intrussion win.dcom exploit

atilabokeron · Mensaje por **atilabokeron** » 18 Mar 2007, 11:55

Hola ,vereis desde hace unos cuantos dias cada vez que me conecto a internet el kapersky me lanza el siguiente mensaje intrussion win,dcom exploit,el ataque ha sido repelido con exito pero se me cuelga el windows cada dos por tres,he visitado la siguiente pagina forospyware y hecho lo siguiente:he arrancado el equipo en modo seguro y analizado el mismo con los siguiente programas avg antispyware 7.5 y cccleaner,he arrancado en modo normal y he vuelto a pasar dichos programas y el panda antivirus online y kapersky online pero persiste el problema,me he bajado el hijackthis y mi log es el siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 8:18:00, on 17/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WLANSTA.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\MSI\Live Update 3\LMonitor.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\HijackThis.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.foromalaguista.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LiveMonitor] C:\Archivos de programa\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: officejet 6100.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152903494995

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Mensaje por **lucl** » 18 Mar 2007, 12:09

Ves pasando elistara en modo seguro mientras busco mas informacion, parece algo relacionado con el kapersky pero aun estoy en ello, luego peganos el log que te dejara en C llamado infosat.txt, saludos

Mensaje por **lucl** » 18 Mar 2007, 12:10

perdon me olvide los links :lol:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

http://www.zonavirus.com/descargas/elistara.asp

saludos

atilabokeron · Mensaje por **atilabokeron** » 18 Mar 2007, 23:49

Gracias por contestar,he hecho lo que me decias os dejo el log

Sun Mar 18 13:38:28 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Carpeta "%WinSys%\LogFiles"

ALERTA. WindowsUpdate Incompleto.

Sun Mar 18 16:47:48 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Sun Mar 18 16:48:44 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Sun Mar 18 16:48:55 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

Nuker · Mensaje por **Nuker** » 19 Mar 2007, 01:27

Complementa con Windows Update:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

Y aparte elimina esta entrada del HijackThis en Modo Seguro:

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

Reinicie y nos comenta resultados, Gracias.

atilabokeron · Mensaje por **atilabokeron** » 21 Mar 2007, 01:06

Hola de nuevo,he hecho lo que me comentais pero en cuanto arranco el kapersky me vuelve a lanzar el mensajito de los c....estoy desesperado... :roll:

Mensaje por **msc hotline sat** » 21 Mar 2007, 14:16

Lo que te está indicando el Kaspersky es que tienes un intento de intrusion tipo DCOM (port TCP 135) pero no es preocupante, solo molesto.

Los parches de microsoft deberían haberlo evitado, pero igual no los tienes bien instalados...

Con un cortafuegos evitarías dichos intentos.

recuerda: [url=https://foros.zonavirus.com/viewtopic.php?p=52059#52059]~~[b]~~NAVEGA PROTEGIDO[/b][/url]

saludos

ms, 21-03-2007

atilabokeron · Mensaje por **atilabokeron** » 09 May 2007, 21:58

Hola,subo de nuevo este post por que sigo con los problemas todavia,el mensajito del kapersky,cuelge del ordenador,fallos con los buscadores,ect ,ect ,me dijiste que el mensaje en si no suponia problema pero es que se cuelga el ordenador bastante haber si alguien puede echarme una mano,gracias

Mensaje por **msc hotline sat** » 09 May 2007, 22:23

Instala un cortafuegos y cierra los ports del RPC-DCOM 135, y del NETBIOS 137, 138 y 139

A falta de que los parches funcionen, ya veras como intrusiones RPC-DCOM las evitas totalmente

pero realmente con lo que te indicó Nuker de lanzar un windowsupdate e instalar los parches pendientes, debiera haber sido suficiente...

saludos

ms, 9-05-2007

atilabokeron · Mensaje por **atilabokeron** » 11 May 2007, 22:05

[quote="msc hotline sat"]Instala un cortafuegos y cierra los ports del RPC-DCOM 135, y del NETBIOS 137, 138 y 139

A falta de que los parches funcionen, ya veras como intrusiones RPC-DCOM las evitas totalmente

pero realmente con lo que te indicó Nuker de lanzar un windowsupdate e instalar los parches pendientes, debiera haber sido suficiente...

saludos

ms, 9-05-2007[/quote]

Por favor me puedes explicar como sierro los port,es que no tengo ni idea,gracias y otra cosa para pasar los antispyrare marque la casilla de desactivar restaurar sistema y ahora quiero de nuevo desmarcarlo pero no me deja ,me dice lo siguiente restarurar sistema ha encontrado un error al interar habilitar/deshabilitar una o mas unidades reinicie su equipo y vuelva a intentarlo..

atilabokeron · Mensaje por **atilabokeron** » 11 May 2007, 22:06

[quote="atilabokeron"][quote="msc hotline sat"]Instala un cortafuegos y cierra los ports del RPC-DCOM 135, y del NETBIOS 137, 138 y 139

A falta de que los parches funcionen, ya veras como intrusiones RPC-DCOM las evitas totalmente

pero realmente con lo que te indicó Nuker de lanzar un windowsupdate e instalar los parches pendientes, debiera haber sido suficiente...

saludos

ms, 9-05-2007[/quote]

Por favor me puedes explicar como cierro los port,es que no tengo ni idea,gracias y otra cosa para pasar los antispyrare marque la casilla de desactivar restaurar sistema y ahora quiero de nuevo desmarcarlo pero no me deja ,me dice lo siguiente restarurar sistema ha encontrado un error al interar habilitar/deshabilitar una o mas unidades reinicie su equipo y vuelva a intentarlo..[/quote]

Mensaje por **msc hotline sat** » 15 May 2007, 08:32

informacion:

http://www.zonavirus.com/datos/articulos/73/Como_configurar_ZoneAlarm.asp

descarga:

http://www.zonavirus.com/datos/descargas/239/zonealarm.asp

saludos

ms, 15-05-2007