Ayuda x favor!! ( TUNE.EXE )

jantonio48 · Mensaje por **jantonio48** » 31 May 2007, 20:54

Hola llevos varios días con un servidor que tiene Windows 2000 server. Empece con el troyano DELSIM.EXE eliminandolo que me costo la propia vida y despues el TUNE.EXE aunque este segundo creo que es una variante del primero. Bueno la cuestión es que ya le he pasado todas las herramientas que ustedes soleis aconsejar para desinfectar y eliminar troyanos y el problema sigue y sigue.... El problema que tengo es que cuando conecto mi equipo a internet se me cae la conexión y dejo de ver hasta el router........ por lo demás todo va bien S.O etc... le he hecho un Logfile of HijackThis y ahí lo expongo para quien me pueda ayudar.

Logfile of HijackThis v1.99.1

Scan saved at 19:09:04, on 31/05/07

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\termsrv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\msdtc.exe

C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\llssrv.exe

C:\WINNT\System32\mnmsrvc.exe

D:\ARCHIV~1\MICROS~1\MSSQL\binn\sqlservr.exe

C:\WINNT\System32\NMSSvc.exe

C:\WINNT\system32\regsvc.exe

C:\Archivos de programa\RDS\RsiSvc.exe

C:\Archivos de programa\RDS\srscandr.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\wins.exe

C:\Archivos de programa\RDS\ddsschednt.exe

C:\WINNT\system32\Dfssvc.exe

C:\Archivos de programa\RDS\dds.exe

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\System\MSSearch\Bin\mssearch.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\RDS\spooler.exe

D:\ARCHIV~1\MICROS~1\MSSQL\binn\sqlagent.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\atiptaxx.exe

C:\Archivos de programa\Cobian Backup 6\CobBU.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINNT\System32\svchost.exe

D:\Archivos de programa\Millenium Soft\Millenium Othello\Taritel.exe

C:\Archivos de programa\Cobian Backup 6\cobui.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\WINNT\TEMP\Rar$EX00.718\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/es/esp/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Cobian Backup 6] "C:\Archivos de programa\Cobian Backup 6\CobBU.exe"

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\lssas.exe

O4 - HKLM\..\Run: [Winamp Media] C:\WINNT\system32\qmedia.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Winamp Media] C:\WINNT\system32\qmedia.exe

O4 - Startup: Tarificador.lnk = D:\Archivos de programa\Millenium Soft\Millenium Othello\Taritel.exe

O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Iniciar servicios de entrega.lnk = C:\Archivos de programa\RDS\DdsLaunch.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll

O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe

O23 - Service: Dds Scheduler Deamon (DdsSched) - RICOH Company Ltd. - C:\Archivos de programa\RDS\ddsschednt.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Servicio de Ejecucion NT (ExecPav) - Unknown owner - C:\WINNT\system32\ExecPav.exe (file missing)

O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe

O23 - Service: Panda Antivirus Update Server (PavAcC) - Panda Software - C:\WINNT\System32\Pav\Updates\PavAcC.exe

O23 - Service: Panda Antivirus Update Client (PAVACS) - Unknown owner - C:\WINNT\System32\PAV\UPDATES\PAVACS (file missing)

O23 - Service: Panda Antivirus Firewall (PavCvpFw) - Unknown owner - C:\WINNT\System32\pavcvpfw\PavCvpFw (file missing)

O23 - Service: Panda antivirus service (pavsrv) - Panda Software - C:\WINNT\System32\pavsrv50.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)

O23 - Service: Ridoc Server Information Service (RsiSvc) - RICOH Company Ltd. - C:\Archivos de programa\RDS\RsiSvc.exe

O23 - Service: ScanRouterDriverV2 - Ricoh Co.,Ltd. - C:\Archivos de programa\RDS\srscandr.exe

O23 - Service: SOption - RICOH Company Ltd. - C:\Archivos de programa\RDS\SOption.exe

O23 - Service: Panda task service (SRVTSK) - Unknown owner - C:\WINNT\SYSTEM32\SRVTSK.EXE

Nota: Actualmente no tiene antivirus aunque salga reflejado el Panda.

Un saludo,

fdo: un desesperado.

Claudia34 · Mensaje por **Claudia34** » 03 Jun 2007, 00:01

Pues mientras esperas para ver lo que dicen sobre el log que pegaste, descargate las siguientes herramientas de los siguientes enlaces respectivos, guardalos en una carpeta y lanzalos en modo a prueba de fallos obviamente con la restauracion del sistema desactivado para que de mejores resultados :

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pasate tambien el Elitriip, y nos pegas el log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Opcional:

Ademas de eso no te vendria mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

Tambien realiza un escaneo en modo a prueba de fallos con la restauracion del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un windows update completo por las dudas y cuentanos los resultados.

Saludos.

Mensaje por **msc hotline sat** » 03 Jun 2007, 12:09

Bueno, el Qmedia.exe espero que el ELITRIIP lo detecte y elimine

[quote]ELITRIIP

---v3.50---(25 de Abril del 2007) (Muestras de Cheli "QMEDIA.EXE" e IRCBot "CSRSS.EXE")
[/quote]

pero este otro:

C:\WINNT\system32\lssas.exe

no es ni el LSASS.EXE de la carpeta de sistema, ni el LSASS.EXE de la carpeta de %WINDIR%, sino que es otro especimen con dos "eses" en medio del nombre, en lugar del final...

Al parecer es un Poebot.J, segun descripción:

http://www.avira.com/en/threats/section/fulldetails/id_vir/2492/worm_poebot.j.html

Por ello pedimos que nos envie muestra para analizar y controlar en proximas versiones de nuestras utilidades:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Mientras puede renombrar este fichero LSSAS.EXE de la carpeta de sistema a extension .VIR para que en el proximo reinicio no se ponga en marcha y nos envia la muestra indicada.

Pero cuidado (perdone que insistamos pero es facil equivocarse) no se confunda con el LSASS.EXE de la misma carpeta, que es del sistema operativo !!!

saludos

ms, 3-06-3007