Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: fedelf en 10 de Junio de 2004, 06:43:21 pm
-
En el ordenador de mi trabajo, acabo de encontrar este archivo en el arranque, el caso es que en google no aparece nada de nada, y estoy un poco mosca.
Datos:
Windows 2000
Antivirus AVG
Sygate
Ad-aware actualizado
-
Bajate el HijackThis de http://www.spywareinfo.com/~merijn/files/HijackThis.exe (es sólo el ejecutable y no instala nada en ningún lado). Correlo, apretá Scan, luego Save log, guardá el log y cuando te abra el Bloc de notas copiá TODO y pegalo acá.
Apurate, así lo leo ahora.
-
Lo tenia instalado de ayer, que ya le quite unas cuantas cosillas. ;)
Logfile of HijackThis v1.97.7
Scan saved at 19:04:13, on 10/06/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\rundll32.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\director\direcw32.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Microsoft Office\Office10\EXCEL.EXE
C:\ARCHIV~1\Grisoft\AVG6\AVGCC32.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Vigar\Mis documentos\seguridad ordenador\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.manchanet.es/formacion
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [LoadSIPS] rundll32.exe C:\WINNT\system32\SIPSPI32.dll,SIPSPI32
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {7A252985-D109-46C7-9667-4D30A70006A2} (SIACrypto Class) - https://www.delta.mtas.es/activex/deltaActiveX.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38072.3037268519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34BBFC64-451C-4D12-8BD8-093922512B0B}: NameServer = 194.224.52.36,194.224.52.37
-
Ok, fedelf. El tema pasa por ver si tu máquina es de red o no, y si conocés al administrador de la red en caso de que lo sea.
Digo esto porque en mi caso, que trabajo para Telecom, los administradores viven metiéndonos cosas en las máquinas (son peores que la peste), por lo que yo no me arriesgaré a tocar algo que ellos hayan hecho.
Si no es este el caso, te voy a pedir que me envíes el archivo a mi dirección de correo, creo que es fatsgordon @ daboweb . com (lo puse así para que no me lo tomen los spambots).
Luego cerrá todos los programas y ventanas de navegador, abrí el HijackThis y marcá lo siguiente:
O2 - BHO: (no name) - {D879A0F1-2B3B-4409-8879-FAD6E49E1EA9} - (no file)
O4 - HKLM\..\Run: [LoadSIPS] rundll32.exe C:\WINNT\system32\SIPSPI32.dll,SIPSPI32
Apretá Fix checked, cerrá el HT y reiniciá en modo A prueba de fallos. Buscá el archivo SIPSPI32.dll y eliminalo (primero mandámelo, lógico :D ). Reiniciá normal y publicá un nuevo log de HT.
-
Ya te lo he mandado, y voy a hacer lo que has puesto.
Y tranquilo, tengo libertad total para hacer y deshacer en todos los ordenadores de la empresa.
Si vieras como estaban antes. :shock:
-
El nuevo log. :)
Logfile of HijackThis v1.97.7
Scan saved at 20:00:01, on 10/06/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\Documents and Settings\Vigar\Mis documentos\seguridad ordenador\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.manchanet.es/formacion
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {7A252985-D109-46C7-9667-4D30A70006A2} (SIACrypto Class) - https://www.delta.mtas.es/activex/deltaActiveX.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38072.3037268519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34BBFC64-451C-4D12-8BD8-093922512B0B}: NameServer = 194.224.52.36,194.224.52.37
-
Recibida y enviada para analizar a dos lugares distintos. Veremos de qué se trata. Si sé qué es te voy a informar.
-
El log está límpio. :D
-
Muchas gracias. ;)
-
Hasta el momento:
Having a quick look - looks like it installs
"Object clsid:9C5B2F29-1F46-4639-A6B4-828942301D3E" ??
-
Como si me hablaras en chino. :shock:
-
Abrí el Regedit (Menú Inicio->Ejecutar..., escribís regedit y le das Enter). Copiá lo que está abajo:
9C5B2F29-1F46-4639-A6B4-828942301D3E
y buscalo en TODO el registro. Una vez que lo encuentres fijate qué dice en la ventana de la derecha. Ponelo acá.
Lo que dice es que parece que lo que hace es generar esa clave de registro (que parece que antes no existía, al menos en su máquina).
-
Hasta el lunes no podre verlo, porque es el ordenador del curro, pero me lo apunto en tareas pendientes. ;)
-
Ok, el nuevo archivo de referencia del Ad-aware detecta esto.
Vendedor:Matrix Technology Network
Categoría:Malware
Tipo de Objeto:Archivo
Tamaño:22179 Bytes
Ubicación:c:\windows\escritorio\personal\sipspi32.zip
Última actividad:15-06-2004 03:00:00
Nivel de riesgo:Bajo
Comentario:Object "SIPSPI32.dll" found in this archive.
Descripción:No Detail Information Available.
O sea, pasate el Ad-aware actualizado para ver que no haya problemas...
-
Lo actualicé ayer, y lo pase, y recuerdo que detecto algo con ese nombre, pero era otra dll, y la eliminé.
En cuanto a la clave de registro, lo busqué antes de pasarle el Ad-Aware, y no encontró nada.
-
De cualquier modo gracias por el archivo!!!! Ahora tenemos una bestia más en el morral... ;)
-
Esto es lo que encontró ayer:
MATRIX TECHNOLOGY NETWORK
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[1]=File : c:\winnt\system32\gidcai32.dll
Todavia esta en cuarentena, pero va a durar bien poquito.
Gracias por toda tu ayuda. ;)
-
:wink:
-
Para mayor información:
I have sent that same file to Aaron. Along with this one. GDICAI32.dll download the one attached to Fats' post. Uses MSHTA....pretty interesting. Generates popups and hijacks to 123Mania.com.
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.123mania.com/0409/ie.asp
R3 - URLSearchHook: SrchHook Class - {15651C7C-E812-44a2-A9AC-B467A2233E7D} - C:\WINDOWS\SYSTEM\GIDCAI32.DLL
O2 - BHO: (no name) - {622CC208-B014-4FE0-801B-874A5E5E403A} - C:\WINDOWS\SYSTEM\GIDCAI32.DLL
O2 - BHO: (no name) - {9C5B2F29-1F46-4639-A6B4-828942301D3E} - C:\WINDOWS\SYSTEM\SIPSPI32.DLL
O4 - HKLM\..\Run: [LoadSIPS] rundll32.exe C:\WINDOWS\SYSTEM\SIPSPI32.DLL,SIPSPI32
O16 - DPF: {15651C7C-E812-44A2-A9AC-B467A2233E7D} (SrchHook Class) - http://www.123mania.com/GIDCAI32.cab
O16 - DPF: {9C5B2F29-1F46-4639-A6B4-828942301D3E} (HTML Class) - http://www.123mania.com/SIPSPI32.cab
Y este otro:
Well, what is http://masminutos.com/ , spanish written " There is not no place Web in this direction. " ? Looks like they created it?
And, yes it installs BHO and generates lotsa popups. GDICAI32.dll also and it is created by Matrix technology Network. Working more on it.
Regards
Bueno, ya ves que hay gente atrás de esto... ;) (No soy yo, claro)