Registrese o identifiquese, para no ver la publicidad

Pantallazo azul MACHINE_CHECK_EXCEPTION yBackdoorCMQ(CLOSED)

No sabes qué desactivar de tu navegador. El staff de zonavirus te ayudara en el Foro HijackThis, copia y pega el log de Hitjackthis.

Pantallazo azul MACHINE_CHECK_EXCEPTION yBackdoorCMQ(CLOSED)

Notapor burgales76 » 26-01-2013 10:47

Muy buenas a tod@s.

Tengo un Windows XP SP2, que me salta un pantallazo azul cada poco con MACHINE_CHECK_EXCEPTION, y se me reinicia el PC, y se vuelve a reiniciar automáticamente unas cuantas veces hasta que le da por terminar de arrancar. En modo seguro sí que lo logro arrancar, pero no sé que cambiar porque en el administrador de dispositivos está todo correcto. Si arranco en modo seguro con funciones de red o la última configuración buena conocida, no logro arrancar y se reinicia. Tengo que arrancar en Iniciar Windows normalmente y que suene la flauta que no se reinicie.

De vez en cuando me salta el Mcafe un virus Backdoor-CMQ que casi siempre lo detecta en el fichero svchost.exe. He pasado antivirus on line (Panda) que lo detecta y pone que lo limpia pero sigue saltando de vez en cuando.

No sé si los reinicios estará asociado a este virus.

Os paso el hijackthis.log:


Logfile of HijackThis v1.99.1
Scan saved at 23:19:35, on 22/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\vsnpstd.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Norton Ghost\Agent\VProTray.exe
C:\Archivos de programa\QuickTime\QTTask.exe
C:\DOCUME~1\ADMINI~1\DATOSD~1\MICROS~1\logman.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe
c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
C:\Archivos de programa\LevelOne\Common\RaUI.exe
C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
C:\WINDOWS\system32\PSIService.exe
C:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\DATOSD~1\MICROS~1\logman.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Archivos de programa\Norton Ghost\Agent\VProTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Wi-Fi Defense#Autostart] "C:\Archivos de programa\Wi-Fi Defense\WiFiDefense.exe"
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Levelone Wireless Utility.lnk = C:\Archivos de programa\LevelOne\Common\RaUI.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan ... stubie.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0546BC16-F20A-4D0E-89A9-FA3F4121AB36}: NameServer = 62.42.230.24,62.42.63.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{3658AC72-619E-48D7-98FF-3177AF2FC36D}: NameServer = 62.42.230.24,62.42.63.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7872917-F4E0-4A9C-93AB-D029CA0D89A6}: NameServer = 62.42.230.24,62.42.63.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D27AE6-6483-4594-A523-1679DCC66AD6}: NameServer = 62.42.230.24,62.42.63.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC5B8AAE-2F19-43EE-8DB5-2A8072AEC5F0}: NameServer = 62.42.230.24,62.42.63.52
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Apache Tomcat 4.1 - Alexandria Software Consulting - C:\Archivos de programa\Apache Group\Tomcat 4.1\bin\tomcat.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Búsqueda de texto de SQL Server (MSSQLSERVER) (msftesql) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe" -s:MSSQL.1 -f:MSSQLSERVER (file missing)
O23 - Service: SQL Server (MSSQLSERVER) (MSSQLSERVER) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER (file missing)
O23 - Service: SQL Server Analysis Services (MSSQLSERVER) (MSSQLServerOLAPService) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe" -s "C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\Config (file missing)
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Agente SQL Server (MSSQLSERVER) (SQLSERVERAGENT) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE" -i MSSQLSERVER (file missing)


¡Muchas gracias!
burgales76
Novato
Novato
 
Mensajes: 8
Registrado: 26-01-2013 10:47

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor msc hotline sat » 26-01-2013 10:47

Pues arrancando como puedas, prueba el ELITRIIP para eliminar este Backdoor CMQ:


ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



luego lanza u windowsupdate e instala todos los parches criticos si no quieres que te infecte cualquier gusano como el Conficker ...

saludos

ms, 23-2-2009
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81755
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor burgales76 » 26-01-2013 10:47

Muchas gracias por la rápida respuesta.

Ejecuté el ELITRIIP, y me decía que no tenía instalado el SP3, así que lo instalé antes de continuar con el ELITRIIP. Cuando acabó me pidió reiniciar y luego ejecuté el ELITRIIP, y me detectó dos archivos infectados y me los eliminó, eran dos ficheros de plugin (uno del quicktime y otro del real). Pensaba que ya se había solucionado, pero he dejado el PC encendido esta noche y por la mañana, pantallazo azul con el MACHINE_CHECK_EXCEPTION. Estoy pensando que no sea cuestión del virus, aunque es casualidad que desde que llevo con el problema del virus es cuando me da pantallazos azules. :(
burgales76
Novato
Novato
 
Mensajes: 8
Registrado: 26-01-2013 10:47

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor msc hotline sat » 26-01-2013 10:47

Sí, a veces los árboles no dejan ver el bosque... :mrgreen:

Pero no has posteado el infosat.txt como te pedimos, y no vemos si detectamos o no el backdoor CMQ en cuestion... hazlo y segun veamos, o te pediremos muestra del fichero no eliminado , o sugeriremos lances un AV con el KAV ONLINE ... aunque esto tarda mucho.

saludos

ms, 24-2-2009
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81755
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor burgales76 » 26-01-2013 10:47

Aquí os paso el InfoSAT.txt, a ver si sirve de ayuda.

¡Gracias!


Mon Feb 23 22:22:20 2009
EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Mon Feb 23 22:51:37 2009
EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Mon Feb 23 22:51:47 2009
EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Archivos de programa\K-Lite Codec Pack\QuickTime\quicktime_browser_plugin.exe --> Eliminado, FireDaemon(dr)
C:\Archivos de programa\K-Lite Codec Pack\Real\realmedia_browser_plugin.exe --> Eliminado, FireDaemon(dr)

Nº Total de Directorios: 9462
Nº Total de Ficheros: 91017
Nº de Ficheros Analizados: 32159
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
burgales76
Novato
Novato
 
Mensajes: 8
Registrado: 26-01-2013 10:47

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor msc hotline sat » 26-01-2013 10:47

Pues la madre del cordero no la hemos localizado. El backdoor CMQ debe ser una variante que no controlamos, asi que lanze este AV ONLINE y posteanos el informe resultante, para ver donde se esconde y proceder en consecuencia:



http://www.kaspersky.com/kos/english/kavwebscan.html

y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...

Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.

Imagen

y si bien has instalado el SP3, no lo has hecho con un windowsupdate, ya que te faltan los posteriores, especialmente este muy importante para evitar la entrada del Conficker:

Mon Feb 23 22:51:37 2009
EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

ya sabes, I.E. -> Herramientas -> Windowsupdate -> inatalar los pendientes.

saludos

ms, 25-2-2009
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81755
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor burgales76 » 26-01-2013 10:47

Este es el informe del antivirus. Ahí está el bicho

Scan statistics
Files scanned 119447
Threat name 4
Infected objects 4
Suspicious objects 0
Duration of the scan 02:52:24

File name Threat name Threats count
C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\hmrg09\mssn.exe Infected: Trojan-Mailfinder.Win32.Blen.gn 1
C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\mdnk37\mdmm.exe Infected: not-a-virus:Downloader.Win32.Agent.bz 1
C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\mdnk38\mdmm.exe Infected: Backdoor.Win32.Agent.adty 1
C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\yinprs02\ctfmon.exe Infected: Trojan.Win32.Zapchast.sl 1
burgales76
Novato
Novato
 
Mensajes: 8
Registrado: 26-01-2013 10:47

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor msc hotline sat » 26-01-2013 10:47

Pues envianos estos ficheros y tras analizarlos, pasaremos a controlarlos:



ImagenENVIO DE MUESTRAS Y ELIMINACION DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253


Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos


saludos

ms, 25-2-2009
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81755
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor burgales76 » 26-01-2013 10:47

Os he subido los ficheros que he podido, porque como es un directorio temporal los debe borrar y volver a crear después de cada reinicio. Buscando he encontrado un directorio C.\windows\prefetch que contiene muchos ficheros, entre ellos el svchost.exe, el mssn.exe... que los añade una cadena de números al final. No sé si serán copia o algo. Os he subido alguno por si acaso.

¡Gracias!
burgales76
Novato
Novato
 
Mensajes: 8
Registrado: 26-01-2013 10:47

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor msc hotline sat » 26-01-2013 10:47

No, los prefecth solo sirven para lanzar el fichero, no sirven para monitorizar.

Veremos lo que nos has enviado, y si hay EXE se analizaran e informaremos.

saludos

ms, 26-2-2009
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81755
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor msc hotline sat » 26-01-2013 10:47

Aparte de unos PF hay dos EXE, que pasamos a analizar.

De entrada el preanalisis con VirusTotal indica pocas detecciones:

File ctfmon.exe received on 02.26.2009 10:24:24 (CET)
Current status: finished

Result: 6/39 (15.38%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.0.0.93 2009.02.26 Trojan.Win32.Horst.B!IK
AhnLab-V3 2009.2.26.0 2009.02.25 -
AntiVir 7.9.0.88 2009.02.26 -
Authentium 5.1.0.4 2009.02.25 -
Avast 4.8.1335.0 2009.02.25 -
AVG 8.0.0.237 2009.02.25 -
BitDefender 7.2 2009.02.26 -
CAT-QuickHeal 10.00 2009.02.26 -
ClamAV 0.94.1 2009.02.25 -
Comodo 984 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.26 -
eSafe 7.0.17.0 2009.02.25 Suspicious File
eTrust-Vet 31.6.6375 2009.02.26 -
F-Prot 4.4.4.56 2009.02.25 -
F-Secure 8.0.14470.0 2009.02.26 -
Fortinet 3.117.0.0 2009.02.26 -
GData 19 2009.02.26 -
Ikarus T3.1.1.45.0 2009.02.26 Trojan.Win32.Horst.B
K7AntiVirus 7.10.647 2009.02.25 -
Kaspersky 7.0.0.125 2009.02.26 -
McAfee 5536 2009.02.25 -
McAfee+Artemis 5536 2009.02.25 -
Microsoft 1.4306 2009.02.26 -
NOD32 3890 2009.02.26 probably a variant of Win32/SpamTool.Blen
Norman 6.00.06 2009.02.25 -
nProtect 2009.1.8.0 2009.02.26 -
Panda 10.0.0.10 2009.02.26 -
PCTools 4.4.2.0 2009.02.25 -
Prevx1 V2 2009.02.26 High Risk Cloaked Malware
Rising 21.18.32.00 2009.02.26 -
SecureWeb-Gateway 6.7.6 2009.02.26 -
Sophos 4.39.0 2009.02.26 Mal/NotSocial-A
Sunbelt 3.2.1858.2 2009.02.25 -
Symantec 10 2009.02.26 -
TheHacker 6.3.2.5.265 2009.02.25 -
TrendMicro 8.700.0.1004 2009.02.26 -
VBA32 3.12.10.0 2009.02.26 -
ViRobot 2009.2.26.1624 2009.02.26 -
VirusBuster 4.5.11.0 2009.02.25 -
Additional information
File size: 218112 bytes
MD5...: 19b4bad5bf7c07107070e428e7a2496f
SHA1..: b3b567b527d9228e150d7a2476c2a16932d16611


y para el otro:

File mssn.exe received on 02.26.2009 10:26:43 (CET)
Current status: finished

Result: 7/39 (17.95%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.0.0.93 2009.02.26 Virus.Win32.Virut.as!IK
AhnLab-V3 2009.2.26.0 2009.02.25 -
AntiVir 7.9.0.88 2009.02.26 -
Authentium 5.1.0.4 2009.02.25 -
Avast 4.8.1335.0 2009.02.25 -
AVG 8.0.0.237 2009.02.25 -
BitDefender 7.2 2009.02.26 -
CAT-QuickHeal 10.00 2009.02.26 Win32.Trojan.Horst.gen!B.3
ClamAV 0.94.1 2009.02.25 -
Comodo 984 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.26 Win32.HLLW.Medbod.origin
eSafe 7.0.17.0 2009.02.25 Suspicious File
eTrust-Vet 31.6.6375 2009.02.26 -
F-Prot 4.4.4.56 2009.02.25 -
F-Secure 8.0.14470.0 2009.02.26 -
Fortinet 3.117.0.0 2009.02.26 -
GData 19 2009.02.26 -
Ikarus T3.1.1.45.0 2009.02.26 Virus.Win32.Virut.as
K7AntiVirus 7.10.647 2009.02.25 -
Kaspersky 7.0.0.125 2009.02.26 -
McAfee 5536 2009.02.25 -
McAfee+Artemis 5536 2009.02.25 -
Microsoft 1.4306 2009.02.26 -
NOD32 3890 2009.02.26 probably a variant of Win32/SpamTool.Blen
Norman 6.00.06 2009.02.25 -
nProtect 2009.1.8.0 2009.02.26 -
Panda 10.0.0.10 2009.02.26 -
PCTools 4.4.2.0 2009.02.25 -
Prevx1 V2 2009.02.26 -
Rising 21.18.32.00 2009.02.26 -
SecureWeb-Gateway 6.7.6 2009.02.26 -
Sophos 4.39.0 2009.02.26 Mal/NotSocial-A
Sunbelt 3.2.1858.2 2009.02.25 -
Symantec 10 2009.02.26 -
TheHacker 6.3.2.5.265 2009.02.25 -
TrendMicro 8.700.0.1004 2009.02.26 -
VBA32 3.12.10.0 2009.02.26 -
ViRobot 2009.2.26.1624 2009.02.26 -
VirusBuster 4.5.11.0 2009.02.25 -
Additional information
File size: 227328 bytes
MD5...: 9e1636b36533897b684c94fb152e6f7d
SHA1..: 652d59dc2f8d6bb82fc4ef30e459b887a49b0d51


Los pasaremos a analizar y monitorizar, aunque si es realmente un VIRUT, infector, se requeriría limpiarlos con un anrtivirus que los controlara, que por lo que vemos solo Ikarus y A squared, pero espereemos que esto sean falsas alarmas...

Tras analizarlos, informaremos

saludos

ms, 26-2-2009
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81755
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor msc hotline sat » 26-01-2013 10:47

Pues un poco raro es, pero el icono de MFC (Microsoft Fundation Class) es propio de una compilacion con una aplicacion de Visual Studio ...

En el ELISTARA de hoy 18.10 se implementa su control y eliminacion.

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso




A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 26-2-2009
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81755
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor burgales76 » 26-01-2013 10:47

Muchas gracias, pues esta tarde pasaré el ELISTARA
burgales76
Novato
Novato
 
Mensajes: 8
Registrado: 26-01-2013 10:47

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor msc hotline sat » 26-01-2013 10:47

Tras ello posteenos el c:\infosat.txt resultante, gracias

saludos

ms, 26-2-2009
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81755
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Notapor julibaga » 26-01-2013 10:47

Perdón por la intromisión, pero me gustaría saber si tienes dos discos duros en esa máquina. ¿?
Lo digo por lo siguiente. El error que te da, suele ser por que tienes dos discos duros como master.
En caso de que tengas dos discos duros, chequea eso y prueba a cambiarle el jumper al esclavo, como "esclavo" o prueba a quitar uno de los discos a ver si persiste el problema.
Saludos.
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)
Avatar de Usuario
julibaga
Usuario Avanzado
Usuario Avanzado
 
Mensajes: 1312
Registrado: 26-01-2013 10:47
Ubicación: Guadalajara, Jalisco, México

Siguiente

Volver a Foro HijackThis - copia y pega tu log

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados


Registrese o identifiquese, para no ver la publicidad