• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 13

    Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

    Resumen del tema: Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado) - Hola a todos. En mi negocio dispongo de una red privada de 5 ordenadores con Windows_2000Pro, conexión a internet y por el tipo de actividad que realizamos también tenemos conexión al exterior con una linea ...

      
    1. #1
      Usuario Avatar de casevi
      Registrado
      nov 2009
      Ubicación
      Catalunya
      Mensajes
      234

      Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

      Hola a todos.

      En mi negocio dispongo de una red privada de 5 ordenadores con Windows_2000Pro, conexión a internet y por el tipo de actividad que realizamos también tenemos conexión al exterior con una linea de datos de alta seguridad.

      Ocurrió hace días que un fallo de seguridad (ajeno a nosotros) en esta linea que tenía que ser de "alta seguridad" provocó un "agujero" por el cuál era muy probable que se hubieran "colado" algunos gusanos.

      En nuestro caso, 4 de los ardenadores estaban protegidos por NOD32 pero el 5, precisamente el que se conectaba directamente a esa linea segura, NO estaba protegido .... ¡¡ Sólo utilizaba esa linea tan segura !!!!

      A fin de detectar dicha "posible infestación" he utilizado los diferentes métodos disponibles: análisis con antivirus como Panda IS2009, NOD32Business; análisis online como el del panda o Nod32; análisis con la aplicación Panda Anti-rootkit y con Ad-aware. Los análisis se han realizado tando en "modo operativo" como en "modo a prueba de fallos" y repetidamente.

      Núnca ha habido una detección, el resultado siempre ha sido negativo.

      A pesar de ello y vista la gravedad de la amenaza que teníamos, nuestro proveeder informático nos recomendó que como última medida de seguridad utilizáramos el combofix.

      Sólo nos dieron como instrucción que debíamos descargarlo de su página oficial y ejecutarlo. Así de sencillo..... Y así lo hemos hecho.

      Hemos analizado tres (3) ordenadores con esta utilidad y afortunadamente después de leerles a Vds, estamos contentos de no haber tenido ningún problema pués desconocíamos la potencia y el riesgo de dicho programa.

      Creemos que es sospechoso ¿? que en el log de los tres análisis, en el aprtado de Other deletions siempre nos indica (en los 3) C:\winnt\system32\comres.dll . . . . is infected !!!.

      Ya no se qué más puedo hacer:

      1.- No encuentro ningún *.dll que se llame así ni en los ordenadores analizados ni en los que no están.

      2.- Todo parece funcionar correctamente pero lo cierto es que dentro del registro de sucesos aparecen siempre al iniciar los ordenadores errores varios del servicio "perfDisk".

      3.- He leído la nota del foro sobre esta aplicación (nota del año 2007) en el que se indicaba que se había detectado que producía errores en dicha *.dll precisamente.

      4.- No sé si estamos trabajando de forma segura o no. ¿Podemos tener en adelante algún problema?

      5.- Por eso, buscando información me he topado con Vds. Nunca hasta ahora había tenido ningún problema. Es por eso que ahora y no antes, contacto con Vds para preguntarles si esta indicación en el log de combofix significa que tengo un problema o no.


      Grácias por su tiempo prestado y un saludo.
      Siento tener que haber sido tan "tocho".

      Josep Mª

    2. #2
      Ex-Colaborador Avatar de Salba
      Registrado
      ene 2005
      Ubicación
      Argentina
      Mensajes
      8.846

      re: Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

      Hola, te doy la bienvenida al Foro

      Efectivamente ese archivo suele ser infectado por variantes de Trojan PSW.

      1.- No encuentro ningún *.dll que se llame así ni en los ordenadores analizados ni en los que no están.
      Si aparece en el apartado "Other Deletions", es porque ya lo ha eliminado, pero seguramente hay un archivo fuente de la infección que lo está regenerando en cada reinicio.

      Puedes dejarnos un reporte de CF para analizarlo, aunque si detecta solo ese archivo y los scanners no arrojan resultados positivos, se puede reemplazar esa librería con una por una copia que no presente infecciones.

      Saludos

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de casevi
      Registrado
      nov 2009
      Ubicación
      Catalunya
      Mensajes
      234

      re: Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

      Cita Originalmente publicado por Salba Ver Mensaje
      Hola, te doy la bienvenida al Foro
      Grácias por la bienvenida.
      Es un placer saber que en la "comunidad" se puede contar con gente tan amable.


      Efectivamente ese archivo suele ser infectado por variantes de Trojan PSW.


      Si aparece en el apartado "Other Deletions", es porque ya lo ha eliminado, pero seguramente hay un archivo fuente de la infección que lo está regenerando en cada reinicio.
      Podría ser que se regenerara. Sólo he podido comprobar que nunca ha sido detectado con el NOD32.

      Justo ahora mismo acabo de realizar un on-line con el NOD32 y el resultado, como siempre, ha sido negativo.


      ¿Crees que sería práctico realizar un segundo análisis con el combofix para saber si lo vuelve a detectar?

      Puedes dejarnos un reporte de CF para analizarlo, aunque si detecta solo ese archivo y los scanners no arrojan resultados positivos, se puede reemplazar esa librería con una por una copia que no presente infecciones.
      Espero me indiques si realizo un segundo análisis com combofix o simplemente te envio el resultado del primero.


      Saludos

    4. #4
      Usuario Avatar de casevi
      Registrado
      nov 2009
      Ubicación
      Catalunya
      Mensajes
      234

      re: Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

      Cita Originalmente publicado por Salba Ver Mensaje
      Puedes dejarnos un reporte de CF para analizarlo, aunque si detecta solo ese archivo y los scanners no arrojan resultados positivos, se puede reemplazar esa librería con una por una copia que no presente infecciones
      Bueno, quizás es mejor ir a la práctico.
      Este ha sido el log resultante en el ordenador nº2, el que NO tenía protección pués estaba directamente conectado a la red "segura" :

      _________________________________________________________________
      ComboFix 09-11-24.02 - Administrador 27/11/2009 20:13.1.2 - x86
      Microsoft Windows 2000 Professional 5.0.2195.4.1252.34.3082.18.1015.725 [GMT 1:00]
      Running from: E:\ComboFix.exe
      * Resident AV is active


      WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
      .

      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\winnt\Web\default.htt

      c:\winnt\system32\comres.dll . . . is infected!!

      .
      ((((((((((((((((((((((((( Files Created from 2009-10-27 to 2009-11-27 )))))))))))))))))))))))))))))))
      .

      2009-11-27 19:12 . 2009-11-27 19:12 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_2b4.dat
      2009-11-27 15:40 . 2009-11-27 15:40 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_3e4.dat
      2009-11-12 10:48 . 2009-11-12 10:48 8192 ----a-w- c:\winnt\system32\default_user_class.dat
      2009-11-11 19:11 . 2009-11-14 12:15 -------- d-----w- c:\archivos de programa\ESET
      2009-11-11 10:45 . 2009-11-11 10:45 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_3a0.dat
      2009-11-11 09:30 . 2004-03-24 02:17 443664 -c--a-w- c:\winnt\system32\dllcache\ipnathlp.dll
      2009-11-11 09:30 . 2004-03-24 02:17 443664 ----a-w- c:\winnt\system32\ipnathlp.dll
      2009-11-11 09:30 . 2004-03-24 02:17 69904 -c--a-w- c:\winnt\system32\dllcache\browser.dll
      2009-11-11 09:30 . 2004-03-24 02:17 69904 ----a-w- c:\winnt\system32\browser.dll
      2009-11-11 09:30 . 2004-03-24 02:17 167184 -c--a-w- c:\winnt\system32\dllcache\wintrust.dll
      2009-11-11 09:30 . 2004-03-24 02:17 167184 ----a-w- c:\winnt\system32\WINTRUST.DLL
      2009-11-11 09:17 . 2009-11-11 09:17 -------- d-----w- c:\documents and settings\All Users\Datos de programa\ESET
      2009-11-11 08:58 . 2009-11-11 10:44 -------- dc----w- c:\winnt\system32\DRVSTORE
      2009-11-11 08:58 . 2009-11-11 10:44 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Lavasoft
      2009-11-11 08:58 . 2009-11-11 08:58 -------- d-----w- c:\winnt\winsxs
      2009-11-11 08:14 . 2009-11-11 08:14 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_38c.dat
      2009-11-11 08:14 . 2009-11-11 08:14 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_3c4.dat
      2009-11-11 08:13 . 2009-11-11 08:13 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_5c0.dat

      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-11-27 15:40 . 2008-05-15 17:45 -------- d-----w- c:\archivos de programa\SpeedFan
      2009-09-11 06:26 . 2009-09-11 06:26 96408 ----a-w- c:\winnt\system32\drivers\epfwtdir.sys
      2009-09-11 06:23 . 2009-09-11 06:23 108792 ----a-w- c:\winnt\system32\drivers\ehdrv.sys
      2009-09-11 06:17 . 2009-09-11 06:17 116008 ----a-w- c:\winnt\system32\drivers\eamon.sys
      2005-11-11 10:42 . 2005-11-11 10:42 22020 ---h--w- c:\archivos de programa\folder.htt
      1999-03-31 16:51 . 1999-03-31 16:51 99840 ----a-w- c:\archivos de programa\Archivos comunes\IRAABOUT.DLL
      1998-12-09 08:53 . 1998-12-09 08:53 70144 ----a-w- c:\archivos de programa\Archivos comunes\IRAMDMTR.DLL
      1998-12-09 08:53 . 1998-12-09 08:53 48640 ----a-w- c:\archivos de programa\Archivos comunes\IRALPTTR.DLL
      1998-12-09 08:53 . 1998-12-09 08:53 31744 ----a-w- c:\archivos de programa\Archivos comunes\IRAWEBTR.DLL
      1998-12-09 08:53 . 1998-12-09 08:53 186368 ----a-w- c:\archivos de programa\Archivos comunes\IRAREG.DLL
      1998-12-09 08:53 . 1998-12-09 08:53 17920 ----a-w- c:\archivos de programa\Archivos comunes\IRASRIAL.DLL
      .

      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "IgfxTray"="c:\winnt\system32\igfxtray.exe" [2004-11-02 155648]
      "HotKeysCmds"="c:\winnt\system32\hkcmd.exe" [2004-11-02 126976]
      "egui"="c:\archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" [2009-09-11 2054360]
      "Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-23 111888]
      "Acceso directo a la página de propiedades de High Definition Audio"="HDAudPropShortcut.exe" - c:\winnt\system32\Hdaudpropshortcut.exe [2004-03-17 61952]
      "CertificateRegistration"="aetcrss1.exe" - c:\winnt\system32\aetcrss1.exe [2006-10-12 40960]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2003-06-23 20752]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "^SetupICWDesktop"="c:\archivos de programa\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-23 189712]

      c:\documents and settings\Administrador\Men£ Inicio\Programas\Inicio\
      IOFWIN.lnk - \\Servidor\c\IOFWIN\IOFWIN.EXE [2005-11-28 10330624]
      speedfan.lnk - c:\archivos de programa\SpeedFan\speedfan.exe [2008-4-22 3287552]

      c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
      Microsoft Office.lnk - c:\archivos de programa\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]
      Puerto Symantec Fax Starter Edition.lnk - c:\archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE [1999-3-31 46077]

      R1 ehdrv;ehdrv;c:\winnt\system32\drivers\ehdrv.sys [11/09/2009 7:23 108792]
      R1 epfwtdir;epfwtdir;c:\winnt\system32\drivers\epfwtdir.sys [11/09/2009 7:26 96408]
      R2 ekrn;ESET Service;c:\archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe [11/09/2009 7:24 735960]
      R3 usbhub20;Compatibilidad con concentrador de raíz USB 2.0;c:\winnt\system32\drivers\usbhub20.sys [11/11/2005 11:29 49776]
      S3 esihdrv;esihdrv;\??\c:\docume~1\ADMINI~1\CONFIG~1\Temp\esihdrv.sys --> c:\docume~1\ADMINI~1\CONFIG~1\Temp\esihdrv.sys [?]

      --- Other Services/Drivers In Memory ---

      *Deregistered* - uphcleanhlp

      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\aetsprov]
      c:\winnt\system32\regsvr32.exe /s c:\winnt\system32\aetsprov.dll
      .
      Contents of the 'Scheduled Tasks' folder
      .
      .
      ------- Supplementary Scan -------
      .
      uStart Page = hxxp://www.google.es/
      uInternet Settings,ProxyServer = 172.23.38.10:8080
      uInternet Settings,ProxyOverride = ccfcserver.farmacat.org
      IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
      LSP: %SystemRoot%\system32\msafd.dll
      Trusted Zone: farmacat.org\ccfcserver
      TCP: {412B8EF9-E35D-4C4C-A52C-55CC5DFB0EF7} = 172.23.38.11,172.23.38.17
      .
      - - - - ORPHANS REMOVED - - - -

      Notify-avldr - avldr.dll
      SafeBoot-lsass



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-11-27 20:16
      Windows 5.0.2195 Service Pack 4 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************
      .
      --------------------- DLLs Loaded Under Running Processes ---------------------

      - - - - - - - > 'winlogon.exe'(176)
      c:\winnt\system32\wzcdlg.dll
      c:\winnt\system32\WZCSAPI.DLL
      .
      Completion time: 2009-11-27 20:16
      ComboFix-quarantined-files.txt 2009-11-27 19:16

      Pre-Run: 78.009.274.368 bytes libres
      Post-Run: 77.999.435.776 bytes libres

      - - End Of File - - 904031A36D0C9F37E36DE3D040FBEB61

    5. #5
      Usuario Avatar de casevi
      Registrado
      nov 2009
      Ubicación
      Catalunya
      Mensajes
      234

      re: Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

      La verdad es que no entiendo nada. Estoy perdido.

      1.- Ejecuto Combofix y su resultado es :

      ((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))).
      c:\winnt\system32\comres.dll . . . is infected!!


      2.- Busco comres.dll en el ordenador y no encuentro ninguna *.dll con ese nombre (lógicamente habilito ver archivos ocultos).

      3.- Reinicio el ordenador y vuelvo a buscar comres.dll y no existe.

      4.- Vuelvo a ejecutar combofix y el resultado cuelve a ser

      ((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      c:\winnt\system32\comres.dll . . . is infected!!


      5.- He estado buscando en la red información sobre esta *.dll o sobre su reparación (un enlace figura dentro de vuestras páginas) y he encontrado un programa para chequear la integridad de comres.dll pero ocurre que es incompatible con Windows 2000 .

      ¿Podeis echarme un cable?
      Saludos.

    6. #6
      Ex-Colaborador Avatar de Salba
      Registrado
      ene 2005
      Ubicación
      Argentina
      Mensajes
      8.846

      re: Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

      Perdón la demora.

      Antes que nada hay que tener en cuenta de ue si las PC's están en red, los pasos de desinfeccióm o chequeo, deben hacerce sin estar conectados. De lo contrario la infección, o bien se propaga, o se elimina y se regenera al inciar.

      Descarga la última versión de Combofix.

      Luego:

      1.-Abrir el Notepad (Bloc de Notas)
      • Ir a INICIO > EJECUTAR >
      • Y ahí pones notepad.exe y ACEPTAR

      2.-Ahora copia y pega estos archivos dentro del Notepad

      Código:
      KillAll::
      
      File::
      c:\archivos de programa\folder.htt
      c:\winnt\system32\aetcrss1.exe
      c:\docume~1\ADMINI~1\CONFIG~1\ Temp\esihdrv.sys
      c:\winnt\system32\web\related.htm
      3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

      4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

      • Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente



      Otra cosa:
      Veo que lo ejecutas desde E:
      Running from: E:\ComboFix.exe
      Pero elimina o encuentra infecciones en C

      A que corresponden cada una de esas unidades.
      Para una ejecucín correcta, se debe ejecutar desde el escritorio del ordenador en cuestión, no desde otro en red, o desde una memoria USB.

      Además de otro reporte dejame un LOG de Hijackthis:
      Como descargar y sacar un LOG de HJT


      Saludos

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de casevi
      Registrado
      nov 2009
      Ubicación
      Catalunya
      Mensajes
      234

      re: Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

      Cita Originalmente publicado por Salba Ver Mensaje
      Perdón la demora.

      ......

      Otra cosa:
      Veo que lo ejecutas desde E:


      Pero elimina o encuentra infecciones en C

      A que corresponden cada una de esas unidades.
      Para una ejecucín correcta, se debe ejecutar desde el escritorio del ordenador en cuestión, no desde otro en red, o desde una memoria USB.



      Saludos
      No importa la demora. Grácias.

      Efectivamente, en este ordnador ejecuté combofix desde una memoria USB (E:) para analizar el disco duro (C:)

      ... seguirán los reportes.
      Un saludo y, lo dicho, GRACIAS !!

    8. #8
      Usuario Avatar de casevi
      Registrado
      nov 2009
      Ubicación
      Catalunya
      Mensajes
      234

      re: Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

      Cita Originalmente publicado por Salba Ver Mensaje
      Perdón la demora.

      Antes que nada hay que tener en cuenta de ue si las PC's están en red, los pasos de desinfeccióm o chequeo, deben hacerce sin estar conectados. De lo contrario la infección, o bien se propaga, o se elimina y se regenera al inciar.

      ....

      Saludos
      Solicito (por favor, claro) un protocolo o procedimiento para desinfectar una red de 5 ordenadores.

      ¿quizás tengo los problemas porque no los desinfecto uno a uno?

      Saludos.

    9. #9
      Usuario Avatar de casevi
      Registrado
      nov 2009
      Ubicación
      Catalunya
      Mensajes
      234

      re: Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

      Cita Originalmente publicado por Salba Ver Mensaje
      Perdón la demora.

      Descarga la última versión de Combofix.

      Luego:

      1.-Abrir el Notepad (Bloc de Notas)
      • Ir a INICIO > EJECUTAR >
      • Y ahí pones notepad.exe y ACEPTAR

      2.-Ahora copia y pega estos archivos dentro del Notepad

      Código:
      KillAll::
      
      File::
      c:\archivos de programa\folder.htt
      c:\winnt\system32\aetcrss1.exe
      c:\docume~1\ADMINI~1\CONFIG~1\ Temp\esihdrv.sys
      c:\winnt\system32\web\related.htm
      3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

      4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

      • Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente



      Saludos

      La hemos liado parda !!!!.
      Después de efectuar esta operación el ordenador a medio efectuar el Combofix, se ha reiniciado solo y aparentemente todo funionaba bien pero.........ha perdido la conexión con la red interior.
      Efectivamente el PC se queda como relentizado NO hay conexión con la red interior pero SI con internet.

      Necesito URGENTEMENTE alguna sugerencia (es un ordenador que está para atender al público).


      Siento no poder enviar ahora ningún reporte pero... he tenido que dejar de trabajar.

    10. #10
      Usuario Avatar de casevi
      Registrado
      nov 2009
      Ubicación
      Catalunya
      Mensajes
      234

      Pregunta re: Combofix y "C:\system32\comres.dll" en Windows_2000 (Solucionado)

      Al final he encontrado yo sólo el problema.
      Combofix había borrado el archivo hossssssssss

      Una última pregunta:

      He visto en alguna página, ahora no recuerdo dónde, que después de haber ejecutado Combofix hay que proceder a desinstalarlo mediante

      > ComboFix /u


      ¿sabría alguien confirmarme este último punto?

    Página 1 de 2 12 ÚltimoÚltimo