Problema extraño, ayuda.

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
ICE_MAG
Mensajes: 1
Registrado: 04 Sep 2006, 12:41

Problema extraño, ayuda.

Mensaje por ICE_MAG » 04 Sep 2006, 15:32

Wenas lo primero.



Antecedentes:

- Jugando al ordenador ayer de repente salto el Norton Internet Security 2005 que tengo, actualizado y todo. Bien salian un monton de ventanitas de norton que decian analizando mensaje, eran unos mensajes muy raros y en ingles.

- Se ve que esto me corrompe el antivirus y la funcion auto-protect da error y no se puede reactivar.

- De repente me salta una ventana abajo de que mi pc esta infectado de spyware y que me quiere instalar el spysheriff.

- Le paso los pertinentes antispy, ad aware, spybot. Luego descubro que tengo el stonedrv que me mete un monton de spys mas, todos en C:/.

- Formateo

- Al reinstalar el Norton, el cual habia desinstalado porque no funciona y volver a conectarme a internet para actualizarlo, me vuelven a salir las ventanitas de analizando mensaje. Y me vuelve a entrar el stonedrv.

- Le paso el ELISTARA 12.26, me borra el stonedrv. Bien por ahi. Pero el norton sigue fallando. No encuentra ningun virus.

- Restauro el sistema = sigue todo igual.



Otros sintomas:

- Un proceso CLI.exe me ha dado errores al iniciar windows.

- Ayer el ordenador se apagaba sin mas, pum y reiniciaba.

- Y alguna cosa mas rara que no recuerdo.



Os mando el log del Hijack ese:



Logfile of HijackThis v1.99.1

Scan saved at 15:33:13, on 04/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\explorer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

C:\Archivos de programa\Pinnacle\Studio PCTV\ERegister\Remind32.exe

C:\Archivos de programa\Archivos comunes\Logitech\KHAL\KHALMNPR.EXE

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\System32\explorer.exe

C:\dihd.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\lssas.exe

C:\WINDOWS\update\updmgr.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe

C:\WINDOWS\system32\cmd.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Manuel\CONFIG~1\Temp\Rar$EX00.234\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe

O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Startup: Pinnacle Systems - Studio Family.lnk = C:\Archivos de programa\Pinnacle\Studio PCTV\ERegister\Remind32.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1303AE80-B190-40F0-944A-D9E407AED589}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{1303AE80-B190-40F0-944A-D9E407AED589}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe



A ver si me podeis ayudar, y si tengo que formatear pos nada se hace, pero como hago para que no me entren los virus o troyanos esos.



PD.: Estos virus o troyanos tienen que ser nuevos porque antes no me pasaba nada de esto al formatear.



Un saludo.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 04 Sep 2006, 16:10

Empiece por actualizar parches de microsoft, le faltan todos los del SP2 y posteriores. Lance un windowsupdate !







Pues sí que tiene bichos nuevos y picarescos !!!



El fichero lsass.exe de seguridad de windows, debe estar en la carpeta de sistema, t con este nombre juegan los gusanos a utilizar Isass en lugar de lsass, o utilizar otra varpeta, pero lo de esta vez es diferente !:



Lo usan en la carpeta de sistrema, junbto con el normal, LSASS.EXE con ele, pero cambiando las eses, esto es: LSSAS.EXE, el cual es un gusano seguro !!!



Y siguiendo con el analisis, otro que tal:



Tiene un EXPLORER.EXE gusano en la carpeta de sistema, pues el normal de windows está en la carpeta de windows, no en la de sistema !!!



Envienos de entrasa estos tres ficheros para analizarlo;



C:\WINDOWS\System32\lssas.exe



C:\WINDOWS\System32\explorer.exe



C:\WINDOWS\update\updmgr.exe





y eliminme estas claves





O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe



O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe



O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



saludos



ms, 4-9-2006
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 04 Sep 2006, 16:27

T rambien envianos este otro, que parece ser mas de lo mismo:



C:\dihd.exe


[quote]AUTOMATED MALWARE PROFILE, ANALYSIS, REMOVAL AND SIGNATURE INFORMATION:

DEFINITION OF: DIHD.EXE

Safety Rating: Known Malware, do not run

Malware Family: Part of Malware group - Generic Email Worm

Determination: Automatically determined using Prevx1 centralized heuristics

Malware Form: EXPLOIT[/quote]

y renombralo a .vir en tu disco duro, pues no vemos la vlabe que lo lanza, y serña la manera de que no se vuelva a cargar al reiniciar





saludos



ms, 4-9-2006
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”