Tema: SIPSPI32.dll alguien sabe que es esto?

[fedelf]

En el ordenador de mi trabajo, acabo de encontrar este archivo en el arranque, el caso es que en google no aparece nada de nada, y estoy un poco mosca.

Datos:

Windows 2000
Antivirus AVG
Sygate
Ad-aware actualizado

[FatsGordon]

Bajate el HijackThis de http://www.spywareinfo.com/~merijn/files/HijackThis.exe (es sólo el ejecutable y no instala nada en ningún lado). Correlo, apretá Scan, luego Save log, guardá el log y cuando te abra el Bloc de notas copiá TODO y pegalo acá.

Apurate, así lo leo ahora.

[fedelf]

Lo tenia instalado de ayer, que ya le quite unas cuantas cosillas.

Logfile of HijackThis v1.97.7
Scan saved at 19:04:13, on 10/06/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\rundll32.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\director\direcw32.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Microsoft Office\Office10\EXCEL.EXE
C:\ARCHIV~1\Grisoft\AVG6\AVGCC32.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Vigar\Mis documentos\seguridad ordenador\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.manchanet.es/formacion
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [LoadSIPS] rundll32.exe C:\WINNT\system32\SIPSPI32.dll,SIPSPI32
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {7A252985-D109-46C7-9667-4D30A70006A2} (SIACrypto Class) - https://www.delta.mtas.es/activex/deltaActiveX.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38072.3037268519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34BBFC64-451C-4D12-8BD8-093922512B0B}: NameServer = 194.224.52.36,194.224.52.37

[FatsGordon]

Ok, fedelf. El tema pasa por ver si tu máquina es de red o no, y si conocés al administrador de la red en caso de que lo sea.

Digo esto porque en mi caso, que trabajo para Telecom, los administradores viven metiéndonos cosas en las máquinas (son peores que la peste), por lo que yo no me arriesgaré a tocar algo que ellos hayan hecho.

Si no es este el caso, te voy a pedir que me envíes el archivo a mi dirección de correo, creo que es fatsgordon @ daboweb . com (lo puse así para que no me lo tomen los spambots).

Luego cerrá todos los programas y ventanas de navegador, abrí el HijackThis y marcá lo siguiente:

O2 - BHO: (no name) - {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - (no file)
O4 - HKLM\..\Run: [LoadSIPS] rundll32.exe C:\WINNT\system32\SIPSPI32.dll,SIPSPI32

Apretá Fix checked, cerrá el HT y reiniciá en modo A prueba de fallos. Buscá el archivo SIPSPI32.dll y eliminalo (primero mandámelo, lógico :D ). Reiniciá normal y publicá un nuevo log de HT.

[fedelf]

Ya te lo he mandado, y voy a hacer lo que has puesto.

Y tranquilo, tengo libertad total para hacer y deshacer en todos los ordenadores de la empresa.

Si vieras como estaban antes. :shock:

[fedelf]

El nuevo log.


Logfile of HijackThis v1.97.7
Scan saved at 20:00:01, on 10/06/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\Documents and Settings\Vigar\Mis documentos\seguridad ordenador\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.manchanet.es/formacion
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {7A252985-D109-46C7-9667-4D30A70006A2} (SIACrypto Class) - https://www.delta.mtas.es/activex/deltaActiveX.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38072.3037268519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34BBFC64-451C-4D12-8BD8-093922512B0B}: NameServer = 194.224.52.36,194.224.52.37

[FatsGordon]

Recibida y enviada para analizar a dos lugares distintos. Veremos de qué se trata. Si sé qué es te voy a informar.

[FatsGordon]

El log está límpio. :D

[fedelf]

Muchas gracias.

[FatsGordon]

Hasta el momento:

Having a quick look - looks like it installs
"Object clsid:9C5B2F29-1F46-4639-A6B4-828942301D3E" ??