hola mi el explorador del cortafuegos agnitum uotpost me detecta un troyano que se llama
`` GENERIC TROJAN´´
lo elimina pero cuando vuelvo a analizar el sistema vuelve a aparecer...
que me recomiendan??
alguna utilidad de satinfo???
tengo un caballo de troya
-
pancolomas
- Mensajes: 58
- Registrado: 05 Mar 2007, 23:17
- Ubicación: mar del plata
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pruebe el ELISTARA, y si no lo concocemos, si se lo detecta su cortafuegos y le indica el fichero que lo tiene, envienoslo como muestra para analizar y lo implementaremos en proxima version de dicha utilidad.
recuerde:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 4-06-2007
recuerde:
->
saludos
ms, 4-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
pancolomas
- Mensajes: 58
- Registrado: 05 Mar 2007, 23:17
- Ubicación: mar del plata
-
pancolomas
- Mensajes: 58
- Registrado: 05 Mar 2007, 23:17
- Ubicación: mar del plata
-
pancolomas
- Mensajes: 58
- Registrado: 05 Mar 2007, 23:17
- Ubicación: mar del plata
hola de nuevo me he tomado el tiempo de hacerle un chaqueo online con la recomendacion del cortafuegos que tengo instalado y me detecta esto:
21 closed FTP File Transfer Protocol is used to transfer files between computers
23 closed TELNET Telnet is used to remotely create a shell (dos prompt)
80 closed HTTP HTTP web services publish web pages
137 closed NETBIOS Name Service NetBios is used to share files through your Network Neighborhood
138 closed NETBIOS Datagram Service NetBios is used to share files through your Network Neighborhood
139 closed NETBIOS Session Service NetBios is used to share files through your Network Neighborhood
1080 closed SOCKS PROXY Socks Proxy is an internet proxy service
1243 closed SubSeven SubSeven is one of the most widespread trojans
3128 closed Masters Paradise and RingZero Trojan horses
12345 closed NetBus NetBus is one of the most widespread trojans
12348 closed BioNet BioNet is one of the most widespread trojan
27374 closed SubSeven SubSeven is one of the most widespread trojans
31337 closed Back Orifice Back Orifice is one of the most widespread trojans
135 open RPC Remote Procedure Call (RPC) is used in client/server applications based on MS Windows operating systems
ENTIENDEN ALGO???
21 closed FTP File Transfer Protocol is used to transfer files between computers
23 closed TELNET Telnet is used to remotely create a shell (dos prompt)
80 closed HTTP HTTP web services publish web pages
137 closed NETBIOS Name Service NetBios is used to share files through your Network Neighborhood
138 closed NETBIOS Datagram Service NetBios is used to share files through your Network Neighborhood
139 closed NETBIOS Session Service NetBios is used to share files through your Network Neighborhood
1080 closed SOCKS PROXY Socks Proxy is an internet proxy service
1243 closed SubSeven SubSeven is one of the most widespread trojans
3128 closed Masters Paradise and RingZero Trojan horses
12345 closed NetBus NetBus is one of the most widespread trojans
12348 closed BioNet BioNet is one of the most widespread trojan
27374 closed SubSeven SubSeven is one of the most widespread trojans
31337 closed Back Orifice Back Orifice is one of the most widespread trojans
135 open RPC Remote Procedure Call (RPC) is used in client/server applications based on MS Windows operating systems
ENTIENDEN ALGO???
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Si claro, son los ports a traves de los que se ha intentado intrusionar.
Pues como que paso el ELISTARA, posteenos el contenido de C:\infosat.txt con un copiar y pegar
Ademas de igual manera posteenos el log del HJT:
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, informaremos
saludos
ms, 6-06-2007
Pues como que paso el ELISTARA, posteenos el contenido de C:\infosat.txt con un copiar y pegar
Ademas de igual manera posteenos el log del HJT:
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, informaremos
saludos
ms, 6-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
pancolomas
- Mensajes: 58
- Registrado: 05 Mar 2007, 23:17
- Ubicación: mar del plata
aca esta la info:
Logfile of HijackThis v1.99.1
Scan saved at 09:31:39 p.m., on 06/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Franco\Escritorio\Utilidades\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O17 - HKLM\System\CCS\Services\Tcpip\..\{886AACB6-4BDA-4E94-976F-7853F0B01089}: NameServer = 85.255.115.234 85.255.112.154
O23 - Service: FireDaemon Service: gta-vc (3333333333333) - Unknown owner - C:\Archivos de programa\FireDaemon\FireDaemon.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
ELISTARA:
Mon Jun 04 23:13:41 2007
EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.115.234 85.255.112.154
Mon Jun 04 23:49:22 2007
EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Jun 04 23:49:26 2007
EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Logfile of HijackThis v1.99.1
Scan saved at 09:31:39 p.m., on 06/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Franco\Escritorio\Utilidades\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O17 - HKLM\System\CCS\Services\Tcpip\..\{886AACB6-4BDA-4E94-976F-7853F0B01089}: NameServer = 85.255.115.234 85.255.112.154
O23 - Service: FireDaemon Service: gta-vc (3333333333333) - Unknown owner - C:\Archivos de programa\FireDaemon\FireDaemon.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
ELISTARA:
Mon Jun 04 23:13:41 2007
EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.115.234 85.255.112.154
Mon Jun 04 23:49:22 2007
EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Jun 04 23:49:26 2007
EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues de entrada el ELISTARA le dice:
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.115.234 85.255.112.154
85.255.115.234 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.154 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
Tiene como servidores de DNS unos de UKRAINA y/o POLONIA considerados maliciosos:
DNS Server Ukraina malicious: 85.255.116.164 UA Ukraine 07 Kharkivs\\\'ka Oblast\\\' Kharkiv 50.0000 36.2500 Inhoster DNS hosting company Inhoster hosting company
DNS Server Ukraina malicious 85.255.112.112 UA Ukraine 07 Kharkivs\\\'ka Oblast\\\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE
CONFGDNS.EXE
http://www.zonavirus.com/descargas/confgdns.asp
Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas
y sigo con el analisis del log de HJT
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.115.234 85.255.112.154
85.255.115.234 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.154 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
Tiene como servidores de DNS unos de UKRAINA y/o POLONIA considerados maliciosos:
DNS Server Ukraina malicious: 85.255.116.164 UA Ukraine 07 Kharkivs\\\'ka Oblast\\\' Kharkiv 50.0000 36.2500 Inhoster DNS hosting company Inhoster hosting company
DNS Server Ukraina malicious 85.255.112.112 UA Ukraine 07 Kharkivs\\\'ka Oblast\\\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE
CONFGDNS.EXE
Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas
y sigo con el analisis del log de HJT
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Aparte de los DNS servers maliciosos que tambien aparecen reflejados en el item O17 del log del HJT, el resto es ok
Si persiste la deteccion del Outpost sin especificar fichero, lance estos antivirus ONLINE y comentenos el resultado, gracias:
[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color] [/b] [/url]
y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:
testeo ONLINE de virus en memoria
[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color] [/b] [/url]
saludos
ms, 7-06-2007
Si persiste la deteccion del Outpost sin especificar fichero, lance estos antivirus ONLINE y comentenos el resultado, gracias:
y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:
testeo ONLINE de virus en memoria
saludos
ms, 7-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
pancolomas
- Mensajes: 58
- Registrado: 05 Mar 2007, 23:17
- Ubicación: mar del plata
hola el nano scan me lo detecto y lo desinfecto... acá esta la info del virus:
ESTABA UBICADO EN:
C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE
Malware
Peligrosidad: Peligrosidad muy alta
Daño: Dañino
Propagación: Epidemia
De un vistazo Detalles técnicos Solución2 Estadísticas
Nombre común: Malware
Nombre técnico: Malware Generic
Peligrosidad: Muy Alta
Tipo: Troyano
Efectos:
Permite llevar a cabo intrusiones contra el ordenador afectado. No se propaga automáticamente por sus propios medios.
Plataformas que infecta:
Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 01/12/2006
Detección actualizada: 01/12/2006
¿Está en circulación? Si
Protección proactiva:
Sí, mediante las Tecnologías TruPrevent ...
con respecto al cambiaror de DNS de satinfo me detecta 3 interfases en las que solo me indica la primera y no se que numeros hay que poner ¡como se maneja el software??
cambiar/??
ESTABA UBICADO EN:
C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE
Malware
Peligrosidad: Peligrosidad muy alta
Daño: Dañino
Propagación: Epidemia
De un vistazo Detalles técnicos Solución2 Estadísticas
Nombre común: Malware
Nombre técnico: Malware Generic
Peligrosidad: Muy Alta
Tipo: Troyano
Efectos:
Permite llevar a cabo intrusiones contra el ordenador afectado. No se propaga automáticamente por sus propios medios.
Plataformas que infecta:
Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 01/12/2006
Detección actualizada: 01/12/2006
¿Está en circulación? Si
Protección proactiva:
Sí, mediante las Tecnologías TruPrevent ...
con respecto al cambiaror de DNS de satinfo me detecta 3 interfases en las que solo me indica la primera y no se que numeros hay que poner ¡como se maneja el software??
cambiar/??
-
pancolomas
- Mensajes: 58
- Registrado: 05 Mar 2007, 23:17
- Ubicación: mar del plata
-
pancolomas
- Mensajes: 58
- Registrado: 05 Mar 2007, 23:17
- Ubicación: mar del plata
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sobre lo de su ISP, cuando le haya preguntado las IP de los servidores de DNS que aconsenja usar, lance el CONFGDNS e implementelos
Ya ve en mi firma que su ISP es Telefonica de Argentina , aunque ya debia saberlo, claro !
Y sobre lo del ARES, hay que ver si a esta aplicacion la consideran virus, si simplemente es una falsa alarma o si es que estaba infectada... Vuelvala a instalar y saldremos de dudas
saludos
ms, 12-06-2007
Ya ve en mi firma que su ISP es Telefonica de Argentina , aunque ya debia saberlo, claro !
Y sobre lo del ARES, hay que ver si a esta aplicacion la consideran virus, si simplemente es una falsa alarma o si es que estaba infectada... Vuelvala a instalar y saldremos de dudas
saludos
ms, 12-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
pancolomas
- Mensajes: 58
- Registrado: 05 Mar 2007, 23:17
- Ubicación: mar del plata
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ya le he dicho que a su ISP, que creo que es Telefonica de Argetina, verdad ? Vd sabrá...
saludos
ms, 13-06-2007
Nota: a ver, como que en mi anterior post ya le decía "Ya ve en mi firma que su ISP es Telefonica de Argentina , aunque ya debia saberlo, claro ! " no me cuadra su pregunta, y pienso que quizas no sabe que ISP es el Internet Services Provider, o sea el Proveedor de Servicios de Internet, que es a quien contrató Vd la ADSL, y entiendo que debe saber quien es, a mi, por su IP me parece que es quien le digo, pero Vd sabrá mejor que yo !
ms.
saludos
ms, 13-06-2007
Nota: a ver, como que en mi anterior post ya le decía "Ya ve en mi firma que su ISP es Telefonica de Argentina , aunque ya debia saberlo, claro ! " no me cuadra su pregunta, y pienso que quizas no sabe que ISP es el Internet Services Provider, o sea el Proveedor de Servicios de Internet, que es a quien contrató Vd la ADSL, y entiendo que debe saber quien es, a mi, por su IP me parece que es quien le digo, pero Vd sabrá mejor que yo !
ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
pancolomas
- Mensajes: 58
- Registrado: 05 Mar 2007, 23:17
- Ubicación: mar del plata
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Entiendo que los servicios de Internet se los da fullzero, empiece con ellos que entiendo sque son los que le instalaron el acceso a la Red
saludos
ms, 13-06-2007
saludos
ms, 13-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online