Página de inicio de IE cambiada y avisos que aparecen...

bfg10k · Mensaje por **bfg10k** » 06 Oct 2007, 20:15

Hola.Les escribo para contarles que me ha cambiado la página de inicio de IE por esta (C:\WINDOWS\system32\spywarewarning.mht).Además a cada rato aparece en la barra de tareas el siguiente aviso :"windows security alert..."

Posteo los logs de elistarA,elitriip,hjt y sprocess y en breve les enviaré las muestras que me piden:

Sat Oct 06 14:19:42 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\RUNSQL.EXE.Muestra EliStartPage v14.78

a "virus@satinfo.es". Gracias.

C:\WINDOWS\RUNSQL.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.88,85.255.112.189

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Oct 06 14:19:54 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\TEXTware\QUICKfind\PlugIns\IEHELP.DLL --> Eliminado, IEHelp(BHO)

Sat Oct 06 14:37:29 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Sat Oct 06 14:38:41 2007

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Sat Oct 06 14:38:45 2007

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Oct 06 14:43:52 2007

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Sat Oct 06 14:44:15 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\DOCUMENTS AND SETTINGS\PC\MIS DOCUMENTOS\MARTÍN\05-COSAS VARIAS\1MARTÍN\PROGRAMAS\ANTIVIRUS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 192.168.200.3 ad.doubleclick.net

O1 - Hosts: 192.168.200.3 ad.fastclick.net

O1 - Hosts: 192.168.200.3 ads.fastclick.net

O1 - Hosts: 192.168.200.3 atdmt.com

O1 - Hosts: 192.168.200.3 awaps.net

O1 - Hosts: 192.168.200.3 banner.fastclick.net

O1 - Hosts: 192.168.200.3 banners.fastclick.net

O1 - Hosts: 192.168.200.3 click.atdmt.com

O1 - Hosts: 192.168.200.3 clicks.atdmt.com

O1 - Hosts: 192.168.200.3 engine.awaps.net

O1 - Hosts: 192.168.200.3 fastclick.net

O1 - Hosts: 192.168.200.3 ftp.avp.ch

O1 - Hosts: 192.168.200.3 ftp.kasperskylab.ru

O1 - Hosts: 192.168.200.3 updates5.kaspersky-labs.com

O1 - Hosts: 192.168.200.3 http://www.awaps.net

O1 - Hosts: 192.168.200.3 http://www.viruslist.ru

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: DSLMON.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113596004968

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C14F3FC1-1CDC-43BD-A3DA-77CF1D7D0900}: NameServer = 85.255.116.88,85.255.112.189

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {16664848-0E00-11D2-8059-000000000000} - - (no file)

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: General Purpose USB Driver (adildr.sys) (ADILOADER) - Analog Deivces - C:\WINDOWS\SYSTEM32\Drivers\adildr.sys

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: AVG Network Redirector (AvgTdi) - GRISOFT, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdi.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Iniciador de procesos de servidor DCOM DcomLaunchRpcLocator (DcomLaunchRpcLocator) - Unknown owner - C:\WINDOWS\system32\1041v.exe (file missing)

O23 - Service: Servicio del administrador de discos lógicos dmadminNetDDEdsdmRSVP (dmadminNetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\LDR18.tmp

O23 - Service: Cliente DNS DnscacheUMWdf (DnscacheUMWdf) - Unknown owner - C:\WINDOWS\SYSTEM32\*&€|û srv (file missing)

O23 - Service: Sistema de sucesos COM+ EventSystemTrkWks (EventSystemTrkWks) - Unknown owner - C:\WINDOWS\system32\acluih.exe (file missing)

O23 - Service: MS Internet Countermeasures Framework2b (FCI) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

O23 - Service: Acceso a dispositivo de interfaz humana HidServWmiApSrv (HidServWmiApSrv) - Unknown owner - C:\WINDOWS\system32\Adobep.exe (file missing)

O23 - Service: Servicio COM de grabación de CD de IMAPI ImapiServiceEventlog (ImapiServiceEventlog) - Unknown owner - C:\WINDOWS\system32\12520850p.exe3900411706z.exe (file missing)

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe (file missing)

O23 - Service: DSDM de DDE de red NetDDEdsdmBrowser (NetDDEdsdmBrowser) - Unknown owner - C:\WINDOWS\system32\acleditx.exe (file missing)

O23 - Service: DSDM de DDE de red NetDDEdsdmRSVP (NetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\3com_dmih.exe (file missing)

O23 - Service: Conexiones de red Netmanwuauserv (Netmanwuauserv) - Unknown owner - C:\WINDOWS\system32\ADADIX2Knh.exe (file missing)

O23 - Service: NLA (Network Location Awareness) Nlasrservice (Nlasrservice) - Unknown owner - C:\WINDOWS\SYSTEM32\*&€|û srv (file missing)

O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT NtLmSspUserAccess7MSDTC (NtLmSspUserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\acelpdecp.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto RDSessMgrNetDDEdsdm (RDSessMgrNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\adptifhb.exe (file missing)

O23 - Service: Localizador de llamadas a procedimiento remoto (RPC) RpcLocatordmserver (RpcLocatordmserver) - Unknown owner - C:\WINDOWS\system32\1028p.exe (file missing)

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Europe Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Notificación de sucesos del sistema SENSIDriverT (SENSIDriverT) - Unknown owner - C:\WINDOWS\system32\acctresn.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceCiSvc (srserviceCiSvc) - Unknown owner - C:\WINDOWS\system32\acledith.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceRpcSs (srserviceRpcSs) - Unknown owner - C:\WINDOWS\system32\1031f.exe (file missing)

O23 - Service: Registros y alertas de rendimiento SysmonLogRemoteAccess (SysmonLogRemoteAccess) - Unknown owner - C:\WINDOWS\system32\activedsl.exe (file missing)

O23 - Service: Servicios de Terminal Server TermServiceNetlogon (TermServiceNetlogon) - Unknown owner - C:\WINDOWS\SYSTEM32\*&€|û srv (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc (TrkWksAvg7UpdSvc) - Unknown owner - C:\WINDOWS\system32\ahuit.exe (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc TrkWksAvg7UpdSvcMDM (TrkWksAvg7UpdSvcMDM) - Unknown owner - C:\WINDOWS\system32\adsnth.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC (UserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\12520850px.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC UserAccess7MSDTCNla (UserAccess7MSDTCNla) - Unknown owner - C:\WINDOWS\system32\activedshf.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Cliente Web WebClientFCI (WebClientFCI) - Unknown owner - C:\WINDOWS\system32\Adobez.exe (file missing)

O23 - Service: Extensiones de controlador de Instrumental de administración de Windows WmiRasMan (WmiRasMan) - Unknown owner - C:\WINDOWS\system32\activedshb.exe (file missing)

O23 - Service: Centro de seguridad wscsvcERSvc (wscsvcERSvc) - Unknown owner - C:\WINDOWS\system32\acleditk.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: USB ADSL WAN Adapter (adiusbaw) - Analog Devices Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\adiusbaw.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iMSPCLOj - Unknown owner - C:\DOCUME~1\PC\CONFIG~1\Temp\iMSPCLOj.sys (file missing)

O23 - Service: Controlador de Firewall de Windows IPv6 (Ip6Fw) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\Ip6Fw.sys (file missing)

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio Enumerator (nvax) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvax.sys

O23 - Service: NVIDIA nForce MCP Networking Adapter Driver (NVENET) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENET.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio (nvnforce) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvapu.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: RapFile - Internet Security Systems, Inc. - C:\WINDOWS\system32\drivers\RapFile.sys

O23 - Service: RapNet - Internet Security Systems, Inc. - C:\WINDOWS\system32\drivers\RapNet.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: Servicio de transferencia inteligente en segundo plano BITSFCI (BITSFCI) - Unknown owner - C:\WINDOWS\system32\actmovief.exe (file missing)

O23 - Service: black - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\BlackDrv.sys (file missing)

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

O23 - Service: Windows Management Service - Unknown owner - C:\WINDOWS\system32\dmlky.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient (WZCSVCWebClient) - Unknown owner - C:\WINDOWS\system32\ADADIX2Kn.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient WZCSVCWebClientUPS (WZCSVCWebClientUPS) - Unknown owner - C:\WINDOWS\system32\actxprxyd.exe (file missing)

57 Servicios.

37 de Carga Automatica.

13 de Carga Manual.

7 Deshabilitados.

Logfile of HijackThis v1.99.1

Scan saved at 02:44:45 p.m., on 06/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\PC\Mis documentos\MARTÍN\05-Cosas varias\1MARTÍN\Programas\ANTIVIRUS\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113596004968

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C14F3FC1-1CDC-43BD-A3DA-77CF1D7D0900}: NameServer = 85.255.116.88,85.255.112.189

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.88 85.255.112.189

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.50 85.255.112.172

O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Iniciador de procesos de servidor DCOM DcomLaunchRpcLocator (DcomLaunchRpcLocator) - Unknown owner - C:\WINDOWS\system32\1041v.exe (file missing)

O23 - Service: Servicio del administrador de discos lógicos dmadminNetDDEdsdmRSVP (dmadminNetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\LDR18.tmp.exe (file missing)

O23 - Service: Cliente DNS DnscacheUMWdf (DnscacheUMWdf) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Sistema de sucesos COM+ EventSystemTrkWks (EventSystemTrkWks) - Unknown owner - C:\WINDOWS\system32\acluih.exe (file missing)

O23 - Service: MS Internet Countermeasures Framework2b (FCI) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

O23 - Service: Acceso a dispositivo de interfaz humana HidServWmiApSrv (HidServWmiApSrv) - Unknown owner - C:\WINDOWS\system32\Adobep.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI ImapiServiceEventlog (ImapiServiceEventlog) - Unknown owner - C:\WINDOWS\system32\12520850p.exe3900411706z.exe (file missing)

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe (file missing)

O23 - Service: DSDM de DDE de red NetDDEdsdmBrowser (NetDDEdsdmBrowser) - Unknown owner - C:\WINDOWS\system32\acleditx.exe (file missing)

O23 - Service: DSDM de DDE de red NetDDEdsdmRSVP (NetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\3com_dmih.exe (file missing)

O23 - Service: Conexiones de red Netmanwuauserv (Netmanwuauserv) - Unknown owner - C:\WINDOWS\system32\ADADIX2Knh.exe (file missing)

O23 - Service: NLA (Network Location Awareness) Nlasrservice (Nlasrservice) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT NtLmSspUserAccess7MSDTC (NtLmSspUserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\acelpdecp.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto RDSessMgrNetDDEdsdm (RDSessMgrNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\adptifhb.exe (file missing)

O23 - Service: Localizador de llamadas a procedimiento remoto (RPC) RpcLocatordmserver (RpcLocatordmserver) - Unknown owner - C:\WINDOWS\system32\1028p.exe (file missing)

O23 - Service: Notificación de sucesos del sistema SENSIDriverT (SENSIDriverT) - Unknown owner - C:\WINDOWS\system32\acctresn.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceCiSvc (srserviceCiSvc) - Unknown owner - C:\WINDOWS\system32\acledith.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceRpcSs (srserviceRpcSs) - Unknown owner - C:\WINDOWS\system32\1031f.exe (file missing)

O23 - Service: Registros y alertas de rendimiento SysmonLogRemoteAccess (SysmonLogRemoteAccess) - Unknown owner - C:\WINDOWS\system32\activedsl.exe (file missing)

O23 - Service: Servicios de Terminal Server TermServiceNetlogon (TermServiceNetlogon) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc (TrkWksAvg7UpdSvc) - Unknown owner - C:\WINDOWS\system32\ahuit.exe (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc TrkWksAvg7UpdSvcMDM (TrkWksAvg7UpdSvcMDM) - Unknown owner - C:\WINDOWS\system32\adsnth.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC (UserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\12520850px.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC UserAccess7MSDTCNla (UserAccess7MSDTCNla) - Unknown owner - C:\WINDOWS\system32\activedshf.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Cliente Web WebClientFCI (WebClientFCI) - Unknown owner - C:\WINDOWS\system32\Adobez.exe (file missing)

O23 - Service: Extensiones de controlador de Instrumental de administración de Windows WmiRasMan (WmiRasMan) - Unknown owner - C:\WINDOWS\system32\activedshb.exe (file missing)

O23 - Service: Centro de seguridad wscsvcERSvc (wscsvcERSvc) - Unknown owner - C:\WINDOWS\system32\acleditk.exe

Bueno,creo que eso es todo.Les agradezco de antemano la ayuda que me puedan brindar.

saludos.

Mensaje por **msc hotline sat** » 06 Oct 2007, 21:28

De entrada en infosat.txt indica que envies una muestra, y nosotros añadimos otra, asi que envianos estos dos ficheros para analizar:

C:\WINDOWS\Temp\startdrv.exe

C:\Muestras\RUNSQL.EXE.Muestra EliStartPage v14.78

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y ademas se te dice que como servidores de DNS tiene configurados unos maliciosos de Ukraina:

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.88,85.255.112.189

Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas

saludos

ms, 6-10-2007

evangelion_01 · Mensaje por **evangelion_01** » 07 Oct 2007, 05:19

Y tambien en el infosat.txt, se te iondica que no esta actualizado tu windos, actualizalo con el windows update

Mensaje por **msc hotline sat** » 07 Oct 2007, 08:09

SI parece que del primero al ultimo de los parches del 2006 te faltan, procede con:

WINDOWSUPDATE:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

saludos

ms, 7-10-2007

Mensaje por **msc hotline sat** » 09 Oct 2007, 10:50

Analizadas las dos muestras reibidas, el RUNQSQL.EXE es un Downloader y el StarDrv un Spy Agent que pasamos a controlar con la nueva version de hoy 14.80 del ELISTARA

A partir de las 19 h GMT se podrá descargar de esta web para pruebas de evaluacion en el foro de zonavirus.

Tras probarlo y reiniciar, posteanos el contenido de c:\infosat.txt, gracias

saludos

ms, 9-.10-2007

Mensaje por **msc hotline sat** » 22 Oct 2007, 18:44

Recibimos nuevas muestras con este nick, si bien no se ha posteado en el foro que se envian, ni sabemos de donde han salido, esto es, si fue tras ejecutar alguna aplicacion, o por visitar alguna web, o lo que sea, que fuera como fuera, hay 1 EXE que es un downloader y que pasamos a controlar con el elistara 14.88 de hoy, pero otras 20 que son 4 familias, a cual peor... y que son nuevas variantes del SpyAgent BC protegidos por un ROOTKIT

De momento estamos con ellas, pero las hemos implementado por cadenas en esta nueva version, igual que el ROOTKIT, debiendo arrancar en modo seguro y probar dicha utilidad aunque no esté totalmente terminada (solo hemos empezado con ellas, mañana seguiremos)

De todas formas prometen ser lo que no hay... esperamos sus noticias sobre la deteccion de esta version del ELISTARA 14.88 Y ALGO DE INFORMACION DE DONDE PIENSA HABERLAS BAJADO O INFECTADO, PUES ESTA NOCHE ME PARECE QUE SOÑAREMOS CON ELLAS !!!

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 22-10-2007

bfg10k · Mensaje por **bfg10k** » 22 Oct 2007, 20:56

Aquí posteo el log obtenido con ElistarA (versión de 22/10)

Mon Oct 22 15:07:55 2007

EliStartPage v14.88 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\TEMP\STARTDRV.EXE --> Eliminado Spy-Agent.BV

C:\WINDOWS\SYSTEM32\SpywareWarning.mht --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "STARTDRV"="C:\WINDOWS\Temp\startdrv.exe"

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Entrada Eliminada [HKLM\...\Run] "netsv32"="C:\WINDOWS\sv.exe"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.82 85.255.112.191

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Oct 22 15:08:04 2007

EliStartPage v14.88 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3841

Nº Total de Ficheros: 49976

Nº de Ficheros Analizados: 13949

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Oct 22 15:19:20 2007

EliStartPage v14.88 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 950

Nº Total de Ficheros: 7983

Nº de Ficheros Analizados: 200

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

No puedo actualizar windows porque no es original

Tampoco se cómo solucionar el asunto de del DNS y el ISP

Cabe aclarar que al reiniciar en modo normal volvió a aparecer la página de IE cambiada y sigue apareciendo en la carpeta "Temp" de windows el ejecutable "startdrv.exe"

Con respecto a la funente de la infección no puedo especificar si es a través de alguna pág. web o por alguna descarga(aclaro que desde hace tiempo no utilizo programas P2P,sino paginas web de descarga directa).

Saludos y suerte con la lucha

Mensaje por **msc hotline sat** » 23 Oct 2007, 06:34

Le confieso que lo primero que he hecho esta mañana ha sido buscar su Tema a ver qué decía, y ya me lo temía, la regeneracion del malware dado que no llegamos a controlar del todo su eliminacion, como decíamos ayer...

Pero nos ha alegrado que haya detectado lo del servidor de DNS: "Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.82 85.255.112.191"

Si cada vez que quiere mavegar, lo hace a través de unos servidores maliciosos, le pueden llevar al huerto...

85.255.115.82 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.191 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

Consulte a su ISP cuales son los que aconsejan usar (Probablemente los de ellos telecom.net.ar)

Estos DNS servers son de Inhoster en Ukraina y estan considerados como maliciosos, y pueden desde provocarle phishing hasta infectarle directamente al utilizarlos o pasar por ellos.

Una vez sepa las IP de los DNS servers correspondientes, pruebe cambiar los actuales con el CONFGDNS:

http://www.zonavirus.com/descargas/confgdns.asp

Una vez comprobado que ya no usa los maliciosos, seguiremos con la eliminacion total de "su" engendro, pues probablemente de poco serviría si siguieramos usandolos.

Y por nuestra parte seguiremos luchando contra él, aunque de momento si ya no hubieramos visto lo indicado, nos lo cargaríamos arrancando en consola de recuperacion y eliminando el gusano, ya que arrancando desde el disco duro se nos está resistiendo el condenado ...

Diganos cuando ya tenga normalizada la configuracion de los servidores de dominios, gracias

saludos

ms, 23-10-2007

nota: Ya eliminado el downloader que pudo descargarlos: "DownLoader.Delf.CNU "SV.EXE" pero no vemos ni el RootKit ni sus protegidos...

Sobre todo arranque en modo seguro en su caso, para probar el ELISTARA... >Hagalo de nuevo y posteenos nuevo infosat.txt, gracias