Hola, una amiga me pidio ayuda con su pc, por principio de cuentas les comento que es XP Profressional que no esta actualizada, solo tiene 2 parches por lo que me parece que debe tener algun virus de blaster o sasser, pero las utilerias del foro para tal fin no detecto nada ni por el rpc ni por el lsass solo dice que no tiene los parches correspondientes, sin embargo esta lenta la PC, me dice que luego se comienza a hacer pequeña la pantalla hasta que se pierde la imagen (aunque eso aqui con mi monitor no lo ha hecho, asi que puede ser por problemas con el monitor). Ya he deshabilitado restaurar sistema y actualizado y pasado el norton 2004 en modo a prueba de fallos al igual que las utilerias y no me han encontrado nada, bueno, solo una que me mando el mensaje que mas abajo coloco. Por lo pronto voy a instalarle por lo menos los parches mas importantes, pero los demas como el SP1 o SP2 estara dificil ya que es una copia la que tiene instalada, no es original. Pero al menos espero poder poner los parches del blaster y sasser.
Este es el mensaje del InfoSat.txt con respecto al Mydoa:
Tue Jan 11 19:03:15 2005
EliMyDoom v3.5 (c)2004 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 7.0\Upload.dll --> Posiblemente Infectado
Por lo que estoy por mandarles el archivo detectado como posiblemente infectado.
Los demas resultados son los siguientes:
Tue Jan 11 13:14:36 2005
EliADClicker v1.4 (c)2004 S.G.H. / Satinfo S.L.
------------------------------------------------
Lista de Acciones:
C:\Archivos de programa\MSN\MSNCoreFiles\logonmgr.dll --> Eliminado
Tue Jan 11 18:47:19 2005
EliLSASS v3.8 (c)2004 S.G.H. / Satinfo S.L.
--------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
Tue Jan 11 19:46:35 2005
EliDCOM-RPC v9.0 (c)2005 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones:
No detectado Parche MS04-012 de Microsoft instalado.
Tue Jan 11 19:46:42 2005
EliSasser v1.6 (c)2004 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
Ahora, tambien comentarles que cuando abro este archivo infosat.txt o algunos log mas, o pego informacion en el bloc de notas, me aparecen cuadritos en la mayor parte de las letras, solo algunas se distinguen, con lo que parece que esta infectado con el Mydoom segu leia en el del mydoomm.a que al infectarse la Pc se abre un bloc de notas con texto que no se entiende, pero aparte de eso ya no veo que otra cosa pueda estar mal, solo va lento como comento. He buscado los archivos del mydoom.a pero no estan (message, shimgapi.dll, taskmon.exe), pero puede ser otra variante o una nueva.
Despues de esto, estoy probando con el xcleanerfree y el cwshredder. Posteriormente correre el hijackthis, y los antiespias mas sofisticados como el spybot y el ad-aware.
Esto es todo por el momento. Espero que me puedan dar alguna sugerencia de donde mas buscar.
Saludos
Efrain
elimydoa detecto posible virus, Upload.dll ....
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Efectivamente, envianos el Upload.dll a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos comor espuesta de este Tema, como resultado del analisis.
Y tal como dices, lanza los antispywares, pero hazlo arrancando en modo seguro y deshabilita la restauracion de sistema, para poder llegar a todas partes, incluso al RESTORE y eliminar los ficheros infectados, que si estuvieran en uso, windows no dejaria hacerlo.
Y por supuesto que debes instalar los parches de microsoft, y registrar debidamente el xp, pues no se puede andar saltando el sopyrigth !
saludos
ms, 11-01-2005
Y tal como dices, lanza los antispywares, pero hazlo arrancando en modo seguro y deshabilita la restauracion de sistema, para poder llegar a todas partes, incluso al RESTORE y eliminar los ficheros infectados, que si estuvieran en uso, windows no dejaria hacerlo.
Y por supuesto que debes instalar los parches de microsoft, y registrar debidamente el xp, pues no se puede andar saltando el sopyrigth !
saludos
ms, 11-01-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Ok, entiendo, mientras dan respuesta a ese dll, les pego el resultado del hijackthis, aun me falta pasar en busca de espias, pero al parecer ya esta un poco mas rapida la pc, aunque veo que tiene muchos servicios cargados que no se si deban estar activos o no, agradeceria me comentaran cuales se pueden apagar y cuales son necesarios o imprecindibles tenerlos activos.
Espero puedan decirme que otras cosas se pueden eliminar del log, yo noto unas entradas a una direccion 192.168.2.1 pero no se a que se refieran. Y los related y alguna cosilla que se me escapa pero aun no lo reparo para que me digan si estoy correcto y que mas se puede eliminar sin problemas.
Y como nota, decirle que ya se que necesito actualizar el sistema.
Logfile of HijackThis v1.99.0
Scan saved at 04:07:08 p.m., on 12/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\zstatus.exe
C:\Archivos de programa\Reality Fusion\Reality Fusion GameCam SE\Program\RFTray.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Messenger\msmsgs.exe
D:\zonavirus\adware-spyware\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [hp 1000 firmware] C:\Archivos de programa\hp LaserJet 1000\fwdl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O4 - Global Startup: Ulead Photo Express 4.0 SE Calendar Checker.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{790B1D80-691A-46EE-9DDC-F377BDB84A6B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{790B1D80-691A-46EE-9DDC-F377BDB84A6B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{790B1D80-691A-46EE-9DDC-F377BDB84A6B}: NameServer = 192.168.2.1
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Saludos
Efrain
Espero puedan decirme que otras cosas se pueden eliminar del log, yo noto unas entradas a una direccion 192.168.2.1 pero no se a que se refieran. Y los related y alguna cosilla que se me escapa pero aun no lo reparo para que me digan si estoy correcto y que mas se puede eliminar sin problemas.
Y como nota, decirle que ya se que necesito actualizar el sistema.
Logfile of HijackThis v1.99.0
Scan saved at 04:07:08 p.m., on 12/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\zstatus.exe
C:\Archivos de programa\Reality Fusion\Reality Fusion GameCam SE\Program\RFTray.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Messenger\msmsgs.exe
D:\zonavirus\adware-spyware\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [hp 1000 firmware] C:\Archivos de programa\hp LaserJet 1000\fwdl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O4 - Global Startup: Ulead Photo Express 4.0 SE Calendar Checker.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{790B1D80-691A-46EE-9DDC-F377BDB84A6B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{790B1D80-691A-46EE-9DDC-F377BDB84A6B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{790B1D80-691A-46EE-9DDC-F377BDB84A6B}: NameServer = 192.168.2.1
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Saludos
Efrain
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Analizada la DLL sospechosa se ha comprobado que contiene la cadena buscada pero no está infectado, por lo que puede dejarse en el ordenador, y eliminamos su deteccion en la proxima version del EliMydoa.exe.
Por otro lado, sobre la URL 192.168.2.1 es posible que utilices un router 3com, que lo utiliza e incluso que a través de ella puedas utilizarla para controlar su cortafuegos, que según ya.com que son unos de los que los montan, pueden ocasionar problemas y controlarlo desde:
http://192.168.2.1/accessControlAdd.stm
Hay mas paginas ocultas en el router
http://192.168.2.1/cgi-bin/security.log
http://192.168.2.1/accessControlAdd.stm
http://192.168.2.1/adsl_para_main.stm
http://192.168.2.1/adsl_status_main.stm
http://192.168.2.1/advance_main_0.stm
http://192.168.2.1/app_sta.stm
http://192.168.2.1/c_adsl_status.stm
http://192.168.2.1/data.js
http://192.168.2.1/ddns.stm
http://192.168.2.1/engineer.stm
http://192.168.2.1/firewall_spi_h.stm
http://192.168.2.1/function.stm
http://192.168.2.1/fw_ping.stm
http://192.168.2.1/igd.xml
http://192.168.2.1/igd_osf.xml
http://192.168.2.1/igd_wcic.xml
http://192.168.2.1/igd_wdsl.xml
http://192.168.2.1/igd_wec.xml
http://192.168.2.1/igd_wic.xml
http://192.168.2.1/igd_wpc.xml
http://192.168.2.1/isp.stm
http://192.168.2.1/login.htm
Por ello, en este caso, esta URL no es ninguna entrada vírica, sino posiblemente correspondiente a la instalcion de dicho router o cortafuegos 3com
saludos
ms, 12-01-2005
Por otro lado, sobre la URL 192.168.2.1 es posible que utilices un router 3com, que lo utiliza e incluso que a través de ella puedas utilizarla para controlar su cortafuegos, que según ya.com que son unos de los que los montan, pueden ocasionar problemas y controlarlo desde:
Hay mas paginas ocultas en el router
Por ello, en este caso, esta URL no es ninguna entrada vírica, sino posiblemente correspondiente a la instalcion de dicho router o cortafuegos 3com
saludos
ms, 12-01-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Ademas de lo indicado, es hora de actualizar tu sistema operativo
tu log da:
Logfile of HijackThis v1.99.0
Scan saved at 04:07:08 p.m., on 12/01/2005
Platform:[color=red]Windows XP [/color] (WinNT 5.01.2600)
MSIE:[color=red]Internet Explorer v6.00 [/color] (6.00.2600.0000)
Te falta Sp1 en XP e I.E. mas parches criticos asi como el SP2. Conecta con windows update y actualiza.
Saludos
maura63
tu log da:
Logfile of HijackThis v1.99.0
Scan saved at 04:07:08 p.m., on 12/01/2005
Platform:
MSIE:
Te falta Sp1 en XP e I.E. mas parches criticos asi como el SP2. Conecta con windows update y actualiza.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Hola, le comentare a mi amiga para que busque la manera de actualizar su sistema, pero mientras tanto, tengo esta duda, pues he limpiado con el antivirus y las utilerias del foro en prueba de fallos, deshabilitando restaurar sistema (me queda pendiente poner antiespias como spybot, adaware y spyblaster) pero el detalle esta en que sigue mostrando texto del bloc de notas como cuadritos dentro de la vista de la PC, pero los copio a diskette y los pongo en otra PC (previo los analizo con el antivirus residente en la otra PC, no marcandome nada) y ahi si se les entiende, debido a que se provoca eso?, sera que actualizando el sistema se corrija? o desinstalo y vuelvo a instalar el bloc de notas?, ya cheque los caracteres y el idioma del teclado porque pareciera problema de ese tipo, pero todo esta OK.
Como comentaba, en la informacion de mydoom marcaba algo de que un archivo de bloc de notas cuando se abre aparece de ese tipo (como texto raro, cuadritos), pero se supone que solo es ese y no los demas que se abren despues, eso creo.
Tengo una imagen capturada en jpg de como se muestra el log txt, en la Pc que menciono que aparentemente ya esta limpia, solo falta pasar el antiespia, pero no se como dejarlo para que lo vean, o se los envio por mail?
Efrain
Como comentaba, en la informacion de mydoom marcaba algo de que un archivo de bloc de notas cuando se abre aparece de ese tipo (como texto raro, cuadritos), pero se supone que solo es ese y no los demas que se abren despues, eso creo.
Tengo una imagen capturada en jpg de como se muestra el log txt, en la Pc que menciono que aparentemente ya esta limpia, solo falta pasar el antiespia, pero no se como dejarlo para que lo vean, o se los envio por mail?
Efrain
[quote]Tengo una imagen capturada en jpg de como se muestra el log txt, en la Pc que menciono que aparentemente ya esta limpia, solo falta pasar el antiespia, pero no se como dejarlo para que lo vean, o se los envio por mail?[/quote]
para mostrar imagenes, tenes q subirlas a un host, por ej:
PD: les puse * a los codigos para q no se activen
"Yo por amor doy mi vida porque un día de amor mi vida nació." <<León Gieco - Cantautor argentino>>
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Probablemente esté dañada la aplicacion y podría ser que sobreescribiendo el notepad.exe restableciera la normalidad, y si no queda el REPARAR el XP, arrancando con el CDROM de instalacion.
Pruebe lo primero y si no obraríamos con lo segundo, sonretodo no reinstalando, sino cuando detectara la particion instalada, REPARAR, sino perdería las aplicaciones instaladas.
saludos
ms, 13-01-2005
Pruebe lo primero y si no obraríamos con lo segundo, sonretodo no reinstalando, sino cuando detectara la particion instalada, REPARAR, sino perdería las aplicaciones instaladas.
saludos
ms, 13-01-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hola de nuevo, aqui tengo algo mas acerca del la PC, pues bien, busque forma de reinstalar el notepad, pero no aparece en agregar/quitar programas -> componentes de windows, pero ya vi cual era el problema, no se si a raiz de que probablemente el virus de mydoom afectara la pc dejo cambiando el tipo de letra, y no me habia percatado que el notepad para win xp trae forma de cambiarlo, asi que estaba en mangal o algo asi decia, entonces seleccione arial y listo, el texto que escribi ya era legible por si acaso le di a guardar documento. Y despues cheque los log y ya son legibles.
Ahora bien, al pasar la utileria de elibardi, me marco otro posible virus, asi que se los enviare, lo detecto en el vb6.exe, probablemente sea otra falsa alarma, pero como quiera la envio.
InfoSat creado por elibardi:
Thu Jan 13 14:10:39 2005
EliBardiel v1.6 (c)2004 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones:
C:\Archivos de programa\Microsoft Visual Studio\VB98\vb6.exe --> Posiblemente Infectado
Por otro lado, instale spybot, adaware y spywareblaster (todos fueron actualizados despues de ser instalados) y fueron corridos en modo a prueba de fallos, sin reportan problemas serios, solo el alexa.
Pero aun siento un poco lenta la Pc, sera el sistema en si (veo 4 svchost cargados en memoria) 1 es de servicio local, otro de servicio de red, y 2 de system, no marcan porcentaje de CPU grande, solo hay uno de los de sistema con memoria ocupada de 8572 Kb con 1 en ocupacion del CPU, el otro de sistema es de 1940 Kb. Como comentario, es una Pc con procesador de ~868 MHz, 128MB ram.
Ahh por cierto tambien pase el Stinger pero sin encontrar problemas. Y hay una carpeta que no es accesible por la mayoria de las utilidades Eli, en el antivirus no me marco error, es lo raro, pero no es la de restaurar sistema, sino una dentro de mis documentos-> musica. Y si la acceso normalmente aparecen cuadritos en el nombre pero si veo su contenido, no se a que se deba.
Espero alguna ultima ayuda con esto, parece que es lo ultimo.
Saludos
Efrain
Ahora bien, al pasar la utileria de elibardi, me marco otro posible virus, asi que se los enviare, lo detecto en el vb6.exe, probablemente sea otra falsa alarma, pero como quiera la envio.
InfoSat creado por elibardi:
Thu Jan 13 14:10:39 2005
EliBardiel v1.6 (c)2004 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones:
C:\Archivos de programa\Microsoft Visual Studio\VB98\vb6.exe --> Posiblemente Infectado
Por otro lado, instale spybot, adaware y spywareblaster (todos fueron actualizados despues de ser instalados) y fueron corridos en modo a prueba de fallos, sin reportan problemas serios, solo el alexa.
Pero aun siento un poco lenta la Pc, sera el sistema en si (veo 4 svchost cargados en memoria) 1 es de servicio local, otro de servicio de red, y 2 de system, no marcan porcentaje de CPU grande, solo hay uno de los de sistema con memoria ocupada de 8572 Kb con 1 en ocupacion del CPU, el otro de sistema es de 1940 Kb. Como comentario, es una Pc con procesador de ~868 MHz, 128MB ram.
Ahh por cierto tambien pase el Stinger pero sin encontrar problemas. Y hay una carpeta que no es accesible por la mayoria de las utilidades Eli, en el antivirus no me marco error, es lo raro, pero no es la de restaurar sistema, sino una dentro de mis documentos-> musica. Y si la acceso normalmente aparecen cuadritos en el nombre pero si veo su contenido, no se a que se deba.
Espero alguna ultima ayuda con esto, parece que es lo ultimo.
Saludos
Efrain
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibida la muestra del vb6.exe, es una falsa alarma que ya se ha corregido con la actual version del ELIBARDI, que ya esta disponible en el foro, al igual que la nueva EliMyDoa para la anterior muestra del UPLOAD.DLL
Lo indicado del SVCHOST no tiene porque ser anomalo, ya que se trata del lanzador de aplicaciones de windows y es normal tener varias en el controlador de tareas.
Si con el antivirus actualizado y pasando los antispywares que le recomendamos en el tutorial no detecta ya nada, puede tratarse de corrupcion de algun fichero del sistema operativo, por lo que recomendaría REPARAR, arrancando con el de de instalacion como si se fuera a instalar, y cuando detectara la particion instalada, darle a REPARAR, para no perder las aplicaciones instaladas.
saludos
ms, 14-01-2005
Lo indicado del SVCHOST no tiene porque ser anomalo, ya que se trata del lanzador de aplicaciones de windows y es normal tener varias en el controlador de tareas.
Si con el antivirus actualizado y pasando los antispywares que le recomendamos en el tutorial no detecta ya nada, puede tratarse de corrupcion de algun fichero del sistema operativo, por lo que recomendaría REPARAR, arrancando con el de de instalacion como si se fuera a instalar, y cuando detectara la particion instalada, darle a REPARAR, para no perder las aplicaciones instaladas.
saludos
ms, 14-01-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online