Foros del web, para los que viven de bits

RODRIASTU · 10-ago-2005, 18:32

Hola amigos tengo este problema
en una pc q tengo en red con la del servidor
cuando quiero acceder a www.hotmail.com , me redirecciona a http://auto.search.msn.com/response....h=3&prov=&utf8
o cuando pongo una cierta pagina me salta una ventana de windows q dice q no se pudo abrir la pagina y me redirecciona ( por ejm con yahoo.com.ar ) a http://sea.search.latam.msn.com/dnse...w.yahoo.com.ar

le pase el ad-aware , el spybot, el SpySubtract, tengo el SpywareBlaster y no me detecta nada
el log este:

Logfile of HijackThis v1.99.1
Scan saved at 09:30:03 p.m., on 10/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\AppServ\Apache\Apache.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\AppServ\Apache\Apache.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\AppServ\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\msiexec.exe
c:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Documents and Settings\DJ El Vasco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/AppServ/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

QUE PUEDE SER??? ESPERO SU AYUDA!!!

aguilapelona · 11-ago-2005, 12:04

Lo que nos indica el log es que tienes el trojano aurora. Te recomiendo que sigas este tutorial y despues de hacerlo vuelvas a pegar otro log.

Saludos

RODRIASTU · 11-ago-2005, 17:29

Ya lo habia hecho a eso!!
Tenía el Nail.exe pero lo eliminé , despues de probar con varios programas que recomiendan, con el ewido, aparentemente lo habia detectado y lo borró.
Igualmente ahora le pasé de nuevo los programas antispy, y parece q volvió a la normalidad!
Igualmente sigo teniendo 1 problema, que les habia comentado en otro post y que no lo pude solucionar .
Resulta ser que en esta misma pc ( la cual la tengo en red con otra que es el servidor q tiene la conexion de Internet ) tengo el windows xp con el firewall solamente de windows ( no se si sería bueno ponerle otro firewall a esta pc, aparte del de windows ?? ) ( aclaro que en la pc q tiene conexion a Internet tengo de firewall el zone alarm, el cual tengo q deshabilitarlo cada vez q quiero compartir la conexión), y esta pc q les comento, tiene 1 problema con el screensaver, osea cuando la pc está inactiva y quiere poner el salvapantalla , se reinicia sola. Igualmente cuando voy a propiedades y screensaver no me deja hacer nada , se reinicia sola tb.
Espero que me puedan ayudar a ver q es? si quizas sigue siendo el virus ese Aurora Nail o que???

Saludos!!
Gracias!!!!

RODRIASTU · 18-ago-2005, 09:05

Hola amigos!!
han visto mi problema??
alguien me puede ayudar??

saludos!!

10-ago-2005, 18:32	#1 (permalink)
RODRIASTU Fecha de Ingreso: agosto-2003 Ubicación: Argentina Mensajes: 69	Redireccion Hola amigos tengo este problema en una pc q tengo en red con la del servidor cuando quiero acceder a www.hotmail.com , me redirecciona a http://auto.search.msn.com/response....h=3&prov=&utf8 o cuando pongo una cierta pagina me salta una ventana de windows q dice q no se pudo abrir la pagina y me redirecciona ( por ejm con yahoo.com.ar ) a http://sea.search.latam.msn.com/dnse...w.yahoo.com.ar le pase el ad-aware , el spybot, el SpySubtract, tengo el SpywareBlaster y no me detecta nada el log este: Logfile of HijackThis v1.99.1 Scan saved at 09:30:03 p.m., on 10/08/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\ctfmon.exe C:\AppServ\Apache\Apache.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Program Files\ewido\security suite\ewidoctrl.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\AppServ\Apache\Apache.exe C:\Program Files\Borland\InterBase\bin\ibguard.exe C:\AppServ\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Borland\InterBase\bin\ibserver.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\msiexec.exe c:\Program Files\InterMute\SpySubtract\SpySub.exe C:\Documents and Settings\DJ El Vasco\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing) O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySql - Unknown owner - C:/AppServ/mysql/bin/mysqld-nt.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe QUE PUEDE SER??? ESPERO SU AYUDA!!! __________________ <<Rodr-GO!!!!>>

11-ago-2005, 12:04	#2 (permalink)
aguilapelona Fecha de Ingreso: julio-2004 Ubicación: Tijuana,bc,Mexico Mensajes: 354	Lo que nos indica el log es que tienes el trojano aurora. Te recomiendo que sigas este tutorial y despues de hacerlo vuelvas a pegar otro log. Saludos __________________ usuario de linux registrado #382971

11-ago-2005, 17:29	#3 (permalink)
RODRIASTU Fecha de Ingreso: agosto-2003 Ubicación: Argentina Mensajes: 69	Ya lo hice a eso!!!!! Ya lo habia hecho a eso!! Tenía el Nail.exe pero lo eliminé , despues de probar con varios programas que recomiendan, con el ewido, aparentemente lo habia detectado y lo borró. Igualmente ahora le pasé de nuevo los programas antispy, y parece q volvió a la normalidad! Igualmente sigo teniendo 1 problema, que les habia comentado en otro post y que no lo pude solucionar . Resulta ser que en esta misma pc ( la cual la tengo en red con otra que es el servidor q tiene la conexion de Internet ) tengo el windows xp con el firewall solamente de windows ( no se si sería bueno ponerle otro firewall a esta pc, aparte del de windows ?? ) ( aclaro que en la pc q tiene conexion a Internet tengo de firewall el zone alarm, el cual tengo q deshabilitarlo cada vez q quiero compartir la conexión), y esta pc q les comento, tiene 1 problema con el screensaver, osea cuando la pc está inactiva y quiere poner el salvapantalla , se reinicia sola. Igualmente cuando voy a propiedades y screensaver no me deja hacer nada , se reinicia sola tb. Espero que me puedan ayudar a ver q es? si quizas sigue siendo el virus ese Aurora Nail o que??? Saludos!! Gracias!!!! __________________ <<Rodr-GO!!!!>>

18-ago-2005, 09:05	#4 (permalink)
RODRIASTU Fecha de Ingreso: agosto-2003 Ubicación: Argentina Mensajes: 69	Nadie me puede ayudar?? Hola amigos!! han visto mi problema?? alguien me puede ayudar?? saludos!! __________________ <<Rodr-GO!!!!>>

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado