SISTEMA INFECTADO POR FLUSH O DNS CHANGER (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
Lisbeth45
Mensajes: 22
Registrado: 03 Ene 2006, 19:47

SISTEMA INFECTADO POR FLUSH O DNS CHANGER (SOLUCIONADO)

Mensaje por Lisbeth45 » 10 Feb 2007, 16:04

Hola, agradezco ayuda sobre lo mencionado en asunto, adicional a este alerta tambien me indica este: SE HA DETECTADO QUE EL SERVIDOR DNS NO ES UN ISP, IPs: 85.255.115.28, 85.255.112.130. Que debo hacer?...



ULTIMA REVISION ELISTARA:

Wed Jan 17 15:52:41 2007

EliStartPage v13.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v13.12

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMSNGR.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PMMON.EXE.Muestra EliStartPage v13.12

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMMON.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMONITOR.EXE --> Eliminado Puper-Isa

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Eliminado Puper-Isa

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v13.12

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMINI.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\IESPLUGIN.DLL --> Eliminado Puper-Isa

Eliminada Class, "{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}" -> C:\Archivos de programa\Video ActiveX Object\iesplugin.dll

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll

Eliminada Class, "{8D8C2387-7F80-4022-9BE6-43630A969558}" -> C:\WINDOWS\system32\gwquvw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jan 17 15:54:01 2007

EliStartPage v13.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Google Updater\cache\PROMO=132940.EXE --> AutoExtraible



Mon Jan 29 15:34:23 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\SAVE\SAVE.EXE --> SaveNow Acceso Denegado.

C:\ARCHIVOS DE PROGRAMA\SAVE\SAVEUNINST.EXE --> Eliminado SaveNow

Entrada Eliminada [HKCU\...\Run] "WhenUSave"=""C:\Archivos de programa\Save\Save.exe""

Eliminada Carpeta "%Archivos de Programa%\Video Activex Object"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



LOG HIJACKTHIS

Logfile of HijackThis v1.99.1

Scan saved at 09:32:49 a.m., on 10/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

c:\matlab6p5\bin\win32\matlab.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\ARCHIV~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\DOCUME~1\Admin\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://globovision.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Archivos de programa\Perfect Codec\iesplugin.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - C:\Archivos de programa\Netcraft Toolbar\nctb.dll

O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Admin\Escritorio\ELISTARA.09022007.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.2480\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZS

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5590ADDB-A4BC-494E-9C65-4A61530CB6B4}: NameServer = 85.255.115.28,85.255.112.130

O17 - HKLM\System\CCS\Services\Tcpip\..\{E65CD3F5-ADBB-43EF-9E09-4BE9E59F7410}: NameServer = 85.255.115.28,85.255.112.130

O17 - HKLM\System\CCS\Services\Tcpip\..\{EB49E2DE-31A9-41C2-9E54-44A60BA2820A}: NameServer = 85.255.115.28,85.255.112.130

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.130

O17 - HKLM\System\CS1\Services\Tcpip\..\{5590ADDB-A4BC-494E-9C65-4A61530CB6B4}: NameServer = 85.255.115.28,85.255.112.130

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.130

O17 - HKLM\System\CS2\Services\Tcpip\..\{5590ADDB-A4BC-494E-9C65-4A61530CB6B4}: NameServer = 85.255.115.28,85.255.112.130

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.130

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: Satinfo - C:\Documents and Settings\Admin\Escritorio\EliNotif.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe



Saludos y gracias de antemanos...





[/u]
Arriba
MrKogoyo

Mensaje por MrKogoyo » 10 Feb 2007, 19:17

Hola

Primero que nada, esa no es la última version del EliStarA



Tu tienes la version [b]13.12[/b] y la última es la [b]13.30[/b]

Descargaate la última version y pasalo de nuevo:



http://www.zonavirus.com/descargas/elistara.asp



Ademas



[b]¿Reconoces estas Entradas?:[/b]



C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe



c:\matlab6p5\bin\win32\matlab.exe



O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe



Una Pregunta:



¿Tu Windows es Genuino?



[b]Slds. ¡¡

MrKogoyo.[/b]
Arriba
Nuker
Mensajes: 1556
Registrado: 09 Oct 2006, 22:54
Ubicación: Guadalajara, Jalisco

Mensaje por Nuker » 10 Feb 2007, 19:45

MATLAB es un programa legal y seguro, vease en link.



MATLAB:

http://www.processlibrary.com/directory/files/matlab/





Y si con ELISTARA se neutralizan conocidas variantes FLUSH, prueba con la version proporcionada por MrKogoyo pero en modo seguro, posteano el log como tu ya sabes..



[u][b]Y estas parecen ser servidores de Ucrania[/b][/u]:





O17 - HKLM\System\CCS\Services\Tcpip\..\{5590ADDB-A4BC-494E-9C65-4A61530CB6B4}: NameServer = 85.255.115.28,85.255.112.130

O17 - HKLM\System\CCS\Services\Tcpip\..\{E65CD3F5-ADBB-43EF-9E09-4BE9E59F7410}: NameServer = 85.255.115.28,85.255.112.130

O17 - HKLM\System\CCS\Services\Tcpip\..\{EB49E2DE-31A9-41C2-9E54-44A60BA2820A}: NameServer = 85.255.115.28,85.255.112.130

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.130

O17 - HKLM\System\CS1\Services\Tcpip\..\{5590ADDB-A4BC-494E-9C65-4A61530CB6B4}: NameServer = 85.255.115.28,85.255.112.130

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.130

O17 - HKLM\System\CS2\Services\Tcpip\..\{5590ADDB-A4BC-494E-9C65-4A61530CB6B4}: NameServer = 85.255.115.28,85.255.112.130

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.130



Prueba esta herramienta pero [b]lee[/b] antes de usar:



[u][b]Utilidad para cambiar los servidores DNS cuando el ELISTARA detecta que han sido cambiados los originales por otros no deseados.





Antes de ejecutar esta utilidad debe haberse contactado con el ISP (Proveedor de Servicios de Internet) para saber los que ellos sugieren utilizar, o conocer otros que se deseen implantar en su lugar.[/b][/u]



CONFGDNS:



http://www.zonavirus.com/descargas/confgdns.asp
[DJ eXploit]
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 10 Feb 2007, 22:08

Y como que al parecer no nos has enviado las muestras que te pediamos, ya que las posteriores versiones no han eliminado las copias de C:\muestras, envianos todos los ficheros que contenga la carpeta C:\muestras



y elimina estas claves:



O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Archivos de programa\Perfect Codec\iesplugin.dll (file missing)



O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Admin\Escritorio\ELISTARA.09022007.EXE



O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZS



O20 - Winlogon Notify: Satinfo - C:\Documents and Settings\Admin\Escritorio\EliNotif.dll (file missing)





y recuerda lo de los servidores maliciosos de DNS de Ukraina !





pues el ELISTARA que usabas ahora ya está caducado, y debes sustitirlo por el actual, como te han indicado



recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 10-02-2007
Arriba
Lisbeth45
Mensajes: 22
Registrado: 03 Ene 2006, 19:47

SISTEMA INFECTADO POR FLUSH O DNS CHANGER

Mensaje por Lisbeth45 » 11 Feb 2007, 01:29

esto fue lo que arrojo el ELISTARA



Sun Jan 07 16:10:33 2007

EliStartPage v13.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sun Jan 07 16:11:30 2007

EliStartPage v13.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Google Updater\cache\PROMO=132940.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-1957994488-1757981266-682003330-1003\DC225.EXE --> AutoExtraible



Fri Jan 12 10:23:09 2007

EliStartPage v13.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Fri Jan 12 10:23:59 2007

EliStartPage v13.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Google Updater\cache\PROMO=132940.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-1957994488-1757981266-682003330-1003\DC225.EXE --> AutoExtraible



Wed Jan 17 15:52:41 2007

EliStartPage v13.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v13.12

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMSNGR.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PMMON.EXE.Muestra EliStartPage v13.12

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMMON.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMONITOR.EXE --> Eliminado Puper-Isa

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Eliminado Puper-Isa

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v13.12

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMINI.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\IESPLUGIN.DLL --> Eliminado Puper-Isa

Eliminada Class, "{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}" -> C:\Archivos de programa\Video ActiveX Object\iesplugin.dll

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll

Eliminada Class, "{8D8C2387-7F80-4022-9BE6-43630A969558}" -> C:\WINDOWS\system32\gwquvw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jan 17 15:54:01 2007

EliStartPage v13.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Google Updater\cache\PROMO=132940.EXE --> AutoExtraible



Mon Jan 29 15:34:23 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\SAVE\SAVE.EXE --> SaveNow Acceso Denegado.

C:\ARCHIVOS DE PROGRAMA\SAVE\SAVEUNINST.EXE --> Eliminado SaveNow

Entrada Eliminada [HKCU\...\Run] "WhenUSave"=""C:\Archivos de programa\Save\Save.exe""

Eliminada Carpeta "%Archivos de Programa%\Video Activex Object"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 29 15:38:07 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\Save"

Eliminados Ficheros Temporales del IE



Mon Jan 29 15:40:00 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Google Updater\cache\PROMO=132940.EXE --> AutoExtraible



Sat Feb 03 17:37:22 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.28,85.255.112.130

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"



Sat Feb 03 17:38:26 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.28,85.255.112.130

Eliminados Ficheros Temporales del IE



Sat Feb 03 17:39:30 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible



Fri Feb 09 15:51:22 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.28,85.255.112.130

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Sat Feb 10 09:40:01 2007

EliTriIP v3.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sat Feb 10 09:47:58 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.28,85.255.112.130

Eliminados Ficheros Temporales del IE



Sat Feb 10 09:48:42 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible



Sat Feb 10 09:51:04 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.28,85.255.112.130

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.02.07 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Flush o DNSChanger

Desinstalado EliNotif.dll



Sat Feb 10 10:26:43 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\KDZHZ.EXE.Muestra EliStartPage v13.30

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KDZHZ.EXE --> Eliminado

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.28,85.255.112.130

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 10 10:26:55 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Google Updater\cache\PROMO=132940.EXE --> AutoExtraible



Sat Feb 10 10:43:39 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.28,85.255.112.130

Eliminados Ficheros Temporales del IE



Sat Feb 10 14:03:53 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.28,85.255.112.130

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 10 14:04:14 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Google Updater\cache\PROMO=132940.EXE --> AutoExtraible



Sat Feb 10 19:14:52 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 10 19:15:31 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sat Feb 10 19:15:33 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Google Updater\cache\PROMO=132940.EXE --> AutoExtraible
Arriba
Lisbeth45
Mensajes: 22
Registrado: 03 Ene 2006, 19:47

SISTEMA INFECTADO POR FLUSH O DNS CHANGER

Mensaje por Lisbeth45 » 11 Feb 2007, 01:37

AHORA NO ME APARECEN LOS ARCHIVOS INFECTADOS QUE MENCIONAS O TAL VEZ NO SE BUSCARLOS...
Arriba
Lisbeth45
Mensajes: 22
Registrado: 03 Ene 2006, 19:47

SISTEMA INFECTADO POR FLUSH O DNS CHANGER

Mensaje por Lisbeth45 » 11 Feb 2007, 01:48

Aparentemente no esta el problema...digo en este informe de Elistara...tal vez fue resuelto...diganme Uds.



Saludos...
Arriba
Nuker
Mensajes: 1556
Registrado: 09 Oct 2006, 22:54
Ubicación: Guadalajara, Jalisco

Mensaje por Nuker » 11 Feb 2007, 01:54

[quote="msc hotline sat"]y elimina estas claves:



O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Archivos de programa\Perfect Codec\iesplugin.dll (file missing)



O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Admin\Escritorio\ELISTARA.09022007.EXE



O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZS



O20 - Winlogon Notify: Satinfo - C:\Documents and Settings\Admin\Escritorio\EliNotif.dll (file missing)





y recuerda lo de los servidores maliciosos de DNS de Ukraina !





pues el ELISTARA que usabas ahora ya está caducado, y debes sustitirlo por el actual, como te han indicado



recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 10-02-2007[/quote]



Si haz hecho todo eso, y los problemas ya no persisten se puede dar por solucionado. Dinos tu...
[DJ eXploit]
Arriba
Lisbeth45
Mensajes: 22
Registrado: 03 Ene 2006, 19:47

SISTEMA INFECTADO POR FLUSH O DNS CHANGER

Mensaje por Lisbeth45 » 11 Feb 2007, 03:03

Si por favor, cierra el problema y....muchisimas gracias por la ayuda...Saludos
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 11 Feb 2007, 08:59

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 11-02-2007
Arriba
Cerrado

Volver a “Foro Virus - Cuentanos tu problema”