PROBLEMA CON TROYANO.

[diorle]

Hola, buenos dias.

Tenemos en la empresa 4 ó 5 ordenadores conectados ala misma red.

debemos de tener un troyano o algo que nos mada spam, porque nos desactivan la IP constantemente.

este PC me encuentra este virus xx exssd32.m.exe donde xx va cambiando.

he instalado el programilla que dices en el post de arriba y este es el log que me da:

gracias y saludos.



lo paso en los otros pc`s ?



Logfile of HijackThis v1.99.1

Scan saved at 13:06:11, on 21/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

D:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe

D:\Archivos de programa\SPAMfighter\SFAgent.exe

D:\WINDOWS\system32\ctfmon.exe

D:\WINDOWS\system32\svchost.exe

D:\Archivos de programa\Messenger\msmsgs.exe

D:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

D:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\Archivos de programa\proshow\ScsiAccess.exe

D:\WINDOWS\system32\svchost.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\DOCUME~1\Victor\CONFIG~1\Temp\17exinjs.p.exe

D:\WINDOWS\system32\svchost.exe

D:\Documents and Settings\Victor\Escritorio\hjjackas\HijackThis.exe



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.34web.com:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [vptray] D:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe

O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [SPAMfighter Agent] "D:\Archivos de programa\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\j2re1.4.2_02\bin\npjpi142_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\j2re1.4.2_02\bin\npjpi142_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2F59B1D2-BE07-47FB-A3C5-9CD392A52BC7}: NameServer = 87.216.1.65,87.216.1.66

O17 - HKLM\System\CS1\Services\Tcpip\..\{2F59B1D2-BE07-47FB-A3C5-9CD392A52BC7}: NameServer = 87.216.1.65,87.216.1.66

O17 - HKLM\System\CS2\Services\Tcpip\..\{2F59B1D2-BE07-47FB-A3C5-9CD392A52BC7}: NameServer = 87.216.1.65,87.216.1.66

O20 - Winlogon Notify: NavLogon - D:\WINDOWS\system32\NavLogon.dll

O23 - Service: DefWatch - Symantec Corporation - D:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\proshow\ScsiAccess.exe

[msc hotline sat]

Hay un backdoor CMQ que detectar el ELITRIIP o pedirá muestra:



Pruebe ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 21-11-2006

[diorle]

Buenas tardes, esto es lo que me dice:



saludos y gracias





Mon Nov 21 17:08:38 2005

EliTriIP v2.78 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.78

a "virus@satinfo.es". Gracias.

D:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

D:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="D:\WINDOWS\system\smss.exe /w"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Mon Nov 21 17:09:54 2005

EliTriIP v2.78 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\POLAR\Polar Box\Clean_Registry\Clean_Registry.exe --> Eliminado, Bifrose (dropper)

C:\System Volume Information\_restore{DEFFE94F-0999-4B7B-819D-A87CF666F894}\RP260\A0010004.exe --> Eliminado, Bifrose (dropper)

[msc hotline sat]

Pues envienos este fichero, como dice el ELITRII`:



Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.78



recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



es una variante del BD-CMQ



De momento, tras reiniciar, ya estña fuera de ciruckacion oeri hace falta limpiar registro y demas, lo cual podrña hacer con la siguiente version del ELITRIIP de mañana



saludos



ms, 21-11-2006

[msc hotline sat]

Recibida muestra, se implementa si control en el ELITRIIP de hoy



saludos



ms, 22-11-2006

[diorle]

HOLA, BUENAS.

Gracias por la ayuda.

Me han vuelto a bloquear la IP. He pasado de nuevo el Eli Triip 2.79 y no me detecta nada.

No se.



Gracias por la ayuda.



saludos.

[diorle]

Hola, buenas tardes.

Me sale esto en otro ordenador:



Logfile of HijackThis v1.99.1

Scan saved at 17:55:57, on 23/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)





[size=200] I N T E R V E N I D O [/size]



POR



[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



no deben mezclarse logs de 2 ordenadores en un mismo Tema.



https://foros.zonavirus.com/viewtopic.php?t=6268



Posteelo en Tema aparte, tras seguir las instrucciones:



https://foros.zonavirus.com/viewtopic.php?t=5148



_____

[flacoroo]

todos los consejos que se le estan dando lo debe hacer teniendo encendida las computadora en modo seguro y desconectadas de la red para que la limpieza se ma eficaz y segura....tambien se le aconseja, cambiar las IP´s de las maquinas, limpiar los ficheros host, eliminar todos sus archivos temporales de sus maquinas, eliminar todo programa que crea que no es necesario para la empresa, como barras de herramientas, fondos de pantallas, proctetores de pantallas, programas P2P (para bajar música, videos, fotos o peliculas)...



si usa el programa SPybot V 1.4....actualizelo y haga lo siguiente y si no bajaelo y actualizelos...se debe instalas en todas las maquinas....



[color=green]1.- Enciende tu computadora en modo seguro, y deshabilita Restaurar Sistema.



2.- Spybot debe estar actualizado.



3.- Abre tu Spybot …sigue estos pasos:



a).- en el menú modo toma la opción avanzado.

b).- entras en la pestaña herramientas

c).- del lado derecho te aparecerán varias opciones, habilitas todas

d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…

e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.

Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs



f).-Después entras en Inicio de sistemas

g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:

1.- deshabiltar todas las que te digan NO NECESARIO…

2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.

3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)

h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.

i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde

j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX



y de ahí corres el spybot y eliminas todo lo que te salga y inmunizas….[/color]



nos dices como te fue....



y un consejo por cada computadora es un post y si tienes problemas abre 5 post diferentes por que no se confunde....