problemas con explorer (SOLUCIONADO)

[kaotiko]

Tengo probelmas con el explorer, cada vez que intento abrir una pagina de explorer me sale el tipico fallo de iexplorer.noseque a sufrido un fallo y debe cerrarse blablabla, enviar problemas o cerrar, y asi no me deja entrar. A esta pagina consegui entrar por mi pc ya que tenia la pagina en favoritos, sino no puedo entrar a traves del acceso del explorer.



He pasado el spybot en modo seguro y quitado eso de mipc restaurar sistema, pero no se como arreglar eso, a ver si alguien me puede ayudar. Gracias y saludos

[msc hotline sat]

Si con el SPYBOT ha eliminado los spywares que pudiera tener, cabe que tenga algun virus pululando por ahi, lo cual podrá determinar lanzando un antivirus ONLINE



https://www.virustotal.com/es/



Informenos del resultado como respuesta de este Tema, y le ayudaremos



Aparte, pruebe el ELISTARA que complementa a antivirus y antispywares:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







saludos



ms, 28-08-2005

[kaotiko]

Bueno he pasado ese antivirus online, siempre acediendo desde MI pc, y lo que me ha puesto es lo siguiente:



JS.MHTMLRedir!exploit infected



JS.MHTMLRedir!exploit infected



JS.MHTMLRedir!exploit infected



3 veces mas, al lado pone dias



Win32.Winshow.FD infected C:\WINDOWS\

SPAlert.chm HTML.Bloon.V infected C:\WINDOWS\Help\



ipyn32.exe Win32.Winshow.FD infected C:\WINDOWS\



iemn32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\



javamu32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\





nethl32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netxl.exe Win32.Winshow.FD infected C:\WINDOWS\system32\





eso es todo.



P.D: LLamarme de tu



gracias de antemano

[msc hotline sat]

Bien, pues de entrada te falta actualizar los parches de microsoft, pues este virus entra a través del Exploit MHTREDIR



Tras lanzar un windowsupdate, mira si todavía tienes estos ficheros o el antivirus ONLINE ya los ha puesto en cuarentena. Si los tuvieras todavía en las rutas indicadas, muevelos a un directorio de cuarentena:



C:\WINDOWS\Help\SPAlert.chm



C:\WINDOWS\ipyn32.exe



C:\WINDOWS\system32\iemn32.exe



C:\WINDOWS\system32\javamu32.exe



C:\WINDOWS\system32\nethl32.exe



C:\WINDOWS\system32\netxl.exe



Y tras reiniciar, ya no serán utilizados al no encontrarlos en su sitio.



A continuacion actualiza tu antivirus y podráas terminar la limpieza al no estar ya en uso.



saludos



ms, 28-08-2005

[kaotiko]

Gracias, hare lo que me has dicho y edito el mensaje si todo va bien para que lo podais cerrar.



Awindows update no puedo entrar por este problema, pero hare lo que me dices igualemente. Lo de moverlo a un directori de cuarentena supongo que os referis a moverlos a otro sitio del ordenador, una carpeta cualquiera, no vale borrarlos??



gracias, avisare de como procede.



gracias

[msc hotline sat]

La actual tecnología de Windows no permite borrar ficheros si estan en uso, pero si moverlos o renombrarlos, que es lo que hacemos.



Y la carpeta de cuarentena es una cualquiera, pero mejor especificamente una a tal fin, para no mezclar estos con otros ficheros normales.



Y si tienes el windows legal podrás lanzar el windowsupdate. Hazlo pues sino tienes agujeros de seguridad.



saludos



ms, 29-08-2005

[kaotiko]

Bueno sigo con el mismo problema, ahora paso el antivirus online ese y no me ecuentra nada, solo me encontro esos de los dias y uno que se llamaba msnr32.exe , hice lo que dijisiteis de pasarlo a otra carpeta y cuando reinicio sale que no se ha podido encontrar ese archivo blabla, no se si eso es bueno.



Luego, siempre que arranco me sale el fallito de que ha habido un fallo con el archivo d3ts32.exe y debe cerrarse, creo que puede ser este el que de todos los fallos no?



despues el fallo de iexplorer.exe ha tenido un fallo y debe cerrarse continua, es muy duro.



saludos





bueno he pasado el elistara y me ha dado los siguientes fallos:



Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\WINDOWS\ATLXU32.EXE

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\MFCXF.EXE

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\DOCUME~1\YO\CONFIG~1\TEMP\APPBP32.DLL.Muestra EliStartPage v10.16

a "virus@satinfo.es". Gracias.



C:\WINDOWS\APPBP32.DLL --> Eliminado



y de la exploracion que me hizo, me ha detectado dos infecciones, de las cuales una fue eliminada.



EL ficher msnr32.exe lo he dejado en su sitio normal, ya que me colgaba todo el rato las acciones que hacia y me daba fallo por todos lados, asi que lo devolvi a system32 y todo eso quedo solucionado por esta parte.



saludos

[msc hotline sat]

Pues ante todo envienos los ficheros que le indica el ELISTARA, ya que se tratan de nuevas variantes que hemos de controlar para que este bicho no incordie mas



Por el fichero que nos indica d3ts32.exe su infeccion tiene relacion con el troyano win32/pakes, pero que si ya se ha eliminado, las consecuencias de la autproteccion del gusano las podemos eliminar lanzando el ELIRESTR.VBS, a ver si asi deja de ser requerido.





ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp









Si a pesar de ello mostrara dichos mensajes al iniciar, podemos buscar con el BUSCAREG la clave de carga y eliminarla





BUSCAREG.EXE

http://www.zonavirus.com/descargas/buscareg.asp





Tras ello reinicie y vea si se han solucionado los problemas, pero ante la presencia de los sospechosos que analizaremos cuando nos envie, me temo que tenga para ello que utilizar la utilidad que haremos a tal efecto, o bien manualmente lo cual sería mucho mas laborioso.



TEnfanos informados como respuesta de este Tena y seguiremos ayudandole.



A tal efectyo, además de lo indicado anteriormente, vea de pegarnos en un proximo post el log que le genere el lanzamiento de

l HiJackThis, siguiendo estas instrucciones:





[i]¿Como utilizar el Hijackthis?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y colocarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema, gracias.

[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



.

A la vista del log te indicaremos claves y ficheros a eliminar



saludos



ms, 29-08-2005

[kaotiko]

No puedo descargar nada de esto, ya que las descargas requieren abrir una pantalla del explorer y no puedo, intentar ponerme la direccion directa de descarga a ver si asi funciona, en cuanto pueda subo eso que me pedisteis de las nuevas infecciones.



saludos y gracias

[msc hotline sat]

Descargalo en otro ordenador ylo pasas a este, y lo que nos tienes que enviar, envialo desde el otro tambien, gracias



saludos



ms, 29-08-2005

[msc hotline sat]

ATENCION A LA NUEVA VERSION DE ELIBDCSL.EXE 1.3



Puede ser interesante para solucionar este Tema



Mirar lo indicado en:



https://foros.zonavirus.com/viewtopic.php?t=8250&highlight=



y para descargarla:



ELIBDCSL.EXE

http://www.zonavirus.com/datos/descargas/178/ELIBDCSLEXE.asp





saludos



ms, 30-08-2005

[kaotiko]

Os pego aqui el resultado de hijackthis, para realizar las modificaciones aconsejadas, supongo que el desde el propio programa se podra hacer, de todos modos creo que hay un apartado en el foro para informarse de esto.





Logfile of HijackThis v1.99.1

Scan saved at 12:49:30, on 30/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\system32\mfcxf.exe

C:\WINDOWS\System32\sstray.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\atlxu32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\JETWAY\MpegTV Station PCITV\RemoteCtl.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\MIA\PROGRAMAS\HijackThis\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: Class - {26035A02-7899-DB05-D475-AE4FA3F22563} - C:\WINDOWS\system32\winfv.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [d3ts32.exe] C:\WINDOWS\system32\d3ts32.exe

O4 - HKLM\..\Run: [atlxu32.exe] C:\WINDOWS\atlxu32.exe

O4 - HKLM\..\RunOnce: [mfcxf.exe] C:\WINDOWS\system32\mfcxf.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [dePloy] MSTCPDLL.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: MpegTV Station PCITV Remote Control.lnk = C:\Archivos de programa\JETWAY\MpegTV Station PCITV\RemoteCtl.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122830665890

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{618D942A-089D-4186-9FDA-13BAF8B3D43F}: NameServer = 195.95.218.18,85.255.112.11

O17 - HKLM\System\CCS\Services\Tcpip\..\{E70A1ECA-6113-4338-ACD2-F8F5A3B7554C}: NameServer = 195.95.218.18,85.255.112.11

O17 - HKLM\System\CCS\Services\Tcpip\..\{F5F9E565-A165-470A-872B-2619F508617D}: NameServer = 195.95.218.18,85.255.112.11

O17 - HKLM\System\CS1\Services\Tcpip\..\{618D942A-089D-4186-9FDA-13BAF8B3D43F}: NameServer = 195.95.218.18,85.255.112.11

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\d3vb32.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe



P.D.: Como os envio los archivos?



saludos y gracias

[msc hotline sat]

Lanza el HJT, y eñimina las siguientes clabes, marcandolas y dandole al FIX





R3 - Default URLSearchHook is missing





O4 - HKLM\..\Run: [d3ts32.exe] C:\WINDOWS\system32\d3ts32.exe

O4 - HKLM\..\Run: [atlxu32.exe] C:\WINDOWS\atlxu32.exe

O4 - HKLM\..\RunOnce: [mfcxf.exe] C:\WINDOWS\system32\mfcxf.exe





O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)



O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) Nasty If you did not add these pages to your trusted pages, they should be fixed.



O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)



O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)



O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)





O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\d3vb32.exe (file missing)





Y como que las 015 del PROTOCOL DEFAULTS no se dejarán borrar, baja la nueva version del ELISTARA.EXE y ejecutala:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp









Para enviarnos los ficheros . anexalos a un mail dirigido a zonavirus@satinfo.es y oin en el texto del mail como referencia "REF d3ts32" y te contestaremos como respuesta de este Tena



C:\WINDOWS\system32\d3ts32.exe

C:\WINDOWS\atlxu32.exe

C:\WINDOWS\system32\mfcxf.exe







saludos



ms, 30-08-2005

[kaotiko]

Ya os he enviado esos archivos.



Tambien he vuelto a pasar HIJACKTHIS seleccionando las claves que me dijisteis y dandole a fix chequed, pero si lo vuelvo a escanear siguen apareciendo, es eso normal?



EN cuanto al nuevo ELISTARA lo paso y hace lo mismo que el otro me dice que ha eliminado un tryano nada mas empezar la ejecucion del programa y que os envie esos archivos. Despues siempre me detecta una infeccion que no puede reparar/eliminar.



En cuanto a ELIBDCSL no me encuentra infecciones despues de realizar todo lo descrito antes.



El aviso de error de falta de algo de debe cerrarse que me salia nada mas arrancar la computadora, lleva un dia sin salir. Ahora solo falta lo del explorer, que creo que tendra que ver con ATLUX32.EXE creo. No lo se.



saludos y gracias

[msc hotline sat]

Recibidas las muestras, en los tres ficheros salta el santivirus de McAfee detectando bicho.

Mire si tiene ¡el antivirus actualizado...



Las pasamos a analizar y ya informaremos



De entrada el VIRUSTOTAL informa al respecto de:



Para el atlxu32.exe :


[quote]Virus Total

_______________________________________________



Resultado del analisis

Archivo: atlxu32.exe

Fecha: 31/08/2005 12:47:35 (CET)

----

AntiVir 6.31.1.0/20050831 ha detectado [TR/Dldr.Small.bcj.1]

Avast 4.6.695.0/20050829 no ha detectado nada

AVG 718/20050829 no ha detectado nada

Avira 6.31.1.0/20050831 ha detectado [TR/Dldr.Small.bcj.1]

BitDefender 7.0/20050831 ha detectado [GenPack:Trojan.Downloader.Agent.BQ]

CAT-QuickHeal 8.00/20050830 ha detectado [(Suspicious) - DNAScan]

ClamAV devel-20050725/20050831 no ha detectado nada

DrWeb 4.32b/20050831 no ha detectado nada

eTrust-Iris 7.1.194.0/20050830 no ha detectado nada

eTrust-Vet 11.9.1.0/20050831 no ha detectado nada

Fortinet 2.41.0.0/20050831 ha detectado [W32/Agent.SG-tr]

F-Prot 3.16c/20050831 ha detectado [security risk named W32/Agent.QZ]

Ikarus 0.2.59.0/20050830 no ha detectado nada

Kaspersky 4.0.2.24/20050831 no ha detectado nada

McAfee 4570/20050830 ha detectado [AdClicker-DD]

NOD32v2 1.1205/20050830 ha detectado [Win32/TrojanDownloader.Agent.BQ]

Norman 5.70.10/20050829 no ha detectado nada

Panda 8.02.00/20050830 no ha detectado nada

Sophos 3.97.0/20050831 no ha detectado nada

Symantec 8.0/20050830 no ha detectado nada

TheHacker 5.8.2.097/20050830 no ha detectado nada

VBA32 3.10.4/20050830 ha detectado [Trojan.DownLoader.3312]



_______________________________________________

VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas,

que no garantiza la disponibilidad y continuidad de funcionamiento

de este. No responda a este mensaje, ha sido enviado por un servicio

automatizado que no atenderá a sus respuestas. Pese a que el indice

de detección ofrecido por el análisis simultaneo de múltiples motores

antivirus es muy superior al de un solo producto, los resultados NO

pueden garantizar la inocuidad de un archivo. No existe solución que

pueda ofrecer un 100% de efectividad en el reconocimiento de virus y

malware en general.



_______________________________________________

Servidor Antivirus HispaSec Sistemas

(c) Hispasec Sistemas, 1998-2005

http://www.hispasec.com


[/quote]

Para el D3TS32.EXE:


[quote]Virus Total

_______________________________________________



Resultado del analisis

Archivo: d3ts32.exe

Fecha: 31/08/2005 12:47:35 (CET)

----

AntiVir 6.31.1.0/20050831 ha detectado [TR/Dldr.Small.bcj.1]

Avast 4.6.695.0/20050829 no ha detectado nada

AVG 718/20050829 no ha detectado nada

Avira 6.31.1.0/20050831 ha detectado [TR/Dldr.Small.bcj.1]

BitDefender 7.0/20050831 ha detectado [GenPack:Trojan.Downloader.Agent.BQ]

CAT-QuickHeal 8.00/20050830 ha detectado [(Suspicious) - DNAScan]

ClamAV devel-20050725/20050831 no ha detectado nada

DrWeb 4.32b/20050831 no ha detectado nada

eTrust-Iris 7.1.194.0/20050830 no ha detectado nada

eTrust-Vet 11.9.1.0/20050831 no ha detectado nada

Fortinet 2.41.0.0/20050831 ha detectado [W32/Agent.SG-tr]

F-Prot 3.16c/20050831 ha detectado [security risk named W32/Agent.QZ]

Ikarus 0.2.59.0/20050830 no ha detectado nada

Kaspersky 4.0.2.24/20050831 no ha detectado nada

McAfee 4570/20050830 ha detectado [AdClicker-DD]

NOD32v2 1.1205/20050830 ha detectado [Win32/TrojanDownloader.Agent.BQ]

Norman 5.70.10/20050829 no ha detectado nada

Panda 8.02.00/20050830 no ha detectado nada

Sophos 3.97.0/20050831 no ha detectado nada

Symantec 8.0/20050830 no ha detectado nada

TheHacker 5.8.2.097/20050830 no ha detectado nada

VBA32 3.10.4/20050830 ha detectado [Trojan.DownLoader.3312]



_______________________________________________

VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas,

que no garantiza la disponibilidad y continuidad de funcionamiento

de este. No responda a este mensaje, ha sido enviado por un servicio

automatizado que no atenderá a sus respuestas. Pese a que el indice

de detección ofrecido por el análisis simultaneo de múltiples motores

antivirus es muy superior al de un solo producto, los resultados NO

pueden garantizar la inocuidad de un archivo. No existe solución que

pueda ofrecer un 100% de efectividad en el reconocimiento de virus y

malware en general.



_______________________________________________

Servidor Antivirus HispaSec Sistemas

(c) Hispasec Sistemas, 1998-2005

http://www.hispasec.com


[/quote]

y para el MFCXF.EXE:


[quote]Virus Total

_______________________________________________



Resultado del analisis

Archivo: mfcxf.exe

Fecha: 31/08/2005 12:48:02 (CET)

----

AntiVir 6.31.1.0/20050831 ha detectado [TR/Agent.BI]

Avast 4.6.695.0/20050829 no ha detectado nada

AVG 718/20050829 ha detectado [Generic.ALV]

Avira 6.31.1.0/20050831 ha detectado [TR/Agent.BI]

BitDefender 7.0/20050831 ha detectado [GenPack:Trojan.Agent.BI]

CAT-QuickHeal 8.00/20050830 ha detectado [(Suspicious) - DNAScan]

ClamAV devel-20050725/20050831 no ha detectado nada

DrWeb 4.32b/20050831 no ha detectado nada

eTrust-Iris 7.1.194.0/20050830 ha detectado [Win32/Winshow.FD!Trojan]

eTrust-Vet 11.9.1.0/20050831 ha detectado [Win32.Winshow.FD]

Fortinet 2.41.0.0/20050831 ha detectado [W32/Agent.SH-tr]

F-Prot 3.16c/20050831 ha detectado [security risk named W32/Agent.SH]

Ikarus 0.2.59.0/20050830 no ha detectado nada

Kaspersky 4.0.2.24/20050831 ha detectado [Trojan.Win32.Agent.bi]

McAfee 4570/20050830 ha detectado [Generic BackDoor.bb]

NOD32v2 1.1205/20050830 ha detectado [Win32/TrojanDownloader.Agent.BQ]

Norman 5.70.10/20050829 no ha detectado nada

Panda 8.02.00/20050830 ha detectado [Trj/Agent.AJE]

Sophos 3.97.0/20050831 no ha detectado nada

Symantec 8.0/20050830 no ha detectado nada

TheHacker 5.8.2.097/20050830 no ha detectado nada

VBA32 3.10.4/20050830 ha detectado [Trojan.Win32.Agent.bi]



_______________________________________________

VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas,

que no garantiza la disponibilidad y continuidad de funcionamiento

de este. No responda a este mensaje, ha sido enviado por un servicio

automatizado que no atenderá a sus respuestas. Pese a que el indice

de detección ofrecido por el análisis simultaneo de múltiples motores

antivirus es muy superior al de un solo producto, los resultados NO

pueden garantizar la inocuidad de un archivo. No existe solución que

pueda ofrecer un 100% de efectividad en el reconocimiento de virus y

malware en general.



_______________________________________________

Servidor Antivirus HispaSec Sistemas

(c) Hispasec Sistemas, 1998-2005

http://www.hispasec.com


[/quote]

Mañana los analizaremos y los implementaremos para su eliminacion en nuestras utilidades, de lo que ya informnaremos



saludos



ms, 31-08-2005

[kaotiko]

Ok. No tengo el McAffe, tengo el norton que no lo detecta y de todoas formas no me tira bien. Intentare conseguir el McAffe si no hay mas alternativa, la ultima vez que desinstale el norton me jodio el ordenador.



Y lo de las claves del HijackThis, porque siguen aperciencdo las que le di a fix cheked?



saludos

[msc hotline sat]

Con el NORTON actualizado debes poder hacer lo que con cualquier otro, siempre y cuando lo controle, claro, que ya se ven en los informes de virustotal que todavía hay muchos antivirus que no los controlan, pero mientras podrñas eliminarlos con las utilidades que hoy subiremos a esta web, un nuevo ELIBDCSL y un nuevo ELISTARA que estamos desarrollando. A primera hora de la tarde los tendrás disponibles



Y sobre los 015 PROTOCOL DEFAULTS nos interesa que nos envies una exportacion de tu registro, que podrás hacer ejecutando el siguiemte fichero BAT, y los dos ficheros que genere nos los envias a zonavirus@satinfo.es con la referencia "REF ZONEMAP" y con ello podremos solucionarlo



El fichero BAT hazlo seleccionando el script entre lineas. lo copias y lo pegas al bloc de notas y lo salvas como EXPORT.BAT, el cual ejecutas y te crearñá los dos ficheros que necesitamos nos envies.



_____________________________________



Regedit /e CUZMap.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults"

Regedit /e LMZMap.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults"



______________________________________



ya sabes, seleccionar el contenido, Copiar (CTRL-C), abrir el bloc de notas y pegarlo alli (CTRL-V) y salvarlo como EXPORT.BAT, el cual ejecutar.



Espero que con las utilidades que podrñas descargar hoy y la que haremos con lo que nos envies, se solucionaran tus problemas al respecto



saludos



ms, 1-09-2005

[msc hotline sat]

Las muiestras del D3TS32.EXE y el ATLXU32-EXE han resultado ser identicas y las pasamos a controlar con el ELISTARA 10.20 y la otra muestra MFCXF.EXE es de la familia del Backdoor CSL y la controlamos con el ELIBDCSL a partir de la v 1.6



Descarguelas y pruebelas, y nos cuenta el resultado:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





ELIBDCSL.EXE

http://www.zonavirus.com/datos/descargas/178/ELIBDCSLEXE.asp







Quedamos pendientes de recibir los dos ficheros que generará el BAT inicado en el post anterior para poder eliminar automaticamente las claves 015 PROTOCOL DEFAULTS que tiene en su log, y no tener que hacerlo manualmente, que si combiene, tambien podemos hacer, pero conviene integrarlo en el elistara para que lo haga automaticamente



Esperamos sus noticias



saludos



ms, 2-09-2005

[msc hotline sat]

En revision rutinaria he visto que en el log del HJT aparecían dos claves del ALEXA, adware que debiera haber sido eliminado por los antispywares, pero en el caso de que persistan, eliminelas:



O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm



saludos



ms, 2-09-2005

[kaotiko]

Vale, ya he pasado las nuevas versiones de los programas que me dijisteis y han detectado muchisimas cosas que antes no detectaban, el problema de inicio que era lo del explorer sigue sin solucionarse.



en cuanto a los bat que os tenia que enviar, las claves 15, no salen, os pego aqui el hijackthis.



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\sstray.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\JETWAY\MpegTV Station PCITV\RemoteCtl.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\MIA\PROGRAMAS\HijackThis\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: Class - {DD2786BE-3BE2-FC80-F475-561735175B9A} - C:\WINDOWS\system32\iezt32.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [dePloy] MSTCPDLL.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: MpegTV Station PCITV Remote Control.lnk = C:\Archivos de programa\JETWAY\MpegTV Station PCITV\RemoteCtl.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122830665890

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{618D942A-089D-4186-9FDA-13BAF8B3D43F}: NameServer = 195.95.218.18,85.255.112.11

O17 - HKLM\System\CCS\Services\Tcpip\..\{E70A1ECA-6113-4338-ACD2-F8F5A3B7554C}: NameServer = 195.95.218.18,85.255.112.11

O17 - HKLM\System\CCS\Services\Tcpip\..\{F5F9E565-A165-470A-872B-2619F508617D}: NameServer = 195.95.218.18,85.255.112.11

O17 - HKLM\System\CS1\Services\Tcpip\..\{618D942A-089D-4186-9FDA-13BAF8B3D43F}: NameServer = 195.95.218.18,85.255.112.11

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe



El lunes intentare hacerme con McAffe o Norton 2005, creo que sera el norton, pero ya vere, gracias.



gracias y saludos

[msc hotline sat]

Quizas no entendiste lo que tenias que hacer:





Se trata de crear un fichero BAT con el script contenido entre lineas, a base de seleccionarlo, copiarlo al portapapeles, pegarlo en el NOTEPAD y guardarlo como EXPORT.BAT:





_____________________________________









Regedit /e CUZMap.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults"

Regedit /e LMZMap.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults"









______________________________________



y tras ello ejecutar dicho BAT.





Lo acabo de hacer en mi ordenador y me ha generado dos ficheros:



CUZMAP.TXT y LMZMAP.TXT correspondientes a las claves del Current User zones y del Local Machine zones, y son estos dos ficheros los que necesitamos nos envies, a zonavirus@satinfo.es anexados a un mail en cuyo texto indiques referencia "REF ZONEMAP"



Si no entiendes algo o no me explico bien, dimelo y te lo aclaro.



Ahora paso a analizar el log del HJT



saludos



ms, 3-09-2005

[msc hotline sat]

Elimina la siguiente clave:



R3 - Default URLSearchHook is missing



Pero no veo las 015 del PROTOCOL DEFAULTS, cuentame qué has hecho, pues por pasar el HJT no será...



saludos



ms, 3-09-2005



NOTA Y dinos si así ahora notas alguna anomalía ms.

[kaotiko]

Lo que hice fue entrar en modo seguro, tengo quitado lo de restaurar sistema, pase las nuevas versiones de ELISTARA y ELIBDCSL y donde antes el primero solamente me encontraba una anomalia y no podia eliminarla, ahora encuentra 12 y las elimina. Con ELIBDCSL pasa lo mismo, antes no encontraba y ahora ha eliminado 6 de 6.

Luego pase el SpyBot, pero solamente detecto 3 anomalias y las borro. Eso es todo.

Pero el fallo principal continua existiendo, incluso me dice cada vez arrancar que a norton ahora le faltan dos .dll



ya os envie eso que pedisteis. saludos y gracias

[kaotiko]

Bueno al final ayer borre eso que me dijisteis de r3 y me fui a dormir con los mismos fallos que os habia dicho. Hoy cuando volvi a probar no hice nada y ya funcionaba el explorer, no se que fallaba pero se ha solucionado, quiza era esa entrada que me dijisteis de hijackthis de r3.



gracias por todo y perdonar las molestias.



saludos

[msc hotline sat]

Ninguna molestia, ha sido un placer llegar a buen fin, pues ya era un reto!!! y además nos complace saber que nuestro ELISTARA hace lo que tiene programado en cuanto a eliminacion de las 015, lo que pasa es que quizas otros usuarios no arrancaron en modo seguro y restauracion de sistema deshabilitada.



Ha costado un poco, pero ha sido util, y nos satisface haber saltado el listón, y este estaba muy alto !!!



Una vez solucionado el Tema, procedemos a cerrarlo



saludos



ms, 4-09-2005

[msc hotline sat]

Comentario postcierre sobre la recepcion de los dos ficheros solicitados:



Examinado el contenido de los dos ficheros, indican valor correcto en las claves correspondientes, lo que indica que se crearin una vez resuelto el problema.



De todas maneras, gracias por la colaboracion



saludos



nsm 5-09-2005