Mi pc intenta conectarse a internet (SOLUCIONADO)

[rrcoolb]

Hola gente de zonavirus!!!

Mi pc intenta continuamente conectarse a internet, y la pagina de inicio de IE es "secure32" le pase todos los av y no reconoce nada, ademas aparece la carpeta !submit con unas dll que envie a virus@satinfo.es

[color=red]mi hijack log es

Logfile of HijackThis v1.99.1

Scan saved at 21:05:26, on 12/01/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\apache\bin\httpd.exe

C:\WINDOWS\system\icrss.exe

C:\apache\bin\httpd.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\keyhook.exe

C:\WINDOWS\System32\sistray.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Firebird\bin\fbguard.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Softwin\BitDefender8\bdnagent.exe

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\apache\bin\ApacheMonitor.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Firebird\bin\fbserver.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\Archivos de programa\Norton AntiVirus\Navw32.exe

C:\Archivos de programa\Norton AntiVirus\QSERVER.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\NMain.exe

C:\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {C3581462-AD4C-43AF-A8A7-AFEFEBA11B44} - C:\WINDOWS\System32\yayxuts.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Firebird] C:\Firebird\bin\fbguard.exe -a

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ÿ_zskt`rhwo]^h][stoqhniwmdksz_] c:\windows\system32\_zskdmwinhqots[]h^]owhr`t.exe

O4 - HKLM\..\Run: [BDNewsAgent] "C:\Archivos de programa\Softwin\BitDefender8\bdnagent.exe"

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe

O4 - HKLM\..\RunServices: [ÿ_zskt`rhwo]^h][stoqhniwmdksz_] c:\windows\system32\_zskdmwinhqots[]h^]owhr`t.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [HijackThis startup scan] C:\hijackthis\HijackThis.exe /startupscan

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [areslite] "C:\Archivos de programa\Ares Lite Edition\AresLite.exe" -h

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Archivos comunes\Microsoft Shared\MSInfo\MSINF16H.EXE

O4 - Global Startup: Monitor Apache Servers.lnk = C:\apache\bin\ApacheMonitor.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: yayxuts - C:\WINDOWS\SYSTEM32\yayxuts.dll

O23 - Service: Apache2.2 - Unknown owner - C:\apache\bin\httpd.exe" -k runservice (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Firebird Guardian (FirebirdGuardian) - Unknown owner - C:\Firebird_1_5\bin\fbguard.exe (file missing)

O23 - Service: Firebird Server (FirebirdServer) - Unknown owner - C:\Firebird_1_5\bin\fbserver.exe (file missing)

O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe

O23 - Service: InterServer - Unknown owner - C:\Archivos de programa\Firebird\InterClient\bin\interserver.exe (file missing)

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Microsoft Apache for Windows (Windows Apache Service) - Unknown owner - C:\WINDOWS\wpablin.exe (file missing)

O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wdfmgr.exe (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)[/color]

existen virus que ya elimine, pero no pude darles fix en el registro y no pude eliminarlos con el easycleaner

bueno si tienen alguna idea para eliminarlos pasenmela!!!

saludos a todos!!!

RRCOOLB

[ahi]

si no me equivoco tiene el norton y el bitdefender istalado, desinstale uno de los 2. sobre el hijackthis elimine estas claves:



O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe



O4 - HKLM\..\Run: [ÿ_zskt`rhwo]^h][stoqhniwmdksz_] c:\windows\system32\_zskdmwinhqots[]h^]owhr`t.exe



O4 - HKLM\..\RunServices: [ÿ_zskt`rhwo]^h][stoqhniwmdksz_] c:\windows\system32\_zskdmwinhqots[]h^]owhr`t.exe



O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe



O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe



este es sospechoso:



O23 - Service: Microsoft Apache for Windows (Windows Apache Service) - Unknown owner - C:\WINDOWS\wpablin.exe (file missing)



este proceso sería legitimo si estara en: C:\windows\system32, pero esta en C:\windows\. eliminalo:



O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wdfmgr.exe (file missing)



NOTA: sobre la que puse como sospechosa espere la confirmacion para eliminar.

[msc hotline sat]

Complementando lo indicado por "AHI":



ANTE TODO, PARECE QUE EL SISTEMA OPERATIVO NO ESTA ACTUALIZADO ...: Platform: Windows XP SP1 : Actualicelo al SP2 y posteriores..., no para el I.E. sino para el windows XP







Enviarnos muestras de:



C:\WINDOWS\system\icrss.exe



C:\WINDOWS\SYSTEM32\yayxuts.dll



C:\WINDOWS\System32\autosys.exe



mysvcc.exe





Y ESTE FICHERO DE LA CARPETA DE SISTEMA muy sospechoso... : _zskdmwinhqots[]h^]owhr`t.exe





y este no es normal para XP : MSINF16H.EXE (Microsoft System Info 16-bit Helper )

envienos tambien muestra para analizar : C:\Archivos de programa\Archivos comunes\Microsoft Shared\MSInfo\MSINF16H.EXE



Y ESTE DE LA CARPETA DE SISTEMA PUEDE TENER ATRIBUTOS DE OCULTO, TENERLO EN CUENTA Y ENVIARLO PARA ANALISIS: C:\WINDOWS\System32\irdvxc.exe









eliminar:



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html



O2 - BHO: (no name) - {C3581462-AD4C-43AF-A8A7-AFEFEBA11B44} - C:\WINDOWS\System32\yayxuts.dll



O20 - Winlogon Notify: yayxuts - C:\WINDOWS\SYSTEM32\yayxuts.dll



O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe



O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.ex





Esta queda pendiente hasta el resultado del analisis de la muestra... :



O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Archivos comunes\Microsoft Shared\MSInfo\MSINF16H.EXE





O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)



saludos



ms, 13-01-2007

[rrcoolb]

Hola gente de zonavirus, corri un antivirus en este caso el bitdefender y reconocio el virus [color=red]msvisuals.exe [/color]sospechado como [color=red]win32explorerhijack,[/color]luego corri el norton y encontro el [color=red]irdvxc.exe como [/color]w32.rahack.h, pero ninguno de los 2 reconocio archivos sospechosos como [color=red]isass.exe, icrss.exe [/color]y otros, cual avirus me recomiendan que desinstale?

corri el elistara y ya no intenta conectarse a internet, algo se soluciono.

en el log del hijackthis me aparecen registros como



[color=red]O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wdfmgr.exe (file missing)[/color]es un virus que elimine hace ya bastante, pero por mas que le de fixchecked no borra el registro

el archivo [color=red]C:\WINDOWS\System32\mysvcc.exe [/color]debe ser de ocultacion completa porque no puedo encontrar

el archivo sm56hlpr.exe es el help del modem, creen que deba eliminarlo?

intentare actualizar el xp por sp2 cuando pueda conectarla al servicio adsl, el modem de 56k es lentisimo!!

tambien les voy enviar archivos que seguro son virus como [color=red]autosys.exe y el iddde.exe[/color]

saludos a todos y gracias

rrcoolb

[msc hotline sat]

Lea mi post anterior y envienos los ficheros que se le piden, Del isass.exe no decimos nada ni aparece en el log, y si se referie al lsass de la carpeta de sistema, dejelo estar que es del windows !





Especialmente el C:\WINDOWS\system\icrss.exe es seguro una variante de SDBOT , que controlaremos con el ELITRIIP en cuanto tengamops la muestra.



y recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Revisado de nuevo el log, cabe añadir:





Envianos ademas de los ya indicados, muestra de estos ficheros para analizar





c:\windows\system32\_zskdmwinhqots[]h^]owhr`t.exe







Y debes eliminar ademas de las ya indicadas, estas claves:







O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe



O23 - Service: InterServer - Unknown owner - C:\Archivos de programa\Firebird\InterClient\bin\interserver.exe (file missing)



O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)







saludos



ms, 17-01-2007



Nota: Pos la solera y experiencia, de los dos antivirus yo dejaría instalado el Norton...pero es una consideracion personal, escoja el que prefiera, al menos si se infecta que sea a su gusto :lol:

[rrcoolb]

Hola nuevamente!!!

el fichero autosys.exe que ya envie, es el que ponia como pagina de inicio en secure32.html.

el unico problema es que no puedo encontrar los siguientes ficheros:

c:\windows\system32\_zskdmwinhqots[]h^]owhr`t.exe

C:\WINDOWS\System32\msasvc.exe

seran de ocultacion completa?

la idea es enviarlo, por eso quiero usar el killbox con ellos

intentare enviar C:\WINDOWS\system\icrss.exe si lo encuentro

la verdad que por mi, sacaria todos los antivirus pagos, total para lo que sirven!!!

saludos y gracias nuevamente

RRcoolB

[msc hotline sat]

Si usas el killbox no podremos seguir ayudandote, lo que interesa es la muestra para saber si es o no es malware y en su caso, proceder en cinsecuencia, no cargarselo de entrada sin mas !



Y suerte tenemos de los antivirus ... ! son 250.000 variantes de malwares las qye controlamos actualmente y lo que nosotros hacemos es aprovecharlos y complementarlos, no sustituirlos !



Ademas, las utilidades que pruebas en este foro tambien son de pago, no lo olvides. Y si las puedes probar aqui es en concepto de evaluacion, pero el personal de SATINFO cobra su sueldo, y este no sale de la nada...



saludos



ms, 18-01-2007

[rrcoolb]

Hola!!! ya pude enviar las muestras de los archivos que me solicitaron, de todas maneras mi pc ya no intenta conectarse a internet, gracias al elistara,a los programadores de ella, claro!!

asi que mi problema esta solucionado!!!

a lo que yo me referia, es que si no fuera por la utilidad elistara, que es freeware, yo no ubiese solucionado nada, he pagado por un av original, nada pìrata como es debido, y no encontre soluciones satisfactorias.

yo diseño programas de facturacion y utilizo bases de datos en interbase y se lo feo que es que te digan que esta mal diseñada, que los datos son corruptos y demas, pero me la tengo que aguantar, no me queda otra, pero por suerte para ellos que existen los programadores de bases de datos!!!

bueno creo que el tema esta terminado!!!

Muchas gracias por la desinteresada ayuda!!!

saludos a todos!!!

Hasta la proxima!!

RRcoolB

[msc hotline sat]

Cambia el chip respecto a lo que indicas de:



"es que si no fuera por la utilidad elistara, que es freeware"



El ELISTARA es una utilidad de SATINFO con Copyright y de freeware nada de nada !



Se puede evaluar en este foro en concepto de evaluacion, pero normalmente solo la pueden usar los asociados a los servicios tecnicos de SATINFO, que pagan su cuota por ello.



Por otro lado celebramos que se haya solucionado el problema y en consecuencia procedemos a cerrar el Tema



saludos



ms, 22-01-2007



NOTA : De todas formas con la nueva version de hpy del ELISTARA se controlaran las muestras enviadas. Pruebela a partir de las 20 h de hoy 22.1.2007

[msc hotline sat]

Recibidas nuevas muestras de MFCEE.EXE y MYSVCC.EXE resultan ser SDBOT que pasamos a control y eliminar en la siguiente version del ELITRIIP v 3.12 que estamos haciendo, no sé si podremos subirla esta noche o mañana, pero miralo despues de las 20 h



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 30-01-2007