Pantallazo azul MACHINE_CHECK_EXCEPTION yBackdoorCMQ(CLOSED)

Cerrado
burgales76
Mensajes: 8
Registrado: 23 Feb 2009, 09:27

Pantallazo azul MACHINE_CHECK_EXCEPTION yBackdoorCMQ(CLOSED)

Mensaje por burgales76 » 23 Feb 2009, 10:22

Muy buenas a tod@s.



Tengo un Windows XP SP2, que me salta un pantallazo azul cada poco con MACHINE_CHECK_EXCEPTION, y se me reinicia el PC, y se vuelve a reiniciar automáticamente unas cuantas veces hasta que le da por terminar de arrancar. En modo seguro sí que lo logro arrancar, pero no sé que cambiar porque en el administrador de dispositivos está todo correcto. Si arranco en modo seguro con funciones de red o la última configuración buena conocida, no logro arrancar y se reinicia. Tengo que arrancar en Iniciar Windows normalmente y que suene la flauta que no se reinicie.



De vez en cuando me salta el Mcafe un virus Backdoor-CMQ que casi siempre lo detecta en el fichero svchost.exe. He pasado antivirus on line (Panda) que lo detecta y pone que lo limpia pero sigue saltando de vez en cuando.



No sé si los reinicios estará asociado a este virus.



Os paso el hijackthis.log:





Logfile of HijackThis v1.99.1

Scan saved at 23:19:35, on 22/02/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Norton Ghost\Agent\VProTray.exe

C:\Archivos de programa\QuickTime\QTTask.exe

C:\DOCUME~1\ADMINI~1\DATOSD~1\MICROS~1\logman.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe

c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE

C:\Archivos de programa\LevelOne\Common\RaUI.exe

C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe

C:\WINDOWS\system32\PSIService.exe

C:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlbrowser.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\DATOSD~1\MICROS~1\logman.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Archivos de programa\Norton Ghost\Agent\VProTray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Wi-Fi Defense#Autostart] "C:\Archivos de programa\Wi-Fi Defense\WiFiDefense.exe"

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Levelone Wireless Utility.lnk = C:\Archivos de programa\LevelOne\Common\RaUI.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0546BC16-F20A-4D0E-89A9-FA3F4121AB36}: NameServer = 62.42.230.24,62.42.63.52

O17 - HKLM\System\CCS\Services\Tcpip\..\{3658AC72-619E-48D7-98FF-3177AF2FC36D}: NameServer = 62.42.230.24,62.42.63.52

O17 - HKLM\System\CCS\Services\Tcpip\..\{D7872917-F4E0-4A9C-93AB-D029CA0D89A6}: NameServer = 62.42.230.24,62.42.63.52

O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D27AE6-6483-4594-A523-1679DCC66AD6}: NameServer = 62.42.230.24,62.42.63.52

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC5B8AAE-2F19-43EE-8DB5-2A8072AEC5F0}: NameServer = 62.42.230.24,62.42.63.52

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Apache Tomcat 4.1 - Alexandria Software Consulting - C:\Archivos de programa\Apache Group\Tomcat 4.1\bin\tomcat.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Búsqueda de texto de SQL Server (MSSQLSERVER) (msftesql) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe" -s:MSSQL.1 -f:MSSQLSERVER (file missing)

O23 - Service: SQL Server (MSSQLSERVER) (MSSQLSERVER) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER (file missing)

O23 - Service: SQL Server Analysis Services (MSSQLSERVER) (MSSQLServerOLAPService) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe" -s "C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\Config (file missing)

O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe

O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE

O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe

O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: Agente SQL Server (MSSQLSERVER) (SQLSERVERAGENT) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE" -i MSSQLSERVER (file missing)





¡Muchas gracias!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 23 Feb 2009, 11:02

Pues arrancando como puedas, prueba el ELITRIIP para eliminar este Backdoor CMQ:


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]


luego lanza u windowsupdate e instala todos los parches criticos si no quieres que te infecte cualquier gusano como el Conficker ...



saludos



ms, 23-2-2009

burgales76
Mensajes: 8
Registrado: 23 Feb 2009, 09:27

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por burgales76 » 24 Feb 2009, 09:28

Muchas gracias por la rápida respuesta.



Ejecuté el ELITRIIP, y me decía que no tenía instalado el SP3, así que lo instalé antes de continuar con el ELITRIIP. Cuando acabó me pidió reiniciar y luego ejecuté el ELITRIIP, y me detectó dos archivos infectados y me los eliminó, eran dos ficheros de plugin (uno del quicktime y otro del real). Pensaba que ya se había solucionado, pero he dejado el PC encendido esta noche y por la mañana, pantallazo azul con el MACHINE_CHECK_EXCEPTION. Estoy pensando que no sea cuestión del virus, aunque es casualidad que desde que llevo con el problema del virus es cuando me da pantallazos azules. :(

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 24 Feb 2009, 12:23

Sí, a veces los árboles no dejan ver el bosque... :mrgreen:



Pero no has posteado el infosat.txt como te pedimos, y no vemos si detectamos o no el backdoor CMQ en cuestion... hazlo y segun veamos, o te pediremos muestra del fichero no eliminado , o sugeriremos lances un AV con el KAV ONLINE ... aunque esto tarda mucho.



saludos



ms, 24-2-2009

burgales76
Mensajes: 8
Registrado: 23 Feb 2009, 09:27

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por burgales76 » 25 Feb 2009, 11:28

Aquí os paso el InfoSAT.txt, a ver si sirve de ayuda.



¡Gracias!



[b]

Mon Feb 23 22:22:20 2009

EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



Mon Feb 23 22:51:37 2009

EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



Mon Feb 23 22:51:47 2009

EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\K-Lite Codec Pack\QuickTime\quicktime_browser_plugin.exe --> Eliminado, FireDaemon(dr)

C:\Archivos de programa\K-Lite Codec Pack\Real\realmedia_browser_plugin.exe --> Eliminado, FireDaemon(dr)



Nº Total de Directorios: 9462

Nº Total de Ficheros: 91017

Nº de Ficheros Analizados: 32159

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2[/b]

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 25 Feb 2009, 11:47

Pues la madre del cordero no la hemos localizado. El backdoor CMQ debe ser una variante que no controlamos, asi que lanze este AV ONLINE y posteanos el informe resultante, para ver donde se esconde y proceder en consecuencia:







http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



y si bien has instalado el SP3, no lo has hecho con un windowsupdate, ya que te faltan los posteriores, especialmente este muy importante para evitar la entrada del Conficker:



Mon Feb 23 22:51:37 2009

EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



ya sabes, I.E. -> Herramientas -> Windowsupdate -> inatalar los pendientes.



saludos



ms, 25-2-2009

burgales76
Mensajes: 8
Registrado: 23 Feb 2009, 09:27

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por burgales76 » 25 Feb 2009, 19:44

Este es el informe del antivirus. Ahí está el bicho



[b]Scan statistics

Files scanned 119447

Threat name 4

Infected objects 4

Suspicious objects 0

Duration of the scan 02:52:24



File name Threat name Threats count

[size=85]C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\hmrg09\mssn.exe Infected: Trojan-Mailfinder.Win32.Blen.gn 1

C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\mdnk37\mdmm.exe Infected: not-a-virus:Downloader.Win32.Agent.bz 1

C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\mdnk38\mdmm.exe Infected: Backdoor.Win32.Agent.adty 1

C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\yinprs02\ctfmon.exe Infected: Trojan.Win32.Zapchast.sl 1
[/b]
[/size]

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 25 Feb 2009, 19:54

Pues envianos estos ficheros y tras analizarlos, pasaremos a controlarlos:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 25-2-2009

burgales76
Mensajes: 8
Registrado: 23 Feb 2009, 09:27

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por burgales76 » 26 Feb 2009, 08:42

Os he subido los ficheros que he podido, porque como es un directorio temporal los debe borrar y volver a crear después de cada reinicio. Buscando he encontrado un directorio C.\windows\prefetch que contiene muchos ficheros, entre ellos el svchost.exe, el mssn.exe... que los añade una cadena de números al final. No sé si serán copia o algo. Os he subido alguno por si acaso.



¡Gracias!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 26 Feb 2009, 09:25

No, los prefecth solo sirven para lanzar el fichero, no sirven para monitorizar.



Veremos lo que nos has enviado, y si hay EXE se analizaran e informaremos.



saludos



ms, 26-2-2009

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 26 Feb 2009, 10:33

Aparte de unos PF hay dos EXE, que pasamos a analizar.



De entrada el preanalisis con VirusTotal indica pocas detecciones:


[quote]File ctfmon.exe received on 02.26.2009 10:24:24 (CET)

Current status: finished



Result: 6/39 (15.38%)

Compact Print results

Antivirus Version Last Update Result

a-squared 4.0.0.93 2009.02.26 Trojan.Win32.Horst.B!IK

AhnLab-V3 2009.2.26.0 2009.02.25 -

AntiVir 7.9.0.88 2009.02.26 -

Authentium 5.1.0.4 2009.02.25 -

Avast 4.8.1335.0 2009.02.25 -

AVG 8.0.0.237 2009.02.25 -

BitDefender 7.2 2009.02.26 -

CAT-QuickHeal 10.00 2009.02.26 -

ClamAV 0.94.1 2009.02.25 -

Comodo 984 2009.02.20 -

DrWeb 4.44.0.09170 2009.02.26 -

eSafe 7.0.17.0 2009.02.25 Suspicious File

eTrust-Vet 31.6.6375 2009.02.26 -

F-Prot 4.4.4.56 2009.02.25 -

F-Secure 8.0.14470.0 2009.02.26 -

Fortinet 3.117.0.0 2009.02.26 -

GData 19 2009.02.26 -

Ikarus T3.1.1.45.0 2009.02.26 Trojan.Win32.Horst.B

K7AntiVirus 7.10.647 2009.02.25 -

Kaspersky 7.0.0.125 2009.02.26 -

McAfee 5536 2009.02.25 -

McAfee+Artemis 5536 2009.02.25 -

Microsoft 1.4306 2009.02.26 -

NOD32 3890 2009.02.26 probably a variant of Win32/SpamTool.Blen

Norman 6.00.06 2009.02.25 -

nProtect 2009.1.8.0 2009.02.26 -

Panda 10.0.0.10 2009.02.26 -

PCTools 4.4.2.0 2009.02.25 -

Prevx1 V2 2009.02.26 High Risk Cloaked Malware

Rising 21.18.32.00 2009.02.26 -

SecureWeb-Gateway 6.7.6 2009.02.26 -

Sophos 4.39.0 2009.02.26 Mal/NotSocial-A

Sunbelt 3.2.1858.2 2009.02.25 -

Symantec 10 2009.02.26 -

TheHacker 6.3.2.5.265 2009.02.25 -

TrendMicro 8.700.0.1004 2009.02.26 -

VBA32 3.12.10.0 2009.02.26 -

ViRobot 2009.2.26.1624 2009.02.26 -

VirusBuster 4.5.11.0 2009.02.25 -

Additional information

File size: 218112 bytes

MD5...: 19b4bad5bf7c07107070e428e7a2496f

SHA1..: b3b567b527d9228e150d7a2476c2a16932d16611 [/quote]


y para el otro:


[quote]File mssn.exe received on 02.26.2009 10:26:43 (CET)

Current status: finished



Result: 7/39 (17.95%)

Compact Print results

Antivirus Version Last Update Result

a-squared 4.0.0.93 2009.02.26 Virus.Win32.Virut.as!IK

AhnLab-V3 2009.2.26.0 2009.02.25 -

AntiVir 7.9.0.88 2009.02.26 -

Authentium 5.1.0.4 2009.02.25 -

Avast 4.8.1335.0 2009.02.25 -

AVG 8.0.0.237 2009.02.25 -

BitDefender 7.2 2009.02.26 -

CAT-QuickHeal 10.00 2009.02.26 Win32.Trojan.Horst.gen!B.3

ClamAV 0.94.1 2009.02.25 -

Comodo 984 2009.02.20 -

DrWeb 4.44.0.09170 2009.02.26 Win32.HLLW.Medbod.origin

eSafe 7.0.17.0 2009.02.25 Suspicious File

eTrust-Vet 31.6.6375 2009.02.26 -

F-Prot 4.4.4.56 2009.02.25 -

F-Secure 8.0.14470.0 2009.02.26 -

Fortinet 3.117.0.0 2009.02.26 -

GData 19 2009.02.26 -

Ikarus T3.1.1.45.0 2009.02.26 Virus.Win32.Virut.as

K7AntiVirus 7.10.647 2009.02.25 -

Kaspersky 7.0.0.125 2009.02.26 -

McAfee 5536 2009.02.25 -

McAfee+Artemis 5536 2009.02.25 -

Microsoft 1.4306 2009.02.26 -

NOD32 3890 2009.02.26 probably a variant of Win32/SpamTool.Blen

Norman 6.00.06 2009.02.25 -

nProtect 2009.1.8.0 2009.02.26 -

Panda 10.0.0.10 2009.02.26 -

PCTools 4.4.2.0 2009.02.25 -

Prevx1 V2 2009.02.26 -

Rising 21.18.32.00 2009.02.26 -

SecureWeb-Gateway 6.7.6 2009.02.26 -

Sophos 4.39.0 2009.02.26 Mal/NotSocial-A

Sunbelt 3.2.1858.2 2009.02.25 -

Symantec 10 2009.02.26 -

TheHacker 6.3.2.5.265 2009.02.25 -

TrendMicro 8.700.0.1004 2009.02.26 -

VBA32 3.12.10.0 2009.02.26 -

ViRobot 2009.2.26.1624 2009.02.26 -

VirusBuster 4.5.11.0 2009.02.25 -

Additional information

File size: 227328 bytes

MD5...: 9e1636b36533897b684c94fb152e6f7d

SHA1..: 652d59dc2f8d6bb82fc4ef30e459b887a49b0d51 [/quote]


Los pasaremos a analizar y monitorizar, aunque si es realmente un VIRUT, infector, se requeriría limpiarlos con un anrtivirus que los controlara, que por lo que vemos solo Ikarus y A squared, pero espereemos que esto sean falsas alarmas...



Tras analizarlos, informaremos



saludos



ms, 26-2-2009

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 26 Feb 2009, 11:46

Pues un poco raro es, pero el icono de MFC (Microsoft Fundation Class) es propio de una compilacion con una aplicacion de Visual Studio ...



En el ELISTARA de hoy 18.10 se implementa su control y eliminacion.


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]






A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 26-2-2009

burgales76
Mensajes: 8
Registrado: 23 Feb 2009, 09:27

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por burgales76 » 26 Feb 2009, 13:33

Muchas gracias, pues esta tarde pasaré el ELISTARA

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 26 Feb 2009, 14:51

Tras ello posteenos el c:\infosat.txt resultante, gracias



saludos



ms, 26-2-2009

Avatar de Usuario
julibaga
Mensajes: 1275
Registrado: 08 Mar 2007, 05:45

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por julibaga » 26 Feb 2009, 16:52

Perdón por la intromisión, pero me gustaría saber si tienes dos discos duros en esa máquina. ¿?

Lo digo por lo siguiente. El error que te da, suele ser por que tienes dos discos duros como master.

En caso de que tengas dos discos duros, chequea eso y prueba a cambiarle el jumper al esclavo, como "esclavo" o prueba a quitar uno de los discos a ver si persiste el problema.
Saludos.
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 26 Feb 2009, 17:07

Estás perdonado Julibaga ! :lol: :lol: :lol:



Pero verás, con el AV ONLINE al seleccionar MY COMPUTER , se habria escaneado el otro disco duro, y no aparece mas que C:


[quote]Scan statistics

Files scanned 119447

Threat name 4

Infected objects 4

Suspicious objects 0

Duration of the scan 02:52:24



File name Threat name Threats count

C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\hmrg09\mssn.exe Infected: Trojan-Mailfinder.Win32.Blen.gn 1

C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\mdnk37\mdmm.exe Infected: not-a-virus:Downloader.Win32.Agent.bz 1

C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\mdnk38\mdmm.exe Infected: Backdoor.Win32.Agent.adty 1

C:\Documents and Settings\Administrador\Configuración local\Temp\~tmp\yinprs02\ctfmon.exe Infected: Trojan.Win32.Zapchast.sl 1[/quote]




De todas formas, ahi queda la pregunta, por si acaso se hiciera un lio con los dos configurados como MASTER... ???



saludos





ms, 26-2-2009

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 26 Feb 2009, 18:48

Ya hemos subido la version 18.10 del ELISTARA:



---v18.10-(26 de Febrero del 2009) (Muestras de (4)Desktoper "EXPLORERR e IEXPLORER.EXE", (3)SpamTool.Blen "CTFMON, MSSN y SVCHOST.EXE", MSAntiSpyware2009 "MSAS2009.EXE", (2)Malware.WaitService "ESENTUTL y DLLHST3G.EXE" y Malware.WINLOGON3)





Descargala, y tras probarla, posteanos el c:\infosat.txt resultante y, tras reiniciar, dinos si persiste alguna anomalia, o ya podemos dar por solucionado el Tema, gracias



saludos



ms, 26-2-2009

burgales76
Mensajes: 8
Registrado: 23 Feb 2009, 09:27

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por burgales76 » 26 Feb 2009, 23:28

Efectivamente sólo tengo un disco con dos particiones.



Aquí va el InfoSAT



[b]Thu Feb 26 21:19:09 2009

EliStartPage v18.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\DLLHST3G.EXE.Muestra EliStartPage v18.10

a "virus@satinfo.es". Gracias.

C:\WINDOWS\DLLHST3G.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IEUDINIT.EXE.Muestra EliStartPage v18.10

a "virus@satinfo.es". Gracias.

C:\WINDOWS\IEUDINIT.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MSTINIT.EXE.Muestra EliStartPage v18.10

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MSTINIT.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SESSMGR.EXE.Muestra EliStartPage v18.10

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SESSMGR.EXE --> Eliminado

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 26 21:19:58 2009

EliStartPage v18.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9557

Nº Total de Ficheros: 90899

Nº de Ficheros Analizados: 49717

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/b]






Parece que no se me ha vuelto a reiniciar. Me da buena espina :D ¡GRACIAS!

Avatar de Usuario
julibaga
Mensajes: 1275
Registrado: 08 Mar 2007, 05:45

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por julibaga » 26 Feb 2009, 23:42

Ojo!!
[quote="burgales76"]No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/quote]
por lo que te recomiendo actualices con un windows update. Es muy importante ese parche.
Saludos.
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 27 Feb 2009, 06:20

Sí, la falta del dichoso parche podría permitir la entrada del Conficker...: http://www.zonavirus.com/noticias/2009/conficker.asp



Y hemos aparcado unos cuantos sospechosos, pero recuerda que te pedimos que nos envies muestra de ellos para analizarlos y controlarlos:



Por favor, envienos una muestra del fichero

C:\Muestras\DLLHST3G.EXE.Muestra EliStartPage v18.10



Por favor, envienos una muestra del fichero

C:\Muestras\IEUDINIT.EXE.Muestra EliStartPage v18.10



Por favor, envienos una muestra del fichero

C:\Muestras\MSTINIT.EXE.Muestra EliStartPage v18.10



Por favor, envienos una muestra del fichero

C:\Muestras\SESSMGR.EXE.Muestra EliStartPage v18.10



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 27-2-2009

burgales76
Mensajes: 8
Registrado: 23 Feb 2009, 09:27

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por burgales76 » 27 Feb 2009, 08:36

[quote="julibaga"]Ojo!!
[quote="burgales76"]No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/quote]
por lo que te recomiendo actualices con un windows update. Es muy importante ese parche.[/quote]


Es que tengo un problema "jurídico" :oops: . Mi Windows no es original, y cuando doy al Windows Update, lo primero que me intenta instalar es el parche de Comprobación de Software Original de Windows, que ya me lo instaló una vez y tuve que quitarlo. Me he descargado también ese parche MS08-067 a mano de la página de Microsoft, pero cuando lo ejecuto, me da un error, no me acuerdo exactamente del mensaje, pero algo así como que no tengo permiso para ejecutar ese fichero.


[quote="msc hotline sat"]

pero recuerda que te pedimos que nos envies muestra de ellos para analizarlos y controlarlos[/quote]


Os envié un fichero muestras.rar con todos los ficheros de esa carpeta comprimidos, aunque si no los veis será que hubo algún error. Si no están, esta tarde ya os los envío desde el PC de casa.



Creo que el problema va bien, esta mañana el PC estaba vivo después de toda la noche encendido ¡un record!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Pantallazo azul MACHINE_CHECK_EXCEPTION y virus Backdoor-CMQ

Mensaje por msc hotline sat » 27 Feb 2009, 09:57

Efectivamente, se ha recibido esta mañana, y vemos que es mas de lo mismo, variantes del de ayer, que pasamos a controlar hoy con la nueva version 18.11 del ELISTARA (posiblemente enviastes las muestras despues de cerrar SATINFO ayer)



y lamentamos que nos digas que tu sistema operativo no es legal, ya que en este foro no se da soporte a sistemas o aplicaciones no legales.



Y recuerda que son mas de 10 millones los ordenadores infectados por el Conficker, y que sin el indicado parches MS08-067 eres vulnerable a dicho virus y otros que utilicen dicho RPC.



Y por lo antes comentado, damos por terminado este Tema y procedemos a cerrarlo



saludos



ms, 27-2-2009

REF SP/le+42.6-5.6

Cerrado

Volver a “Foro HijackThis - copia y pega tu log”