problemas en la red (SOLUCIONADO)

SCL27 · Mensaje por **SCL27** » 07 Sep 2005, 12:12

hola de nuevo me queda un pequeño problema

-yo puedo acceder a todos los ordenadores en red de mi oficina, pero ellos no al mio, le sale un mensaje que no tienen permiso

-esta todo bien configurado quitado el firewall de windows y cortafuegos

puede ser algun resto del troyano

-el p**o msupdate32.exe no lo encuentro por ningun lado

ogfile of HijackThis v1.99.1

Scan saved at 12:05:18, on 07/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Muiltmedia keyboard utility\1.3\KbdAp32A.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\AutoCAD 2005\acad.exe

C:\DOCUME~1\TITI\CONFIG~1\Temp\AdskCleanup.0001

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\WSCommCntr1.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

O2 - BHO: (no name) - %7b53707962-6F74-2D53-2644-206D7942484F%7d - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [FLMK08KB] C:\Archivos de programa\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [winsock32] msupdate32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107971029937

O16 - DPF: {E8A4D743-13C0-4E03-A2D9-0C92FE038200} (TragsatecRuntimeVB.TTecRuntimeVBCtl) - http://w3.mapya.es/dinatierra_v3/Redist/RuntimeVB.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4AA3E64-7207-45DD-866A-BBAAD316BCE5}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 07 Sep 2005, 13:06

Como que el MSupdate32 es sintomatico de varios gusanos, sugerimoe que antes de eliminar nada del registro, se lance un antivirus ONLINE para saber si tiene un virus, y en su caso eliminarlo

Elimina la siguiente clave:

O4 - HKLM\..\Run: [winsock32] msupdate32.exe

y mira si conoces estas, y sio, obra en consecuencia:

O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB

O16 - DPF: {E8A4D743-13C0-4E03-A2D9-0C92FE038200} (TragsatecRuntimeVB.TTecRuntimeVBCtl) - http://w3.mapya.es/dinatierra_v3/Redist/RuntimeVB.CAB

saludos

ms, 7-09-2005

SCL27 · Mensaje por **SCL27** » 07 Sep 2005, 13:32

la entrada 04 la elimino pero vuelve a salir mientras que las otras dos entradas si las conozco .

-encuentro el archivo MSUPDATE32.EXE-287E5B3C.pf en el directorio c/windows/prefetch lo elimino y vuelve a salir

el antivirus no detecto nada

la red sigue igual

Mensaje por **msc hotline sat** » 07 Sep 2005, 15:15

Arranca en modo seguro y deshabilita la restauracion de sistema

De esta forma elimina la clave indicada y mira si localizas es fichero y lo mueves a un disqyete, pata saber de lo que se trata, pues ifual tienes que terminar de limpiar otras claves, o de enviarnoslo para su analisis

Si asi se resiste, prueba de nuevo una vez hayas movido dicho fichero, de modo que ya no pueda ponerlo en circulacion, al no encontrarlo donde lo va a buscar.

si el antivirus te ha dicho lo que era dinoslo, sino ya lo examinaras en el disquete donde lo hayas movido

saludos

ms, 7.09.2005

SCL27 · Mensaje por **SCL27** » 07 Sep 2005, 16:50

he probado a modo seguro perotodo sigue igual con restarar el sistema apagado regenera tanto el archivo como la entrada

lo de la disquetera no lo entiendo donde tengo que llevar el archivo

SCL27 · Mensaje por **SCL27** » 07 Sep 2005, 17:46

utilizo el killbox pero da igual el archivo se elimina bien el problema es que vuelve a salir

Mensaje por **msc hotline sat** » 07 Sep 2005, 20:02

Configura windows para que muestre ficheros ocultos y los que tienen atributos de sistema, y mira si encuentras este msupdate32.exe, que no sea el del directorio del prefetch.

Si lo encontraras, nos lo envias a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques la referecia "REF MSUPDATE32" y tras analizarlo y crear una utilidad de desinfeccion especifica o añadirla a una existente, te lo indicaríamos como respuesta a este Tema

saludos

ms, 7-09-2005

SCL27 · Mensaje por **SCL27** » 09 Sep 2005, 08:54

ni con las opciones de:

-ver arcuivos ocultos

-desactivada la opcion ocultar archivos del sistema

aparece por ningun sitio el maldito msupdate32.exe

Mensaje por **msc hotline sat** » 09 Sep 2005, 09:27

Pues puede ser que lo cree algun dropper, lo ejecute y luego lo renombre, pues borrarlo no see puede mientras está en uso, y si es así, lo tenemos claro...

Si usara una de las rutinas de alguno conocido o pudiera detectarse heuristcamente, podríamos identificarlo, pero sino, tenemos que ver en primer lugar si realmente es un virus, pues solo lo identificamos por estar lanzado desde el registro y tener un nombre usado por varios virus poara su gusano, pero podría ser una actualizacion de alguna aplicacion que nos hiciera sospechar sin ser realmente birus, por lo que veamos si a pesar de esto notas alguna anomalía y nos la comentas, y sino, dejalo que puede ser"un inocente con cara de culpable"

Tennos informados, gracias

saludos

ms, 9-09-2005

SCL27 · Mensaje por **SCL27** » 09 Sep 2005, 09:46

lo encontre:

le daba inicio busqueda y no aparecia.

buscando en la carpeta aparecio

lo elimino y no me funciona nada del escritorio no funciona ningun acceso directo solo sale la ventanita de abrir con:la lista de programas

-os lo he mandado a la direccion arriba indicada para que lo analiceis

Mensaje por **msc hotline sat** » 09 Sep 2005, 10:18

Acabamos de recibirlo.

McAfee ta lo controla como Backdoor CUG y otros antivirus con diferentes nombres, segun puede verse en el testeo de VirusTotal:

VIRUSTOTAL escribió: Este es el resultado de analizar el archivo "msupdate32.exe" que VirusTotal ha procesado el dia 09/09/2005 a las 09:51:19 (CET).
Antivirus Version Actualización Resultado
AntiVir 6.31.1.0 08.09.2005 TR/Dldr.Mawitz.A.1
Avast 4.6.695.0 07.09.2005 no ha encontrado virus
AVG 718 07.09.2005 Proxy.AAN
Avira 6.31.1.0 08.09.2005 TR/Dldr.Mawitz.A.1
BitDefender 7.0 02.09.2005 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 8.00 08.09.2005 TrojanProxy.Nitglider.dr
ClamAV devel-20050725 09.09.2005 no ha encontrado virus
DrWeb 4.32b 09.09.2005 BackDoor.Pauz
eTrust-Iris 7.1.194.0 08.09.2005 no ha encontrado virus
eTrust-Vet 11.9.1.0 09.09.2005 no ha encontrado virus
Fortinet 2.41.0.0 07.09.2005 W32/Nitglider.DR-tr
F-Prot 3.16c 08.09.2005 could be infected with an unknown virus
Ikarus 0.2.59.0 08.09.2005 no ha encontrado virus
Kaspersky 4.0.2.24 09.09.2005 Trojan-Proxy.Win32.Mitglieder.dr
McAfee 4577 08.09.2005 BackDoor-CUG
NOD32v2 1.1212 08.09.2005 probably a variant of Win32/TrojanProxy.Mitglieder.DQ
Norman 5.70.10 08.09.2005 W32/Malware
Panda 8.02.00 09.09.2005 Trj/Downloader.EKV
Sophos 3.97.0 08.09.2005 no ha encontrado virus
Symantec 8.0 09.09.2005 no ha encontrado virus
TheHacker 5.8.2.102 08.09.2005 no ha encontrado virus
VBA32 3.10.4 08.09.2005 Trojan-Proxy.Win32.Mitglieder.dr

VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.> Ir a: Inicio Contactar English Version

Lo pasamos a investigación y desarollo para tratar de añadirlo al proximo ELISTARA para su control y eliminacion.

Me informan que afecta a claves de ejecucion de ficheros, interceptandolas con el gusano, por leso al borar el fichero no podía hacer nada.

Mientras lo estudiamos y añadimos la restauracion de todo lo que hace, bajese el ELIRESTR.VBS, luego arranque en modo seguro, borre el MSUPDATE32.EXE y ejecute el ELIRESTR.VBS y diganio si con esto puede trabajar.

ELIRESTR:
http://www.zonavirus.com/descargas/elirestr.asp

saludos

ms, 9-09-2005

Mensaje por **msc hotline sat** » 09 Sep 2005, 12:43

Bueno, pues ya hemos subido la nueva version del ELISTARA 10.26 a esta web, que restaurarña las claves modificadas en el registro, y eliminará el gusano, que aparte de ocultarse con atributo de oculto (HIDDEN), crea tres ficheros que eliminamos, y que ponía un backdoor que le abría dos ports por los que el hacker podía controlar su ordenador y hacer lo que quisiera...

Y además podía estar así indefinidamente, pues pasaba muy bien desapercibido. De todas formas ya lo detectaban actualmente la mayoría de antivirus, como ha podido ver en el informe de VirusTotal

Y tras probar la nueva utilidad, indiquenos como le ha ido, como respuesta de este Tema. gracias

saludos

ms, 9-09-2005

SCL27 · Mensaje por **SCL27** » 09 Sep 2005, 13:57

hola he pasado el programa y ha eliminado dos archivos.

-el problema de la red sigue igual.

-no se si en mi long hay algo raro

-w3.mapya.es/dinatierra_v3/Redist es un codec de una pagina de mapas

-todava se ve por ahi un maldito msupdate32.exe

Logfile of HijackThis v1.99.1

Scan saved at 13:54:24, on 09/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Muiltmedia keyboard utility\1.3\KbdAp32A.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [FLMK08KB] C:\Archivos de programa\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKCU\..\Run: [CTFMON.EXE] msupdate32.exe -run C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107971029937

O16 - DPF: {E8A4D743-13C0-4E03-A2D9-0C92FE038200} (TragsatecRuntimeVB.TTecRuntimeVBCtl) - http://w3.mapya.es/dinatierra_v3/Redist/RuntimeVB.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4AA3E64-7207-45DD-866A-BBAAD316BCE5}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 10 Sep 2005, 17:34

Sí, pero esta va ligada al CTFMON, como un modulo que se carga al cargar este, pero si ya no eciste el fichero, no puede cargarse.

O4 - HKCU\..\Run: [CTFMON.EXE] msupdate32.exe -run C:\WINDOWS\system32\ctfmon.exe

Has eliminado el fichero o todavía lo tienes ???

Haz una cosa, por que me temo que no hayas podidio borrarlo: Arranca en modo seguro pero en SOLO SIMBOLO DE SISTEMA. o sea la tercera opcion de las del meniu de inicio, y asi lanza el actual ELISTARA, para que no lo encuentre en uso y lo pueda borrar.

Tras ello, la clave existirá igual pero no podrá lanzarlo, y el lunes ya haremos una nueva version que modifique esta clave, pues no hay que eliminarla ya que el CTFMON es del Office

Tras esta operacion, reinicia y cuentanos si el problema persiste o no.

saludos

ms, 10-09-2005

SCL27 · Mensaje por **SCL27** » 12 Sep 2005, 10:30

la red sigue sin funcionar

of HijackThis v1.99.1

Scan saved at 10:28:25, on 12/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Muiltmedia keyboard utility\1.3\KbdAp32A.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\AutoCAD 2005\acad.exe

C:\DOCUME~1\SCL\CONFIG~1\Temp\AdskCleanup.0001

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\WSCommCntr1.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [FLMK08KB] C:\Archivos de programa\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107971029937

O16 - DPF: {E8A4D743-13C0-4E03-A2D9-0C92FE038200} (TragsatecRuntimeVB.TTecRuntimeVBCtl) - http://w3.mapya.es/dinatierra_v3/Redist/RuntimeVB.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4AA3E64-7207-45DD-866A-BBAAD316BCE5}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 12 Sep 2005, 10:50

Con la version 10.27 del ELISTARA.EXE que subiremos esta mañana a esta web se restaurará la clave en cuestion que carga el msupdate32.exe como modulo del CTFMON.EXE

Tan pronto este disponible lo indicaremos

saludos

ms, 12-09-2005

Mensaje por **msc hotline sat** » 12 Sep 2005, 11:20

Ya disponible version 10.27 del ELISTARA:

https://foros.zonavirus.com/viewtopic.php?p=39520#39520

Tras probarla, indiquenos resultado como respuesta de este Tema, gracias

saludos

ms, 12-09-2005

SCL27 · Mensaje por **SCL27** » 12 Sep 2005, 12:50

se me borro el archivo dichoso ya pero la red sigue sin funcionar mirame a ver si hay algo raro

Logfile of HijackThis v1.99.1

Scan saved at 12:47:17, on 12/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Muiltmedia keyboard utility\1.3\KbdAp32A.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\msiexec.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\AutoCAD 2005\acad.exe

C:\DOCUME~1\SCL\CONFIG~1\Temp\AdskCleanup.0001

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\WSCommCntr1.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [FLMK08KB] C:\Archivos de programa\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107971029937

O16 - DPF: {E8A4D743-13C0-4E03-A2D9-0C92FE038200} (TragsatecRuntimeVB.TTecRuntimeVBCtl) - http://w3.mapya.es/dinatierra_v3/Redist/RuntimeVB.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4AA3E64-7207-45DD-866A-BBAAD316BCE5}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 12 Sep 2005, 13:07

Pues ya aparte de claves de carga de Autocad y Autodesk solo hay desconocidas estas dos:

O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB

O16 - DPF: {E8A4D743-13C0-4E03-A2D9-0C92FE038200} (TragsatecRuntimeVB.TTecRuntimeVBCtl) - http://w3.mapya.es/dinatierra_v3/Redist/RuntimeVB.CAB

Eliminelas si no las conoce, y con esto el log del HJT queda standar

Informenos de su decision y resultados, gracias

saludos

ms, 12-09-2005

SCL27 · Mensaje por **SCL27** » 12 Sep 2005, 16:35

MUCHAS MUCHAS GRACIAS YA ESTA SOLUCIONADO

EL PROBLEMA ESTABA QUE EL GUSANITO HABIA CAMBIADO UN VALOR EN EL REGISTRO QUE A CONTINUACION PONGO POR SI LE VALE A ALGUIEN

Desde ejecutar escribimos Regedit y cambiamos la clave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\restrictanonymous

que debe estar a 1 o incluso a 2 y ponerla a 0, reiniciar y solucionado.

GRACIAS DE NUEVO

Mensaje por **msc hotline sat** » 12 Sep 2005, 17:04

Pues lo celebro, si bien el apartado de las restricciones es diferente en cada caso y es de mal aplicar uno u otro valor, ya que dependerá de lo que el usuario quiera tener aplicado.

Normalmente es al reves lo que hace el virus, poner valor 0 , permitiendo el acceso a todos los usuarios, mientras que lo que nos indica es que estaba a 1 o a 2 , siendo 1 restricciones a nonimos y el 2 permite solo el acceso a usuarios con permiso.

El ponerlo a 0 es permitir que entre todo el mundo...y es lo que hacen los virus, y al parecer es lo que le ha solucionado el problema, pero ha ganado vulnerabilidad total !

Creo que esto no se lo hizo el virus sino alguna utilidad antivirus que le subió el nivel de seguridad, lo cual no hacemos nosotros justamente porque es cosa de cada usuario.

Pero nos alegramos que con ello se le haya solucionado, si bien a costa de bajar seguridad, tengalo presente.

Y por nuestra parte, solucionado el Tema, procedemos a cerrarlo

saludos

ms, 12-09-2005