Se Abren webs sospechosas en IE y Firefox (SOLUCIONADO)

[Van HarDisk]

Hola Amigos, les pregunto acerca de un problema que tengo al navegar por internet.

Cada vez que se escribe mal una dirección web, se linkea a

>"www.(no lo escribo completo).....girls.com<

>....oqem(???)<

>.....csnomy(????)<

Probe el EliStarA y aquí les dejo el log.

****************************

Thu Feb 22 20:23:02 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.109,85.255.112.141

Eliminados Ficheros Temporales del IE



Thu Feb 22 20:29:01 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Add-Ones CS\Bots\Counter-Strike\PLBOT0985.EXE --> Eliminado, Guiños(msn)

D:\Add-Ones CS\Mods\ESFB123.EXE --> AutoExtraible

[b]D:\Archivos de programa\Spybot - Search & Destroy\BLINDMAN.EXE --> Infectado, PWS-Lineage[/b]

{un falso positivo????}





**************

Y el Hijack This:



Logfile of HijackThis v1.99.1

Scan saved at 08:30:06 p.m., on 22/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

d:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

d:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wdfmgr.exe

c:\archivos de programa\pinnacle\shared files\programs\mediaserver\pmshost.exe

C:\WINDOWS\System32\alg.exe

D:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

D:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Media Key\MagicKey.exe

C:\Archivos de programa\Media Key\OSD.EXE

C:\WINDOWS\system32\WISPTIS.EXE

d:\Descargas\Descargas ALE\Anti-Todo\Ejecución Directa\EliStarA.EXE

d:\Archivos de programa\Mozilla Firefox\firefox.exe

d:\Descargas\Descargas ALE\Anti-Todo\Ejecución Directa\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [AVG7_CC] d:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Zone Labs Client] "d:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PMCS] "C:\Archivos de programa\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug

O4 - HKLM\..\Run: [PMCRemote] C:\Archivos de programa\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

O4 - HKLM\..\Run: [AWMON] "D:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] D:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Media Key.lnk = C:\Archivos de programa\Media Key\MagicKey.exe

O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{950C3AB4-A490-4A2F-A9F9-C1D40CD321F6}: NameServer = 85.255.115.109,85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\..\{FE5FA14D-4DC2-4A03-AD76-9081870D5CDB}: NameServer = 85.255.115.109,85.255.112.141

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\archivos de programa\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows Management Service - Unknown owner - C:\WINDOWS\system32\dmuit.exe



*********



Les comento que además siempre detecto con el SpyBot Search & Destroy un "Win32.Dns.Changer" que no se puede eliminar, es decir, lo elimino y reaparece.

[Nuker]

Esta usando DNS maliciosos !



O17 - HKLM\System\CCS\Services\Tcpip\..\{950C3AB4-A490-4A2F-A9F9-C1D40CD321F6}: NameServer = 85.255.115.109,85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\..\{FE5FA14D-4DC2-4A03-AD76-9081870D5CDB}: NameServer = 85.255.115.109,85.255.112.141

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

-----------------------------





ELIMINA ESTA (FIX CHECKED EN MODO SEGURO):





O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)



--------------------------



Usa esta herramienta pero antes lee las instrucciones:



CONFGDNS.EXE:



Utilidad para cambiar los servidores DNS cuando el ELISTARA detecta que han sido cambiados los originales por otros no deseados.





Antes de ejecutar esta utilidad debe haberse contactado con el ISP (Proveedor de Servicios de Internet) para saber los que ellos sugieren utilizar, o conocer otros que se deseen implantar en su lugar



http://www.zonavirus.com/descargas/confgdns.asp



Una vez hecho esto comentenos los resultados.

[Van HarDisk]

Ok Gracias, he probado el "confgdns" y he contactado a mi ISP que me dijo su IP. Lo introduje y ya no salen más webs extrañas, aunque el EliStarA detecta todavía servidores DNS que no son de mi IP que problema es?



Otra pregunta.... el EliStarA detectó [color=red]en la carpeta del Spybot S&D[/color] un "PWS-Lineage" como "BLINDMAN.EXE"...es este un falso positivo del EliStarA?? Porque creo que blindman.exe es una utilidad usada por el spybot...



Gracias y espero su respuesta :wink:

[msc hotline sat]

O usa un ELISTARA o un SPYBOT no actualizado, pues lo del BLIDMAN ya es conocido ???



Y lo de los servidores de DNS, veamos el c:\infosat.txt y sabremos las IP de dichos servidores, para saber a qué atenernos.



ojo: descarga la version actual del ELISTARA, 13.40 (debes actualizarla cada vez que la vayas a probar, la que tienes es antigua !!!)



saludos



ms, 25-02-2007

[Van HarDisk]

Hola Queridos Amigos 8) estoy de vuelta. Les quería decir y plantear un par de cosas:

[b]1>[/b] El EliStarA 13.42 me pidió muestra del archivo [color=red]"C:\Windows\System32\dmuit.exe"[/color] que procedo a enviárselas ahora a zonavirus@satinfo.es, pero les quería avisar que ya las he enviando a [color=brown]sophos[/color] y dió resultado Malware.

2[b]>[/b] A pesar de haber hablado con el ISP mío y usar el [color=blue]"configdns.exe"[/color] para modificar mis dns, siguen siendo erróneos según el elistara. ¿Como hago para cambiarlos? Ya las webs que había dicho antes no se abren más pero el EliStarA siguen detectando...

[b]3>[/b] He leído ya que muchos usuarios tienen el archivo [color=indigo]"...\spybot search&destroy\blindman.exe"[/color] detectado por el elistara como [color=blue]"PWS-Lineage"[/color]...Qué es esto? un falso positivo? porque que yo sepa es un ejecutable del programa...



++++++++++



Les dejo el log de HJT para lo de los DNS:



Logfile of HijackThis v1.99.1

Scan saved at 02:02:09 p.m., on 28/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

d:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

d:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

c:\archivos de programa\pinnacle\shared files\programs\mediaserver\pmshost.exe

D:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe

C:\Archivos de programa\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

D:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Media Key\MagicKey.exe

C:\Archivos de programa\Media Key\OSD.EXE

d:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Pinnacle\Shared Files\Programs\PclePvr\VideoControl.exe

d:\Descargas\Descargas ALE\Anti-Todo\Ejecución Directa\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [AVG7_CC] d:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Zone Labs Client] "d:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PMCS] "C:\Archivos de programa\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug

O4 - HKLM\..\Run: [PMCRemote] C:\Archivos de programa\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

O4 - HKLM\..\Run: [AWMON] "D:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] D:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Media Key.lnk = C:\Archivos de programa\Media Key\MagicKey.exe

O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{950C3AB4-A490-4A2F-A9F9-C1D40CD321F6}: NameServer = 200.42.97.111,200.42.0.111

O17 - HKLM\System\CCS\Services\Tcpip\..\{FE5FA14D-4DC2-4A03-AD76-9081870D5CDB}: NameServer = 85.255.115.109,85.255.112.141

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\archivos de programa\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows Management Service - Unknown owner - C:\WINDOWS\system32\dmuit.exe (file missing)



Saludos, Van HarDisk

[Van HarDisk]

recibieron las muestras?

[msc hotline sat]

Como que ya tienes esta clave cambiada:



O17 - HKLM\System\CCS\Services\Tcpip\..\{950C3AB4-A490-4A2F-A9F9-C1D40CD321F6}: NameServer = 200.42.97.111,200.42.0.111



elimina las demas O17 que apuntan a Ukraina



O17 - HKLM\System\CCS\Services\Tcpip\..\{FE5FA14D-4DC2-4A03-AD76-9081870D5CDB}: NameServer = 85.255.115.109,85.255.112.141

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.109 85.255.112.141





y sobre las muestras, lo que indican las utilidades es para los asociados a SATINFO, con numero de licencia de uso, los que las probais en este foro en concepto de evaluacion, debeis enviarlas siguiendo las instrucciones que se indican en todos los apartados al respecto:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y del posible falso positivo con el SPYBOT, envia muestra del fichero en cuestion indicando que es falso positivo, gracias



saludos



ms, 1-03-2007

[Van HarDisk]

Hola msc, las muestras han sido enviadas por separado con el asunto "REF Van HarDisk", he enviado el archivo "dmuit.exe" (muestra elistara) y el "blindman.exe" zipeado SIN Password.

Avisarme al recibirlas.

Como ya he comentado, he enviado las muestras a Sophos y este es su resultado:



[url]http://www.sophos.com/virusinfo/analyses/malbehav010.html[/url]



Favor de implementarlas en el prox. elistara.

Saludos

Van HarDisk



PD: despues pasare el elistara en la pc de mi madre para "conseguir un par de muestras" xDD

[msc hotline sat]

El DMUIT.EXE ya se controla con el ELISTARA 13.44 que acabamos de subir a esta web para evaluacion, por haber sido enviado paralelamente por otros usuarios, y sobre el BLINDMAN del Spybot, procederemos mañana al cambio de cadenas de deteccion para que siga encontrando el malware pero no las contenga dicho Blindman



Descarga la actual version del ELISTARA y posteanos contenido del fichero resultante C:\infosat.txt , gracias



saludos



ms, 1-03-2007

[Van HarDisk]

Hola msc, he pasado el elistara 13.44 y aquí esta el log:





Thu Mar 01 22:55:09 2007

EliStartPage v13.44 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Mar 01 22:55:19 2007

EliStartPage v13.44 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DMUIT.EXE.MUESTRA ELISTARTPAGE V13.42 --> Eliminado, Flush (dldr)

C:\RECYCLER\S-1-5-21-329068152-436374069-682003330-1003\DC3.EXE --> Eliminado, PWS-Lineage



Thu Mar 01 23:01:16 2007

EliStartPage v13.44 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Add-Ones CS\Mods\ESFB123.EXE --> AutoExtraible

[b]D:\Archivos de programa\Spybot - Search & Destroy\BLINDMAN.EXE --> Infectado, PWS-Lineage[/b]



un par de comentarios sobre este log....

1> el elistara no se si lo elimino o no (no lo vi en el log pero tampoco en C:\windows\system32) el dmuit.exe, no dice nada en el log, pero me fije en la carpeta y desapareció....

2>sigue detectando el fichero blindman.exe del spybot...



saludos

Van HarDisk

[Nuker]

Sobre el DMUIT ya fue detectado y eliminado en ELISTARA ,ya te avisaran cuando suban la nueva version, en la cual quitara el BLINDMAN...



DMUIT ELIMINADO:



C:\Muestras\[b]DMUIT.EXE.MUESTRA ELISTARTPAGE V13.42 [/b]--> Eliminado, Flush (dldr)

[msc hotline sat]

Ayer recibimos muestra del BLINDMAN para poder estudiar cambio de cadena de deteccion y hoy lo harenos en la nueva version del ELISTARA 13.45 que estara disponible a partir de las 20 h GMT



Pruebala entomces y nos comentas el resultado, gracias



saludos



ms, 2-03-2007

[Van HarDisk]

Hola amigos...

ok ya está.....servidores DNS eliminados... :) ...archivo dmuit.exe eliminado....y el elistara ya no detecta el blindman.exe....

Gracias msc, nuker, etc por su ayuda....

pueden dar el tema por solucionado.

saludos

Van HarDisk



PD:seguire en el foro ;D y luego le hare un escaneo a la pc de mi madre, donde hay mamiferos de especies desconocidas...

xD

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 05-03-2007