Virus que cambia las paginas de internet

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
eunice_navarro
Mensajes: 57
Registrado: 24 Sep 2005, 22:53
Contactar:
Contactar eunice_navarro

Virus que cambia las paginas de internet

Mensaje por eunice_navarro » 04 Mar 2007, 00:25

Al correr elistara me indica la presencia de un virus que cambia el dns de las paginas de internet. Elistara no lo ha podido quitar y sde presenta que cuando hago busquedas al darle click al link de la pagina se abre una completamente diferente.

El hijack me muestra el sig escaneo.



unning processes:

C:\WINDOWS.1\System32\smss.exe

C:\WINDOWS.1\system32\csrss.exe

C:\WINDOWS.1\SYSTEM32\winlogon.exe

C:\WINDOWS.1\system32\services.exe

C:\WINDOWS.1\system32\lsass.exe

C:\WINDOWS.1\system32\svchost.exe

C:\WINDOWS.1\system32\svchost.exe

C:\WINDOWS.1\System32\svchost.exe

C:\WINDOWS.1\system32\svchost.exe

C:\WINDOWS.1\system32\svchost.exe

C:\WINDOWS.1\Explorer.EXE

C:\WINDOWS.1\system32\spoolsv.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS.1\VM303_STI.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS.1\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS.1\system32\Ati2evxx.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS.1\system32\svchost.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS.1\System32\alg.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Misael Rodriguez\Configuración local\Temp\wzf164\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elnorte.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS.1\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\RunOnce: [ReEXEc] F:\programas\ELISTARA.07032007.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\ctfmon.exe

O4 - HKCU\..\Run: [areslite] "C:\Archivos de programa\Ares Lite Edition\AresLite.exe" -h

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Archivos de programa\MP3 Player Utilities 4.00\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.00\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{165EA542-6A87-4255-9E6D-EF627D8F5AD6}: NameServer = 85.255.114.90,85.255.112.92

O17 - HKLM\System\CCS\Services\Tcpip\..\{191C4D58-E094-44C4-97F1-B465B9CD9827}: NameServer = 85.255.114.90,85.255.112.92

O17 - HKLM\System\CCS\Services\Tcpip\..\{59B3257B-B1C9-4475-8595-63CDA17AEA37}: NameServer = 85.255.114.90,85.255.112.92

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.90 85.255.112.92

O17 - HKLM\System\CS1\Services\Tcpip\..\{165EA542-6A87-4255-9E6D-EF627D8F5AD6}: NameServer = 85.255.114.90,85.255.112.92

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.90 85.255.112.92

O17 - HKLM\System\CS2\Services\Tcpip\..\{165EA542-6A87-4255-9E6D-EF627D8F5AD6}: NameServer = 85.255.114.90,85.255.112.92

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.90 85.255.112.92

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS.1\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.1\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe



si alguien me puede indicar donde debo fixeaqrt, se los agradecere.
Words cant bring me down
Arriba
Nuker
Mensajes: 1556
Registrado: 09 Oct 2006, 22:54
Ubicación: Guadalajara, Jalisco

Mensaje por Nuker » 04 Mar 2007, 00:57

Efectivamente tiene DNS Maliciosos, pero ELISTARA no los repara solo los detecta para los DNS tenemos esta utilidad llamada CONFGDNS.EXE:



Utilidad para cambiar los servidores DNS cuando el ELISTARA detecta que han sido cambiados los originales por otros no deseados.





[b]Antes de ejecutar esta utilidad debe haberse contactado con el ISP (Proveedor de Servicios de Internet)[/b] para saber los que ellos sugieren utilizar, o conocer otros que se deseen implantar en su lugar.



http://www.zonavirus.com/descargas/confgdns.asp



Y eso seria todo de ahi en adelante estas limpio...



Ya nos comentaras el resultado obtenido con CONFGDNS.EXE
[DJ eXploit]
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 04 Mar 2007, 08:38

Y puede eliminar esta clave, si es que no se le ha ido al reiniciar:



O4 - HKLM\..\RunOnce: [ReEXEc] F:\programas\ELISTARA.07032007.EXE





Sobre los servidores de DNS maliciosos, tras instalar con el CONFGDFNS los que le indique su ISP, quedaran otras claves con la indicacion del los de Ukraina, vea que el primer O17 será el nuevo que ha puesto, elimine las claves O17 restantes



saludos



ms, 4-03-2007
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”