...



y es tan importante como el otro... , ya le has añadido la extension .VIR ???


[quote="VirusTotal"]Análisis del archivo OSSMTP.dll recibido el 2009.05.19 16:34:11 (UTC)



a-squared 4.0.0.101 - 2009.05.19 - Riskware.PSWTool.Win32.Messen.r!A2

Antiy-AVL 2.0.3.1 - 2009.05.19 - Trojan/Win32.Bancos

CAT-QuickHeal 10.00 - 2009.05.19 - PSWTool.Messen.r (Not a Virus)

eSafe 7.0.17.0 - 2009.05.19 - PSWTool.Win32.Messen

Fortinet 3.117.0.0 - 2009.05.19 - PossibleThreat

K7AntiVirus 7.10.739 - 2009.05.19 - not-a-virus:PSWTool.Win32.Messen.r

PCTools 4.4.2.0 - 2009.05.18 - PWSTool.Messen

TheHacker 6.3.4.1.327 - 2009.05.19 - Trojan/Messen.r [/quote]

Sobre todo, envianos los dos !



Una vez los tengamos, procedemos a si analisis y control, de lo cual informaremos



saludos



ms, 25-5-2009

[carpincho]

Al ossmtp.dll le he añadido el .vir, no se porque no sale..

Ayer he enviado las muestras tanto del ossmtp.dll como del wince3files.exe, eso si, ambos archivos que he incluído en el zip fueron antes que les añadí el .vir, por lo que ambos están tal cual eran. Espero haya llegado el zip.

Gracias! Saludos!.-

[msc hotline sat]

Lo sabremos en breve, de momento se estan descargando los mails recibidos el fin de semana (unos cuantos cientos) luego se clasifican y se distribuyen para contestar, analizar, monitorizar, etc... estamos en ello



saludos



ms, 25-5-2009

[msc hotline sat]

Recibidas las dos muestras, ya se controla con el actual ELISTARA el CMDOW.EXE que genera el wince3files.exe, ya que es lo que vemos malicioso dentro de este EXE que es un empaquetado autoextraible, y hemos optado por no eliminarlo al solo tener este fichero malicioso, cque controlamos una vez descomprimido.



Pero si quiere, elimine el fichero empaquetado, para evitar que le vuelva a generar de nuevo dicho CMDOW.EXE


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 25-5-2009







NOTA: El ossmtp.dll es un motor de correo que puede ser usado por programas maliciosos como por buenos, razon por la que lo dejaremos estar, ya sin el programa que captura y genera el envio, el motor de poco sirve. De todas formas dejalo con la extension .VIR o eliminalo si queres.

[msc hotline sat]

Y como que a pesar de tenerlos renombrados a .VIR dice que persiste el problema, hemos revisado las detecciones y vemos que la primera linea del informe del AV ONLINE está cortada:



File name / Threat name / Threats count

tsmmensajes.exe\ossmtp.dll/tsmmensajes.exe\ossmtp.dll Infected: not-a-virus:PSWTool.Win32.Messen.r 1



No se ve la ruta de este [u][b][i]tsmmensajes.exe[/i][/b][/u], pero con un Inicio -> Buscar lo encontrará, renombrelo tambien a .VIR pues puede ser el que nos lo regenera , y envienoslo para analizar y obraremos en consecuencia



saludos



ms, 25-5-2009

[carpincho]

Pues me parece un tanto raro aquello porque tsm es una app freeware muy conocida y usada para enviar sms en Argentina, por lo que no le encuentro explicación.

Ya he enviado el nuevo zip que me has pedido, por las dudas agregué tsmmensajes.exe.manifest, y luego le añadí a ambos el .vir.



Muchas Gracias! Saludos.-

[msc hotline sat]

Si, ya lo hemos recibido y visto que es un medio de envio de mensajes SMS a moviles.



Como que estaba en la ruta de uno de los ficheros, señal de que salía de alli, pero posiblemente era el motor que hemos descartado controlar, asi que queda el otro cuyo control hemos implementado, y si no es este, ya será algo no conocido ni detectado... esperemos que no sea un rootkit profundo...



Veamos tras probar la version de hoy del ELISTARA, a ver si persiste o se queda solucionado.



saludos



ms, 25-5-2009

[carpincho]

Perdona por seguir y seguir llenando de respuestas el post.

He pasado la última versión de Elistara (18.67) y no ha detectado nada.

No se ha solucionado nada añadiéndole a tsmmensajes.exe el .vir.

Ya me parece que no hay solución....

Muchas gracias y mil perdones...ya debes estar cansado de leer mis post!



EDITO: bueno, a pesar de que en un principio, cuando he reiniciado ahora la pc, el ad-aware me avisó de que "evitaba una conección" (estos avisos son "subjetivos", ya que cuando aparecen, quiere decir que hay millones de esas "ips" o como se llamen conectándose y variando constantemente). Pero la conección, por ahora, esta más o menos estable y, guiándome por el "cortafuegos personal" del ESET, no veo esas millonadas de ips.

No es mi intención que, ante cualquier cambio, pues venir y escribirlo en el post, quizás sea algo momentáneo, pero es que quizás sea una información util que pueda ahorrar un poco del tiempo que les hago perder.

Gracias por todos!.-