Problemas con el firewall y antivirus

[rrcoolb]

Hola a la gente de Zonavirus!!!

tengo problemas, ya que un virus ataco mi pc con sistema operativo xp y deshabilito el firewall y el auto-protec del norton 2002, le pase el ElistarA y elimino algunos virus, el bitdefender tambien lo hizo, pero esto sigue sin funcionar

les posteo lo que tira el hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 23:10:40, on 24/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\LEXBCES.EXE

D:\WINDOWS\system32\LEXPPS.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

D:\WINDOWS\system32\svchost.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

D:\WINDOWS\Explorer.EXE

D:\ARCHIV~1\NORTON~1\navapw32.exe

D:\WINDOWS\system32\RunDll32.exe

D:\WINDOWS\system32\pctspk.exe

D:\WINDOWS\system32\PV92Tray.exe

D:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe

D:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe

D:\archivos de programa\zango\zango.exe

D:\Archivos de programa\Softwin\BitDefender8\bdmcon.exe

D:\Archivos de programa\Softwin\BitDefender8\bdnagent.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium\EDICT.EXE

D:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

D:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

D:\WINDOWS\system32\wscntfy.exe

D:\Archivos de programa\BearShare\BearShare.exe

D:\WINDOWS\system32\Notepad.exe

D:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D6795E7E472C3DC1 - {56F1D444-11BF-4879-A12B-79CF0177F038} - d:\archivos de programa\zango\zangohook.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - D:\Archivos de programa\Yahoo!\Common\yiesrvcAR.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - D:\Archivos de programa\MyGlobalSearch\bar\2.bin\MGSBAR.DLL (file missing)

O4 - HKLM\..\Run: [NAV Agent] D:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "D:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon

O4 - HKLM\..\Run: [zango] "d:\archivos de programa\zango\zango.exe"

O4 - HKLM\..\Run: [stonedrv] d:\windows\system32\stonedrv.exe

O4 - HKLM\..\Run: [BDMCon] "D:\Archivos de programa\Softwin\BitDefender8\bdmcon.exe"

O4 - HKLM\..\Run: [BDNewsAgent] "D:\Archivos de programa\Softwin\BitDefender8\bdnagent.exe"

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [stonedrv] d:\windows\system32\stonedrv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [E06EDXRC_643328] "D:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium\EDICT.EXE" -m

O4 - HKCU\..\Run: [Yahoo! Pager] "D:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [stonedrv] d:\windows\system32\stonedrv.exe

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Yahoo! Servicios - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - D:\Archivos de programa\Yahoo!\Common\yiesrvcAR.dll

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{300727B2-5725-4273-B974-EFEFAF1FA2A5}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Bueno gente les agradezco cualquier ayuda!!!

gracias por leer el tema!!!

RRcoolB

[msc hotline sat]

Tienes Bit Defender y Norton simultaneamente. Desinstala uno de los dos !!!





Aparte elimina estas claves:



O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D6795E7E472C3DC1 - {56F1D444-11BF-4879-A12B-79CF0177F038} - d:\archivos de programa\zango\zangohook.dll



O4 - HKLM\..\Run: [stonedrv] d:\windows\system32\stonedrv.exe



O4 - HKLM\..\RunServices: [stonedrv] d:\windows\system32\stonedrv.exe



O4 - HKCU\..\Run: [stonedrv] d:\windows\system32\stonedrv.exe





Y tras ello reinicia y nos cuentas el resultado, gracias



saludos



ms, 25-8-2006





Nota: Como que este virus es muy reciente y no lo tenemos analizado, agradeceriamos nos enviaras una muestra del fichero:



d:\windows\system32\stonedrv.exe





imformacion:

http://www.sophos.com/security/analyses/trojcosiamk.html





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.



y de estos dos ficheros, adwares de 1890Solutions, tambien envianos muestra:





D:\archivos de programa\zango\zango.exe



d:\archivos de programa\zango\zangohook.dll



informacion:



http://www.processlibrary.com/directory/files/zango/

http://www.castlecops.com/tk1946-SABHO.html

[rrcoolb]

Hola gracias ante todo

Ms,ya hice lo que me indicaste, lo del norton lo solucione, ademas elimine un monton de virus, que Norton, a pesar de estar actualizado, no los reconoce, pero el problema sigue con el firewall de windows, me tira un error deiciendo: "[color=red]Debido a un problema no identificado, no se puede mostrar la configuracion de firewall de windows "[/color]

bueno espero que me puedan ayudar

saludos

y gracias nuevamente!!!

RRcoolB

[msc hotline sat]

Enviaste la muestra ???


[quote]Nota: Como que este virus es muy reciente y no lo tenemos analizado, agradeceriamos nos enviaras una muestra del fichero:



d:\windows\system32\stonedrv.exe
[/quote]

Cuando la examinemos veremos las claves que ha modificado, para restaurarlas en las nuevas versiones de nuestras utilidades



Mientras podrías reparar el sistema, pues igual te ha borradio alguna DLL que le impide activarse...



Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate



y nos comentas el resultado, gracias



saludos



ms, 26-8-2006

[rrcoolb]

Hola Ms, gracias por ayudarme!!!

ya te envie las muestras zonavirus@satinfo.es, espero que hayan llegado, caso contrario las volvere a enviar

Yo intente restaurar el sistema y me tiro un error: " el sistema no pudo ser restaurado" asi que desisti de hacerlo

encontre un parche para el firewall xp service pack 2( no se si sera oficial) y funciono bien, el firewall se volvio a activar, ahora no sé si habran quedado secuelas, despues lo veremos

si te parece te adjunto el parche y lo ves.

bueno por ahora muchisimas gracias.

saludos

RRcoolB

[msc hotline sat]

Pues la muestra será examinada en SATINFO en cuanto volvamos de vacaciones, si bien nos tememos que habrá c¡entos de ellas, y traerá su tiempo...



En cuanto implementemos su control en las nuevcas versiones de nuestras utilidades, se irá informando al foro, como siempre.



Y sí que es interesante que nos postees link de descarga de este parche que arregla lo del cortafuegos del windows XP !



Posteanoslo que será de interés para el foro



saludos



ms, 27-8-2006

[rrcoolb]

Hola a toda la gente de Zona virus.

el Parche que encontre, lo baje de http://www.netdancerplanet.info/2005/08/reparando-el-cortafuegos-de-xp.html a ellos gracias por colgarlo de la pagina; Epero que la gente de netdancerplanet no se enoje, pero algo tan util deberia estar en todos lados!!!.

En 24 hs de uso, aparentemente, no quedaron secuelas,

de todas maneras voy a enviar el archivo a: zonavirus@satinfo.es para que los usuarios puedan descargarlo desde esta pagina, ahh el archivo funciona con windows xp service pack 2!!!

en la pagina tienen las instrucciones de uso!!!

gracias

Muchos exitos a Ms, y a todos los usuarios de zonavirus.com

saludos

RRcoolB

[msc hotline sat]

Pues muchas gracias, nos miraremos el link y las muestras



saludos



ms, 28-8-2006

[msc hotline sat]

Recibida muestra, la cual ya esrtá detectada por

McAfee y pasamos a monitorizarla para implementarla en proxima version del ELISTARA, se lo cual se informará en el foro



Tambien hemos recibido utilidad de restauracion del XP de Windows, la cual se ofrecerá en los casos que haga falta.



Tras dispooner de la nueva version 12.25 de ELISTARA que subiremos mañana a esta web , pruebela y nos informa del resultado, gracias



saludos



ms, 29-8-.2006

[msc hotline sat]

Recibida muestra de stonedrv.exe



McAfee la detecta y protege contra su ejecucion



Analizado con VirusTotal este es el resultado:


[quote="VirusTotal"]

Este Ies el resultado completo de analizar el archivo "stonedrv.exe" que VirusTotal ha recibido el día 30.08.2006 a las 09:01:54 (CET).



Antivirus Version Actualización Resultado

AntiVir 6.35.1.3 30.08.2006 HEUR/Malware.Crypted.PSM

Authentium 4.93.8 30.08.2006 Possibly a new variant of W32/Threat-HLLSI-based!Maximus

Avast 4.7.844.0 28.08.2006 no ha encontrado virus

AVG 386 29.08.2006 Proxy.ENI

BitDefender 7.2 30.08.2006 Win32.Worm.Mytob.FR

CAT-QuickHeal 8.00 29.08.2006 TrojanProxy.Small.bo

ClamAV devel-20060426 30.08.2006 Trojan.Proxy.Small-44

DrWeb 4.33 29.08.2006 Trojan.Proxy.1052

eTrust-InoculateIT 23.72.110 30.08.2006 Win32/Cosiam.5rf!Trojan

eTrust-Vet 30.3.3049 30.08.2006 Win32/Cosiam!generic

Ewido 4.0 25.08.2006 Proxy.Small.bo

Fortinet 2.77.0.0 30.08.2006 Raser.001!tr

F-Prot 3.16f 29.08.2006 Possibly a new variant of W32/Threat-HLLSI-based!Maximus

F-Prot4 4.2.1.29 30.08.2006 W32/Threat-HLLSI-based!Maximus

Ikarus 0.2.65.0 29.08.2006 Trojan-Proxy.Win32.Small.BO

Kaspersky 4.0.2.24 30.08.2006 Trojan-Proxy.Win32.Small.bo

McAfee 4840 29.08.2006 Proxy-Raser

Microsoft 1.1560 30.08.2006 no ha encontrado virus

NOD32v2 1.1730 29.08.2006 Win32/TrojanProxy.Daemonize

Norman 5.90.23 29.08.2006 W32/DLoader.ARFT

Panda 9.0.0.4 29.08.2006 Trj/Jupillites.M

Sophos 4.08.0 30.08.2006 Troj/Cosiam-K

Symantec 8.0 30.08.2006 Backdoor.Trojan

TheHacker 5.9.8.201 28.08.2006 no ha encontrado virus

UNA 1.83 30.08.2006 TrojanProxy.Win32.Small.4757

VBA32 3.11.1 29.08.2006 Trojan.Win32.TrojanProxy.Daemonize

VirusBuster 4.3.7:9 29.08.2006 no ha encontrado virus





Información adicional

Tamaño archivo: 15104 bytes

MD5: 22cac34c2c567777e8b95713df4fc4f6

SHA1: 77942f45d59839876321b1dd9f0569b6e93d3060
[/quote]

Hoy se analizan todas tus muestras y se implementaran en el ELISTARA 12.,25



Esta tarde se subirá a esta web. Pruebalo y nos informas del resultado, gracias



saludos



30-8-2006[/quote]

[msc hotline sat]

Ya disponible nueva version de ELISTARA 12.25 para control y eliminacion de malware segun muestra enviada



---v12.25-(30 de Agosto del 2006) (Muestras de (4)Puper "DFRGSRV.EXE, ISHOST.EXE, ISMON.EXE y IXT*.DLL", Proxy-Raser "STONEDRV.EXE", (2)ZangoSA "ZANGO.EXE y ZANGOHOOK.DLL", Hotbar "HBTHOSTIE.DLL", (3)PWS-JA "IBM00***.EXE y DLL", Vundo(notify) y (2)BackDoor-CVT "WIN***32.DLL")



Ya puede probarla y comentarnos el resultado, gracias



saludos



ms, 30-8-2006