TENGO VIRUS EN CYBER CAFE

[kain_abel]

hola a todos tengo un gran pero gran problema tengo un cyber y me acaba de pegar un virus y todas las pc's ya se infectaron.



Los sintomas parecen ser los mismos que el blaster que reinisia la pc en un minuto, ya he intentado eliminarlo de todas las formas posibles que he en contrado en internet y no funciona tambien ya le instale todos los parches y sigue igual.



El sistema operativo es windows 2000 si alguien me pudiera ayudar se lo agradeceria mucho

[lucl]

para el tema de reinicio haz esto



abre inicio y ejecutar y teclea:



SHUTDOWN –a



en cada pc claro, y trata de pasar estas herramientas que te indico en cada uno de ellos tambien



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



luego peganos el log que te dejaran en C infosat.txt, no obstante el administrador MSC es posible que te indique mas cosas, pues al ser un ciber y tener varios ordenadores te de otras indicaciones, no obstante haz lo que te indique que mal no te hara, todo lo contrario, saludos

[msc hotline sat]

Y si con ello no detectaras nada, posteanos log del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 3-07-2007

[kain_abel]

[color=darkred]Despues del escaneo con las dos herramientas que descarge(elistara y elitriip) no me arrojaron ningun resultado de infeccion el log que genero es el siguiente[/color]



Tue Jul 03 23:24:59 2007

EliStartPage v14.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Tue Jul 03 23:36:13 2007

EliTriIP v3.73 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Jul 03 23:37:15 2007

EliTriIP v3.73 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





[color=darkred]Los parches ya los descarge e instale y sigue el mismo problema



Del HijackThis el log que me genera es el siguiente[/color]



Logfile of HijackThis v1.99.1

Scan saved at 0:06:43, on 04/07/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\wuauclt.exe

C:\WINNT\System32\svchost.exe

c:\fgc\cs\fgccsrt.exe

c:\fgc\fgcrepl.exe

C:\Archivos de programa\CA\eTrust\InoculateIT\InoRpc.exe

C:\Archivos de programa\CA\eTrust\InoculateIT\InoRT.exe

C:\Archivos de programa\CA\eTrust\InoculateIT\InoTask.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINNT\system32\MSTask.exe

C:\WINNT\Explorer.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\Promon.exe

C:\ARCHIV~1\CA\eTrust\INOCUL~1\realmon.exe

C:\fgc\cs\cstray.exe

C:\WINNT\system32\internat.exe

D:\foro\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = infosat1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\wuauclt.exe

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,c:\fgc\SmChk.exe,

O2 - BHO: NBHO1 Class - {53F53E00-4C2B-43E5-8AF0-D3C863E8FC65} - C:\Archivos de programa\Danware Data\NetOp School\STUDENT\NBHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Promon.exe] Promon.exe

O4 - HKLM\..\Run: [Realtime Monitor] C:\ARCHIV~1\CA\eTrust\INOCUL~1\realmon.exe

O4 - HKLM\..\Run: [CSTray] c:\fgc\cs\cstray.exe

O4 - HKLM\..\Run: [Cliente] C:\Archivos de programa\Archivos comunes\Cliente.exe

O4 - HKLM\..\Run: [CleanSlate] c:\fgc\cs\fgccsrt.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cencom.utleon.edu.mx

O17 - HKLM\System\CCS\Services\Tcpip\..\{1EEDAC78-CE07-4C92-92FF-EF0D8C3BA88C}: NameServer = 200.23.242.193,200.23.242.201

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cencom.utleon.edu.mx

O17 - HKLM\System\CS1\Services\Tcpip\..\{1EEDAC78-CE07-4C92-92FF-EF0D8C3BA88C}: NameServer = 200.23.242.193,200.23.242.201

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = cencom.utleon.edu.mx

O17 - HKLM\System\CS2\Services\Tcpip\..\{1EEDAC78-CE07-4C92-92FF-EF0D8C3BA88C}: NameServer = 200.23.242.193,200.23.242.201

O23 - Service: automatic updates for Microsoft Windows - Unknown owner - C:\WINNT\wuauclt.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Fortres Clean Slate Runtime (fgccsrt) - Fortres Grand Corporation - c:\fgc\cs\fgccsrt.exe

O23 - Service: FGC Replication (fgcrepl) - Fortres Grand Corporation - c:\fgc\fgcrepl.exe

O23 - Service: eTrust InoculateIT RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust\InoculateIT\InoRpc.exe

O23 - Service: eTrust InoculateIT Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust\InoculateIT\InoRT.exe

O23 - Service: eTrust InoculateIT Job Server (InoTask) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust\InoculateIT\InoTask.exe

O23 - Service: NetOp Helper ver. 7.65 (2004097) (NetOp Host for NT Service) - Danware Data A/S - C:\Archivos de programa\Danware Data\NetOp School\STUDENT\NHOSTSVC.EXE



[color=darkred]Quedo a sus ordenes para cualquier cosa que nesesiten para ayudarme a resolver este problema gracias.[/color]

[Claudia34]

Y solamente para complementar mientras esperas para ver lo que dicen sobre el log que pegaste:



No te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.



Saludos.

[lucl]

Corramos un tupido velo, pero que tonta!!!!!! en fin, sorry xd, :oops: menos mal que msc esta en todo :oops:

saludos

[msc hotline sat]

Hey lucl, que usa Windows 2000 y para este no hay SP2 para el I.E., sino que, tras el SP4 instalado para el S.O., queda el I.E. con SP1, mas los parches puntuales añadidos, pero no hay SP2 para el I.E. con W 2000



Lo que veo raro es esto:



C:\WINNT\wuauclt.exe



este fichero normalmente solo está en la carpeta de sistema, no en la windows (winnt en w2000)



Envianos este fichero para analizar (no te confundas con el de C:\winnt\system32\wuauclt.exe que es del sistema)





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 4-07-2007

[msc hotline sat]

El fichero wuauclt.exe que nos ha enviado es el de sistema, lo que pasa es que Vd lo está lanzando desde la carpeta de windir en lugar de lo normal, de system32 ...



Ya le dejamos bien claro que tuviera precaucion en ver la ruta de dicho fichero, por lo que entendemos que es anormal en su equipo, pero si no se ha equivocado, lo olvidamos.



Otra cosa es el fichero EXE (que en realidad es un HTML generado por alguna utilidad) que le indica haber bloqueado el fichero GO.EXE de cierta web de descargas y realmente descarga un dialer que pasamos a controlar con el ELISTARA de hoy 14.35, junto con otros parecidos, que estará disponible en esta web a partir de las 16 H GMT, para pruebas de evaluacion.



Pruebalo y nos comentas el resultado, gracias



saludos



ms, 5-07-2007

[kain_abel]

Hola otra ves reportando los resultados:



Los antivirus online que probe no me detectaron nada.



EL ELISTARA me detecto un troyano de nombre "Alexa" y lo elimino y el ELITRIIP me detecto un gusano y me guardo una muestra la cual ya mande.



Les adjunto el log





Thu Jul 05 19:50:03 2007

EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 05 19:51:29 2007

EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Jul 05 20:09:19 2007

EliTriIP v3.74 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SETUP.EXE.Muestra EliTriIP v3.74

a "virus@satinfo.es". Gracias.

C:\SETUP.EXE --> Eliminado

ALERTA. WindowsUpdate Incompleto.



Thu Jul 05 20:09:33 2007

EliTriIP v3.74 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\







[color=red][size=150]Pero aun se siguen reiniciando las PC y marcandome los mismos errores, ¿que mas se puede hacer? espero con ancia su respuesta y sugerencias gracias[/size][/color]

[msc hotline sat]

Esto promete ser el propagador del virus por su red...:



Por favor, envienos una muestra del fichero

C:\Muestras\SETUP.EXE.Muestra EliTriIP v3.74



Una vez analizado, implementaremos su control y eliminacion en el ELITRIIP (si procede, claro)



saludos



ms, 7-07-2007

[msc hotline sat]

Pues no, resulta ser un setup para instalacion de una aplicacion, no un virus conocido como pensabamos.



Voy a revisar el log del HJT a ver que mas se ve, por si alli se viera

[Claudia34]

Realiza ademas un windows update que por lo que se ve del log de Elistara te hace mucha falta. Saludos.

[msc hotline sat]

Pues yo sigo en mis treces, y como que el wuauclt.exe que nos envio era el de sistema, mira si lo tienes en system32 o en otra parte, y copias el de sistema sobre dl de C:\winnt, que me huele a que quizas tienes dos diferentes ...



Y nos cuentas el resultado, gracias



saludos



ms, 9-07-2007