ayuda flush dns changer (SOLUCIONADO)

[after1]

bueno les cuento mi problema luego de usar el buscador google me re direcciona a otra pagina, probe con pasarle elitriip y elistar y en ambos casos en medio de la exploracion el programa se cierra solo. Con elistar me dice textualmente "sistema infectado por flush o dns changer" y ademas que falta el archivo "ELINOTIF.DLL" necesario para la limpieza. Necesitaria saber como soluciuonarlo. Les dejo el log de hjt:





Logfile of HijackThis v1.99.1

Scan saved at 10:28:59, on 18/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Usuario\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKLM\..\Run: [AVG7_CC] "C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP

O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - (no file)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

[msc hotline sat]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos

[msc hotline sat]

ademas eliminar esta clave:



O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -



para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 18-04-2007

[after1]

ahi va el log infosat:





EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Flush o DNSChanger

Desinstalado EliNotif.dll



Wed Apr 18 19:43:05 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\KDZVL.EXE.Muestra EliStartPage v13.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KDZVL.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Apr 18 19:43:42 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[Nuker]

Si tiene este fichero dentro de la carpeta muestras envielo para su analisis.



C:\Muestras\[b]KDZVL.EXE[/b]



Como Enviar ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Saludos.

[msc hotline sat]

Si, tras haber procesado el ELISTARA con el ELINOTIF, ya podrá acceder y enviarnos este fichero:



Por favor, envienos una muestra del fichero

C:\Muestras\KDZVL.EXE.Muestra EliStartPage v13.77



como le indica nuker.



Una vez lo recibamos y analicemos , implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 19-04-2007

[after1]

probe los pasos para enviar la muestra pero no puedo hacerlo, habra alguna otra forma de que el antivirus de hotmail no detecte el archivo?.gracias

[msc hotline sat]

Empaquetandola en un ZIP o RAR con password VIRUS, como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 19-04-2007



nota (asi estamos enviando muestras víricas diariamente a McAfee desde hace 15 años !)

[after1]

bueno finalmente pude lograr enviar el fichero de muestra, me trajo dificultades hacerlo debido a mi inexperiencia no por otra cosa tal vez se malinterpreto.

[lucl]

ok after, pues mañana lo analizaran y te comentaran algo al respecto, saludos :D

[msc hotline sat]

Recibido y analizado, resulta ser una variante del DNS Changer - Flush, que con la nueva version del ELISTARA de hoy, 13.80 junto con el ELINOTIF, lo controlará y eliminará



A partir de las 20 h UTC de hoy estará disponible en esta web para pruebas de evaluacion en el foro de zonavirus:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 20-04-2007

[after1]

bueno pase la version nuva de elistara en modo normal y seguro y parece no encontrar nada ahi les mando el log









Fri Apr 20 16:38:27 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Apr 20 16:49:10 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Apr 20 16:50:38 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[msc hotline sat]

Del disco duro ya lo habiamos eliminado:



Wed Apr 18 19:43:05 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\KDZVL.EXE.Muestra EliStartPage v13.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KDZVL.EXE --> Eliminado





pero si no lo has eliminado de la carpeta C:\muestras\ lo debería haber detectado y eliminado el nuevo ELISTARA ???



Comprueba por favor si en C:\muestras\ aun lo tienes. o si recuerdas haberlo borrado de allí manualmente , gracias



saludos



ms, 25-04-2007

[after1]

EN EFECTO EL FICHERO DE MUESTRAS FUE ELIMINADO MANUALMENTE LUEGO DE MANDARLES LA MUESTRA A INFOSAT,

AGRADEZCO SU AYUDA EN EL CASO. SALUDOS

[msc hotline sat]

Eso lo aclara todo.



Y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 25-04-2007