block de adm. de tareas segunda parte

petazo · Mensaje por **petazo** » 12 Abr 2006, 19:15

aki esta el HJK de la otra secion para q lo revises....

Logfile of HijackThis v1.99.1

Scan saved at 13:14:00, on 12-04-2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CAP4RSK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4SWK.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\DriverLoad\svchost.exe

C:\DriverLoad\svchost.exe

C:\ARCHIV~1\DrWeb\spidernt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\DriverLoad\svchost.exe

C:\DriverLoad\svchost.exe

C:\DriverLoad\svchost.exe

C:\DriverLoad\svchost.exe

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [SpIDerNT] C:\ARCHIV~1\DrWeb\spidernt.exe /agent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DriverLoad] c:\DriverLoad\svchost.exe -dl

O4 - HKCU\..\Run: [DriverCheck] c:\DriverLoad\svchost.exe -dc

O4 - HKCU\..\Run: [SystemDriverLoad] c:\DriverLoad\svchost.exe -sdl

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128571672312

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1619C613-A8A8-4ED7-B46C-A3ADD930B404}: NameServer = 85.255.116.24,85.255.112.84

O17 - HKLM\System\CCS\Services\Tcpip\..\{78F639B2-190E-402F-AA2C-C4D82CDD5BDF}: NameServer = 85.255.116.24,85.255.112.84

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web Ltd - C:\Archivos de programa\DrWeb\SpiderNT.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

debo comentarte q tras hacer la vez anterior esto y arreglar lo q me dijiste como q se activaron otros problemas, por ejemplo se me minimiza la pantalla...., pero me di cuenta al apretar alt+tab que es como si se pusiera una pagina invisible delante de la que uso y lo mas extraño es que el icono es = al de svchost.exe o al del msconfig.exe no se si eso te pueda deci algo... espero q si...

gracias denuevo...

Mensaje por **msc hotline sat** » 12 Abr 2006, 19:32

Pues se ve a simple vista un SVCHOST.EXE que no está en la carpeta de sistema;

C:\DriverLoad\svchost.exe

Envianoslo a zonavirus@satinfo.es con la referencia REF NOSVCHOST y tras analizarlo , implementaremos su eliminacion y control en nuestras utilidades.

Mientras mueve este fichero a cuarentena, para que asi no sea ejecutado en los proximos reinicios

Por otro lado, tienes un servidor de dominios que dudo que sea el que te aconseja tu ISP:

85.255.116.24 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.84 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

Como ves, es de Ukraina y de haberlos hailos ...

Tras preguntarles los que te aconsejan , aplicalos con nuestra utilidad CONFGDNS.EXE:

CONFGDNS.EXE
http://www.zonavirus.com/descargas/confgdns.asp

Nota:_ Las claves a eliminar correspondientes al SVCHOST de marras son:

O4 - HKCU\..\Run: [DriverLoad] c:\DriverLoad\svchost.exe -dl
O4 - HKCU\..\Run: [DriverCheck] c:\DriverLoad\svchost.exe -dc
O4 - HKCU\..\Run: [SystemDriverLoad] c:\DriverLoad\svchost.exe -sdl

De todas formas ya las eliminará la utilidad que hagamos al respecto tras el examen de la muestra, pero si quiere hacerlo antes, ya lo sabe !

saludos

ms, 12-4-2006

petazo · Mensaje por **petazo** » 13 Abr 2006, 05:37

ya hice todo lo q me dijiste al pie de la letra... solo me falta sabe q hago con svchost.exe

gracias por tu ayuda...

Mensaje por **msc hotline sat** » 13 Abr 2006, 11:20

El SVCHOST.EXE de la carpeta indicada (c:\DriverLoad\svchost.exe) nos lo envias, como ya te decimos, y lo mueves a una carpeta de cuarentena, o a un disquete, fuera del ordenador si quieres, la cuestion es que no esté ni en su sitio ni en una carpeta con path de sistema, pero ojo no toques el de sistema que está en C:\windows\system32 !!!

Asi no se cargara en el proximo reinicio y ya no incordiarà

y nos cuentas el resultado como respuesta de este Tema

saludos

NOTA: Cuando lo hayamos exaninado, implementaremos su control y eliminacion en nuestras utilidades, posiblemente en el ELITRIIP, de lo cual ya informaremos. ms

petazo · Mensaje por **petazo** » 13 Abr 2006, 18:41

ya se los mande, espero q les haya llegado mientras voy a dejar en cuarentena el q esta en C:drverload.

espero las respuesta para saber q hacer

gracias por su ayuda.

petazo · Mensaje por **petazo** » 13 Abr 2006, 18:52

deje en cuarentena y mepaso algo muy extraño.

me meti al adm. de tareas y aparte de seguir blockeado no salian de q tipo de archivos eran los qsalian en la lista, por ejemplo de sistema, de la secion en unso etc... ese columnar salia en blanco... q raro... espero respuestas gracias :)

Mensaje por **msc hotline sat** » 14 Abr 2006, 07:17

Es posible que se hayan modificado claves de registro que afecten al administrador de tareas

Sino, cuando volvamos al trabajo (aqui es fiesta por Semana Santa hasta el martes), lo examinaremos y veremos qué claves modifica, para restaurarlos con nuestras utilidades

Y comentenos el resultado

saludos

ms, 14-4-2006

petazo · Mensaje por **petazo** » 16 Abr 2006, 02:10

bueno, les comento q se ha arreglado casi en 100%.... todos los spy q nombre anteriormente estan fuera.... exepto po el blockeo del administrador de tareas...

si tuvieran alguna sugerencia para poder enviarles informacion o como sea...

quienro limpiar mi pc... quizas tenga q formatearlo... pero quiero probar todas als opciones antes...

gracias.

Mensaje por **msc hotline sat** » 16 Abr 2006, 07:53

Aparte de lo que podamos ver el martes en el fichero que nos has enviado, y deshagamos lo que haya hecho, ¿Jas probado el ELIRESTR ???

saludos

ms, 16-4-2006

petazo · Mensaje por **petazo** » 17 Abr 2006, 23:09

si lo probe, y me decia esto.

"este prceso restaura todos los tipos de archivos(sale una lista de archivos q restaura) yelimina restricciones del sistema, pulse aceptar paracontinuar"

acepto y sale

" prceso finalizado."

veo el administrador de tareas y aun sigue blckeado.

ya no se que hacer.

les dejo nuevamente el HJ para q lo revisen...

Logfile of HijackThis v1.99.1

Scan saved at 17:13:33, on 17-04-2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\CAP4RSK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4SWK.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\DrWeb\spidernt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gogle.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [SpIDerNT] C:\ARCHIV~1\DrWeb\spidernt.exe /agent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128571672312

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{78F639B2-190E-402F-AA2C-C4D82CDD5BDF}: NameServer = 85.255.116.24,85.255.112.84

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web Ltd - C:\Archivos de programa\DrWeb\SpiderNT.exe

gracias.

Mensaje por **msc hotline sat** » 18 Abr 2006, 05:57

Bueno, pues parece que tienes amigos en Ukraina... Sino, porqué tienes el servidor de dominios en una web de allá ???

85.255.116.24 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.84 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting

Venga, que te pueden llevar al huerto si utilizas estos servidores !!!

Pregunta a tu ISP los servidores que te recomiendan y configuraios en tu ordenador con el CONFGDNS.EXE que hicimos para esto:

CONFGDNS.EXE
http://www.zonavirus.com/descargas/confgdns.asp

Aparte, estos ficheros que estan en proceso, los conoces ???:

CAP4RSK.EXE

CAPKSWK.EXE

Ya nos contarás...

saludos

ms, 18-4-2006

Mensaje por **msc hotline sat** » 18 Abr 2006, 16:51

Recibido el fichero SVCHOST de marras ha resultado ser una variante del DELF que denominaremos DRIVERLOAD en atencion a la carpeta donde lo crea y valores en las claves de registro

Por lo que vemos intenta ejecutar remotamente un php que muy bien podría capturar passwords siendo ejecutadas las rutinas desde el propio servidor, no necesariamente en la maquina infectada.

La web de descarga y fichero consecuente son:

http://24***search.com/***irect1.php

si bien no llega a descargarlo, pues los php se ejecutanm desde el propio servidor.

y dicha ejecucion crea los ficheros y claves siguientes:

C:\DriverLoad\svchost.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

"DriverLoad"="C:\DriverLoad\svchost.exe -dl"

"DriverCheck"="C:\DriverLoad\svchost.exe -dc"

"SystemDriverLoad"="C:\DriverLoad\svchost.exe -sdl"

"SystemDriverCheck"="C:\DriverLoad\svchost.exe -sdc"

"SystemCheck"="C:\DriverLoad\svchost.exe -sc"

Todo ello lo controlaremos con la nueva version del ELISTARA 11.53 de hoym y trataremos de infectarnos y dejar que nos manipule mas claves de registro, a ver si nos inhabilita el Administrador de Tareas, pues con las claves que modifica a priori no causan la anomalia que Vd detecta, pero tras bajar (y ejecutar reniramente) el fichero php, no sabemos lo que hará ...

Confiamos que con la nueva version se restablezca la normalidad, lo cual esperamos nos confirme tras descargar la 11.53 esta noche y probarla

saludos

ms, 18-4-2006

Mensaje por **msc hotline sat** » 18 Abr 2006, 17:16

A titulo de comentario, la web en cuestion es de ukraina ...

UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

como algunos servidores de DNS de hackers !!!

saludos

ms, 18-4-2006

Mensaje por **msc hotline sat** » 18 Abr 2006, 19:10

Disponible nueva version 11.53 de ELISTARA :

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 18-4-2006

petazo · Mensaje por **petazo** » 19 Abr 2006, 04:30

msc hotline sat escribió:Bueno, pues parece que tienes amigos en Ukraina... Sino, porqué tienes el servidor de dominios en una web de allá ???

85.255.116.24 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.84 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting

Venga, que te pueden llevar al huerto si utilizas estos servidores !!!

Pregunta a tu ISP los servidores que te recomiendan y configuraios en tu ordenador con el CONFGDNS.EXE que hicimos para esto:

CONFGDNS.EXE
http://www.zonavirus.com/descargas/confgdns.asp

Aparte, estos ficheros que estan en proceso, los conoces ???:

CAP4RSK.EXE

CAPKSWK.EXE

Ya nos contarás...

saludos

ms, 18-4-2006

ya con respecto a esto me puse en contacto con mi ISP y me dijieron una serie de cosas y entre esas q pusiera "obtener la dioreccion del dns automaticamente" en las propiedades del protocolo internet. claro esta q el ultimo HJ que les mande fue despues de hacer todo aquello, asi q no se por que perdura.

con respecto a esos archivos CAP4RSK.EXE y CAPKSWK.EXE no los conozco, pero son aquellos los que mas me ocupan recursos junto con este otro WRLOGONTF.DLL.VIR q lo ontuve tras pasar la ultima version del elistara.exe en el programa me salieron varias cosas, las que pudo borrar facilmente exepto dos, aqui va el detalle de todas las veces q pase, no se extrañen si una sale como"intrrumpida" porque yo la interrumpi bruscamente

aki va

Tue Apr 18 21:46:58 2006
EliStartPage v11.53 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\WRNOTIFIER] -> C:\WINDOWS\SYSTEM32\WRLOGONNTF.DLL
Por favor, envienos una muestra del fichero
C:\DOCUME~1\USUARI~1\CONFIG~1\TEMP\HGQHP.EXE.Muestra EliStartPage v11.53
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\HGQHP.EXE --> Eliminado
C:\WINDOWS\SYSTEM32\WRLOGONNTF.DLL --> SpySweeper (notify) Renombrado a .VIR
C:\Documents and Settings\Usuario del equipo\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.116.24,85.255.112.84
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Apr 18 21:48:47 2006
EliStartPage v11.53 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\COUNTRY.EXE --> Eliminado, ProcKill.DJ
C:\\SK02.EXE --> AutoExtraible
C:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT
C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\4KI1BFJZ\DOMESSIN[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\4KI1BFJZ\FARGES_%28AIN%29[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\4KI1BFJZ\LANVELLEC[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8QWS0R4M\NIEURLET[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8QWS0R4M\POUPRY[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8QWS0R4M\VALSONNE[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\CPZ3P5LA\0[1].EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\CPZ3P5LA\BARASTRE[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\CPZ3P5LA\MONTOISON[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\CPZ3P5LA\ORMANCEY[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\HRG5RGNL\1[1].EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\HRG5RGNL\BOYELLES[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\HRG5RGNL\CLAVIERS[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\shela\Configuración local\Archivos temporales de Internet\Content.IE5\61O38N6D\CAZH5JM2.HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\shela\Configuración local\Archivos temporales de Internet\Content.IE5\DKE5372J\CAKJZRUG.HTM --> Eliminado, StartPage-DU (Pag.Ini)
C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\B2LSETUP.EXE --> AutoExtraible
C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\DOCUMENTSRESCUEPRO_SETUP.EXE --> AutoExtraible
C:\WINDOWS\KEYBOARD5.EXE --> Eliminado, DCToolBar
C:\WINDOWS\system32\ENR2L19O1.DLL --> Eliminado, Look2Me
C:\WINDOWS\Temp\MS-12.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\WINDOWS\Temp\MS-13.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\WINDOWS\Temp\MS-14.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\WINDOWS\Temp\MS-15.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\WINDOWS\Temp\MS-5.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\WINDOWS\Temp\MS-6.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\WINDOWS\Temp\MS-9.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\WINDOWS\Temp\MS-B.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\WINDOWS\Temp\MS-C.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\WINDOWS\VXN1YXJpbyBmaW5hbCBkZWwgZXF1aXBv\ASAPPSRV.DLL --> Eliminado, CommAd

Tue Apr 18 22:01:21 2006
EliStartPage v11.53 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\\SK02.EXE --> AutoExtraible

Tue Apr 18 22:03:58 2006
EliStartPage v11.53 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.116.24,85.255.112.84
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Apr 18 22:04:13 2006
EliStartPage v11.53 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\\SK02.EXE --> AutoExtraible
C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible
C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\B2LSETUP.EXE --> AutoExtraible
C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\DOCUMENTSRESCUEPRO_SETUP.EXE --> AutoExtraible
C:\WINDOWS\system32\WRLOGONNTF.DLL.VIR --> Eliminado, SpySweeper (notify)

ahi sale todo...

emmm... bueno a todos esto y por lo que los contacte.... aun tengo blockeada el administrador de tareas.

voy a mandar el nuevo HJ para q lo vean

aqui va

Logfile of HijackThis v1.99.1
Scan saved at 22:29:39, on 18-04-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\DrWeb\SpiderNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CAP4RSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4SWK.EXE
C:\ARCHIV~1\DrWeb\spidernt.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SpIDerNT] C:\ARCHIV~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Emurayden PSX Emulator] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128571672312
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{78F639B2-190E-402F-AA2C-C4D82CDD5BDF}: NameServer = 85.255.116.24,85.255.112.84
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web Ltd - C:\Archivos de programa\DrWeb\SpiderNT.exe

ya ..eso seria.... espero respuestas gracias

Mensaje por **msc hotline sat** » 19 Abr 2006, 07:27

Pues menuda limpieza hizo el ELISTARA !!!

Y estos ficheros que no conoces, CAP4RSK.EXE y CAPKSWK.EXE envianolos igual que hiciste con el otro. Ademas nos has de enviar el que te pide que lo hagas el ELISTARA, visible en el Infosat.txt:

[quote="ELISTARA"]Por favor, envienos una muestra del fichero

C:\DOCUME~1\USUARI~1\CONFIG~1\TEMP\HGQHP.EXE.Muestra EliStartPage v11.53

a "virus@satinfo.es". Gracias.

[quote]

Es posible que este HGQHP.EXE modifique claves de registro especificas y que no se conozca dicha modificacion, por lo que persista lo del Administrador de tareas- Cuando nos lo hayas enviado y lo analicemos, restauraremos las claves que modifique.

Sobre el que ta acaba en VIR, ya no es operativo, no te debe gastar recursos

Pero veo que sigues teniendo servidores de DNS ede Ukraina !!! aun y cuando te indiqué que el DRIVERLOAD utilizaba webs de dicho pais... tu mismo !!!

REVISA MIS POSTS !!! y utiliza el CONFGDNS o estrarás en sus manos.

saludos

ms, 19-4-2006

NOTA: y elimina el Messenger Plus:

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Emurayden PSX Emulator] "C:\Archivos de programa\MessengerPlus!

ms.

Mensaje por **msc hotline sat** » 19 Abr 2006, 11:46

News!

Hemos visto que el fichero que le pedimos muestra, hgqhp.exe, tiene el nombre de un malware que ya controlamos en su dia con el ELISTARA 10.34:

---v10.34-(26 de Septiembre del 2005) (Muestras de Flush o DNSChanger, DownLoader.ACT y Modificacion el la Configuración de los DNS (solo avisa))

Por lo que es muy probable que sea el meollo de la cuestion: Una variante nueva del FLUSH o DNSCHANGER que le estaba cambiando los servidores de DNS por estos ukranianos y que el resto ya lo ha visto, cantidad de spywares en su ordenador !

La cuestion es que con la muestra podremos determinar la cadena de deteccion y las claves que modifica, si bien el actual ELISTARA ya ha puesto al fichero fuera de circulacion y no se cargará en el próximo inicio, pero claro, no se han restaurado las claves que este pueda haber modificado, lo cual haremos en la version siguiente al ensayo de la muestra indicada

Ya sabemos (o creemos saber) que es una variante del FLUSH y que una vez configurados

los servidores de DNS por los sospechosos habituales, cada vez que se accedía a Internet se pasaba por ellos y consecuentemente se estaba en sus manos, como ya se ha visto !

saludos

ms, 19-4-2006

petazo · Mensaje por **petazo** » 19 Abr 2006, 20:40

te mandare todoslos archivos q me pides de la misma forma que los anterires...ojala sean estos.

con respecto al DNS... habia bajado ese programa que me dijite el CONFIGDS, lo malo es que no sabia q DNS nuevo poner. asi q por eso tambien me puso en contacto con mi IPS. pero como que no fueron de mucha ayuda xD

petazo · Mensaje por **petazo** » 19 Abr 2006, 21:18

buenas....

explico...

mientras buscaba bien donde se encontraban los archivos me encontre con una sorpresa... miren

[img]http://img293.imageshack.us/img293/1271/cap4rskexe2vz.jpg[/img]

se repite....

y miren el otro

[img]http://img150.imageshack.us/img150/6941/cap4swkexe2xv.jpg[/img]

saque los dos en un mismo zip pero el q esta en winds sistem32

de todas formas esos parecen ser parte del programa dela impresora xD

no tenia idea q estaban ahi, de todas formas se los mando, porque son sospechosos :P

y el otro q me pidio el elistara se los mandop tb todo va en el mismo mail con el motivo de elistara para que sepas. todos los pass son 123.

eso seria por ahora... gracias y como siempre espero respuesta :)

Mensaje por **msc hotline sat** » 20 Abr 2006, 05:11

Pues cuando los recibamos, los analizaremos si los ha enviado conforne indicabamos:

[quote="msc"]Envianoslo a zonavirus@satinfo.es con la referencia REF NOSVCHOST y tras analizarlo , implementaremos su eliminacion y control en nuestras utilidades.[/quote]

(Como ya hiciera con la muestra enviada anteriormente)

Sobre el password espero que lo indique en el mail, pues sino los tecnicos que lo reciben no podran abrirlo, ya que el standar utilizado siempre en este sector es el de VIRUS , no el de 123 que indica ... Son normas que sirven para que los cientos de mails que contestamos a diario, puedan ser proceados con fluidez...

saludos

ms, 20-4-2006

petazo · Mensaje por **petazo** » 23 Abr 2006, 01:37

alguna novedad???

Mensaje por **msc hotline sat** » 23 Abr 2006, 09:31

Creo que se controló conel ELISTARA 11.53:

---v11.53-(18 de Abril del 2006) (Muestras de Puper(dr) 'NVCTRL.EXE', Puper(bho) 'HP****.TMP', (2)Puper(dldr) 'DFRGSRV.EXE y MSSEARCHNET.EXE', SecurityToolbar y DriverLoad 'SVCHOST.EXE')

segun ya informamos en

https://foros.zonavirus.com/viewtopic.php?t=11406

descarga y prueba dicha utilidad:

https://foros.zonavirus.com/viewtopic.php?t=11406

y nos informas del resultado, gracias

saludos

ms, 23-4-2006

Mensaje por **msc hotline sat** » 25 Abr 2006, 10:24

Los ficheros enviados C:\WINDOWS\system32\CAP4RSK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4SWK.EXE

corresponden a drivers de Canon, sin problemas.

Por lo que queda todo controlado, pudiendo comprobarlo lanzando un ultimo ELISTARA y viendo que ya no detecta nada sospechoso pero vigila lo de los srvidores DNS, a ver si aun dice algo al respecto

Hagalo tras descargarse la ultima version del ELISTARA, 11.57 y nos comenta el resultado junto con su croterio de si persiste alguna a anomalía o ya podemos dar el Tema por solucionado

saludos

ms, 25-4-2006

petazo · Mensaje por **petazo** » 25 Abr 2006, 21:55

Mon Apr 24 11:23:38 2006

EliStartPage v11.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\P2P NETWORKING\P2P NETWORKING.EXE --> P2PNet (dropper) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\P2P NETWORKING\MARSHAL.DLL --> Eliminado P2PNet

C:\WINDOWS\DOWNLOADED PROGRAM FILES\WEBP2PINSTALLER.DLL --> Eliminado P2PNet

C:\WINDOWS\SYSTEM32\P2P NETWORKING V126.CPL --> Eliminado P2PNet(cpl)

C:\PROGRAM FILES\ALTNET\DOWNLOAD MANAGER\ASMPS.DLL --> Eliminado AltNet

Entrada Eliminada [HKLM\...\Run] "P2P Networking"="C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART"

Eliminada Class, "{1D6711C8-7154-40BB-8380-3DEA45B69CBF}" -> C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll

Eliminada Class, "{3646C2BD-3554-49CA-8125-44DEEFB881DE}" -> NULL1

Eliminada Class, "{9BBCF06C-DCD7-495D-80DF-CDD5399D0FF8}" -> NULL1

Eliminada Class, "{C91E8926-D4BE-4685-99F4-0D996B96BAC0}" -> C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL

Eliminada Class, "{CC7A6223-3759-4075-8CEA-971F5CFC0ED2}" -> NULL1

Eliminada Class, "{E813099D-5529-47F4-9B37-4AFAFCB00A43}" -> C:\Program Files\Altnet\Download Manager\ASMps.dll

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.24,85.255.112.84

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Apr 24 11:24:02 2006

EliStartPage v11.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\SK02.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\B2LSETUP.EXE --> AutoExtraible

C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\DOCUMENTSRESCUEPRO_SETUP.EXE --> AutoExtraible

Mon Apr 24 11:41:57 2006

EliStartPage v11.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.24,85.255.112.84

Eliminada Carpeta "%WinSys%\P2P Networking"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Apr 24 11:42:44 2006

EliStartPage v11.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\SK02.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\B2LSETUP.EXE --> AutoExtraible

C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\DOCUMENTSRESCUEPRO_SETUP.EXE --> AutoExtraible

Mon Apr 24 20:21:01 2006

EliStartPage v11.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.24,85.255.112.84

Mon Apr 24 20:32:13 2006

EliStartPage v11.57 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.24,85.255.112.84

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Apr 24 20:32:19 2006

EliStartPage v11.57 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\SK02.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Usuario del equipo\Configuración local\Temp\HGQHP.EXE.MUESTRA ELISTARTPAGE V11.53 --> Eliminado, Flush o DNSChanger

C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\B2LSETUP.EXE --> AutoExtraible

C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\DOCUMENTSRESCUEPRO_SETUP.EXE --> AutoExtraible

ahi estan las ultimas veces q pase el programa....

sale alguna cosa extraña ahi?

petazo · Mensaje por **petazo** » 25 Abr 2006, 22:04

Logfile of HijackThis v1.99.1

Scan saved at 16:03:59, on 25-04-2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\CAP4RSK.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4SWK.EXE

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\DrWeb\spidernt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\winmine.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [SpIDerNT] C:\ARCHIV~1\DrWeb\spidernt.exe /agent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128571672312

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

~~[b]~~O17 - HKLM\System\CCS\Services\Tcpip\..\{78F639B2-190E-402F-AA2C-C4D82CDD5BDF}: NameServer = 85.255.116.24,85.255.112.84[/b]

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web Ltd - C:\Archivos de programa\DrWeb\SpiderNT.exe

ahi esta tb el HJ por si encuentran algo raro.

gracias.

petazo · Mensaje por **petazo** » 25 Abr 2006, 22:38

otra cosa..... miren la foto y explico.

[img]http://tinypic.com/whdsth.jpg[/img]

lo q suscede es que he llamado nuevamente a mi IPS y le he comunicado el problema de mi dns. y lo arreglo, como se puede ver en la foto en la parte de abajo, los cuales son los verdaderos sdns q estan en mi pc, pero como se puede ver en la parte superior de la foto los dns q encuentra el elistara son esos q salen ahi.

la pregunta es... si tengo los verdaderos dns puetos por mi ips porque el elistara marca esos erroneos.

no sera q hayuna falla en el programa? o algo asi?

de todas formas aun tengo el administrador de tareas en la pestaña procesos blockeada xDDD

eso seria...

gracias.

Mensaje por **msc hotline sat** » 26 Abr 2006, 05:14

No solo el ELISTARA, sino que en el bloque 017 del log de HJT le aparece que tiene configurados los servidores de DNS ukranianos:

85.255.116.24 UA Ukraine 07 Kharkivs\'ka Oblast\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company 85.255.112.84 UA Ukraine 07 Kharkivs\'ka Oblast\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting

Ya le hemos indicado como cambiarlo, proceda segun ello.

Aparte, elimine esa clave con el HJT:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

Y tras ello diganos si persiste algun problema en concreto o ya damos por solucionado el Tema

saludos

petazo · Mensaje por **petazo** » 26 Abr 2006, 18:14

Tue Apr 25 16:06:17 2006

EliStartPage v11.57 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.24,85.255.112.84

Tue Apr 25 16:11:50 2006

EliStartPage v11.57 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.24,85.255.112.84

Tue Apr 25 16:15:18 2006

EliStartPage v11.57 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.24,85.255.112.84

Tue Apr 25 16:15:24 2006

EliStartPage v11.57 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.24,85.255.112.84

Tue Apr 25 16:22:56 2006

EliStartPage v11.57 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.24,85.255.112.84

Wed Apr 26 02:28:06 2006

EliStartPage v11.57 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Apr 26 02:28:11 2006

EliStartPage v11.57 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\SK02.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\B2LSETUP.EXE --> AutoExtraible

C:\Documents and Settings\Usuario del equipo\Mis documentos\programas\DOCUMENTSRESCUEPRO_SETUP.EXE --> AutoExtraible

despues de hacer lo q me dijieron eso fue lo ultimo q salio en el elistara.

Mensaje por **msc hotline sat** » 26 Abr 2006, 18:26

Elimina estas claves:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Emurayden PSX Emulator] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

Y sigues teniendo mal los servidores de DNS

@: DNS Server from Ukraina ... 85.255.116.24 UA Ukraine 07 Kharkivs\'ka Oblast\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company 85.255.112.84 UA Ukraine 07 Kharkivs\'ka Oblast\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting

y esta aplicacikn no la conozco...:

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web Ltd - C:\Archivos de programa\DrWeb\SpiderNT.

saludos

ms, 26-4-2006

Mensaje por **maura63** » 26 Abr 2006, 18:27

Elimina esta entraa

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

Y elimina tambien el mesenger plus 3, aunque no aceptes el patrocinador, te lo colara a la primera de cambio y tu tan tranquilo.

Saludos

maura63