-
jeddy
- Mensajes: 7
- Registrado: 22 Mar 2007, 19:25
Mensaje
por jeddy » 22 Mar 2007, 20:33
Aquí esta el log de hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 11:31:22 a.m., on 22/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\ms4w\Apache\bin\httpd.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\ms4w\Apache\bin\httpd.exe
C:\WINDOWS\regdll.exe
C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\Java\j2re1.4.2_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mmc.exe
C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Archivos de programa\MySQL-Front\MySQL-Front.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_11\bin\npjpi142_11.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_11\bin\npjpi142_11.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lanix.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173987321937
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2833DF9-9F2F-4713-BA91-FEE4F21CFFE7}: NameServer = 148.223.69.2
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Apache MS4W Web Server (ApacheMS4WWebServer) - Unknown owner - D:\ms4w\Apache\bin\httpd.exe" -k runservice (file missing)
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - Unknown owner - C:\Archivos de programa\PostgreSQL\8.2\bin\pg_ctl.exe" runservice -N "pgsql-8.2" -D "C:\Archivos de programa\PostgreSQL\8.2\data\ (file missing)
O23 - Service: Register DLL Driver - Unknown owner - C:\WINDOWS\regdll.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Me dice mi ISP ( donde tengo el server ) que ellos sí pueden ver páginas. Mí server es parte de su red local así que creo que es más problema de mi PC que de ellos...creo.
Gracias por su ayuda.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 22 Mar 2007, 20:43
Envienos muestra de este fichero para analizar:
C:\WINDOWS\regdll.exe
pues parece ser un backdoor de IRC:
http://www.bleepingcomputer.com/startups/Register_DLL_Driver-16866.html
Tras analizarla le informaremos de como proceder. Si es malware, implementaremos su control y eliminacion en la siguiente version del ELITRIIP
(Pero enviela pronto, que mañana es viernes ! y si no la envia hoy, mañana cuando Vds se levantan ya es la tarde para nosotros y no habría tiempo...)
Y esta clave es de McAfee, y si no tiene instalado el VirusScan le puede ralentizar y marear la perdiz, eliminela !!! :
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 22-03-2007
-
jeddy
- Mensajes: 7
- Registrado: 22 Mar 2007, 19:25
Mensaje
por jeddy » 22 Mar 2007, 21:01
no encontré el REGDLL.EXE pero sí uno con nombre REGDLL.EXE-05554E78.pf
A qué correo se los envío. Porque por este medio no acepta esa extensión, ni zippeado tampoco.
Gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 22 Mar 2007, 21:05
No, el .PF es el prefecth, no sirve.
Debe ser el .EXE
si no lo encuentra puede estar oculto:
https://foros.zonavirus.com/viewtopic.php?f=5&t=13245
y como indicamos , en ZIP o RAR con password VIRUS :
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 22-02-2007
-
jeddy
- Mensajes: 7
- Registrado: 22 Mar 2007, 19:25
Mensaje
por jeddy » 22 Mar 2007, 21:16
Ya lo envié. Mandé 2 correos en el primeor va el prefetch. En el segundo el REGDLL.EXE
gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 23 Mar 2007, 09:00
Lo vemos en un par de horas, cuando entremos a trabajar, ya informaremos
saludos
ms, 23-03-2007
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 23 Mar 2007, 10:50
Recibido el REGDLL.EXE resulta que McAfee ya lo detecta como SDBOT.gen.M
Pasamos a monitorizarlo y lo impleemntaremos en el ELITRIIP de hoy v 3.38
Tras probarlo, posteenos el c:\infosat.txt para ver el resultado dle proceso, gracias
saludos
ms, 23-03-2007
-
jeddy
- Mensajes: 7
- Registrado: 22 Mar 2007, 19:25
Mensaje
por jeddy » 26 Mar 2007, 20:20
Gracias por su ayuda,
El viernes renombré REGDLL.EXE
Aquí está el infosta.txt
Mon Mar 26 10:18:03 2007
EliTriIP v3.39 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\_regdll.exe --> Eliminado, SdBot.worm.gen.M
C:\WINDOWS\ALANIX318\Autorun.inf --> Infectado, BackDoor.CMQ (inf)
C:\WINDOWS\drivers\OEMDrivers\Chipset\SIS\AGP\USB\Win2K_XP\WinXPUSB\SISPORT.SYS --> Infectado, RootKit
C:\WINDOWS\drivers\OEMDrivers\T_RED\RED_MS6826_P54G\Autorun.inf --> Infectado, BackDoor.CMQ (inf)
¿ Algún comentario con eso del RootKit ?
Gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 26 Mar 2007, 20:35
Pues ahora solo resta decirnos si persiste alguna anomalia o ya considera solucionado el problema
Y referente a este Rootkit, ya es un viejo conocido :lol:
saludos
ms, 26-03-2007
-
jeddy
- Mensajes: 7
- Registrado: 22 Mar 2007, 19:25
Mensaje
por jeddy » 26 Mar 2007, 20:50
Considero que el problema ha sido solucionado.
Gracias.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 27 Mar 2007, 07:49
[url=http://forum.telecharger.01net.com]
[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url] Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 27-03-2007
msc hotline sat Virus Research Engineer