¿Spyware?

logan5 · Mensaje por **logan5** » 01 Feb 2005, 00:28

WUAMPD.EXE solicita conexión de salida con ddos-at1.ath.cx por el puerto 6667, no se si es un spyware,a continuación está mi log, he marcado con un * los que yo veo sospechosos. Tener en cuenta que tengo instalado en el inicio un antivirus, un cortafuegos (outpost) y un programa anti-spam (k9)...

Logfile of HijackThis v1.98.2

Scan saved at 23:37:17, on 31/01/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

* C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\xcommsvr.exe

* C:\WINDOWS\System32\wuampd.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\KeirNet\K9\K9.exe

C:\Archivos de programa\SOFTWIN\BDProf\mgui.exe

C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe

D:\Programas\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

* O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe

* O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

* O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe

O4 - Startup: Launch K9.lnk = C:\Archivos de programa\KeirNet\K9\K9.exe

O4 - Startup: Murphy Shield.lnk = ?

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105326783324

O17 - HKLM\System\CCS\Services\Tcpip\..\{40CA0D1C-3A6C-4B96-A2E5-CCDED7201AD4}: NameServer = 62.81.0.34 62.81.16.130

caito · Mensaje por **caito** » 01 Feb 2005, 00:52

Baja la última version del Hijack:

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Desactiva Restaurar sistema, arranca en modo seguro.

Cierra todas las aplicaciones.

Lanza el Hijack y dale a fix a estas :

C:\WINDOWS\System32\wuampd.exe

O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe

O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe

O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Borra archivos Temp. de Internet,temp. de Sistema,cookies,historial y vacía la papelera.

elimina si existe este :

C:\WINDOWS\System32\wuampd.exe

Pasa el adAware Se ( actualizado )

reinicia normal y pega un nuevo log.

Salu2

caito

Mensaje por **maura63** » 01 Feb 2005, 08:59

Elimina tabien estas, y comprueba que se muestran archivos y carpetas ocultos

O4 - Startup: Launch K9.lnk = C:\Archivos de programa\KeirNet\K9\K9.exe

O4 - Startup: Murphy Shield.lnk = ?

Saludos

maura63

Mensaje por **msc hotline sat** » 01 Feb 2005, 09:49

A titulo de informacion, este wuampd.exe es creado por gusano RBOT o Gaobot, segun indica TREND en la siguiente descripcion:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.UM

Sugiero que además de lo indicado, se lance un antivirus actualizado para eliminar el posible virus que lo creó.

Si además este fichero se tiene en el ordenador en cuestion, enviadnoslo a zonavirus@satinfo.es para controlarlo en proximas versiones de ELIRPCA / ELILSA, ya que este bicho entra por dichos agujeros de seguridad.

Consecuentemente tambien, sugiero lanzar windowsupdate en esta máquina, por posible deficit de parches (tiene XP SP1 y no se sabe si tiene los parches correspondientes, como sería el caso si tuviera SP2 instalado)

saludos

ms, 1-02-2005

saludos

ms, 1-02-2005

caito · Mensaje por **caito** » 01 Feb 2005, 16:01

Una aclaración:

Estas no te recomendé eliminarlas debido a :

O4 - Startup: Launch K9.lnk = C:\Archivos de programa\KeirNet\K9\K9.exe> dices que es un programa para evitar los pop ups

O4 - Startup: Murphy Shield.lnk = ?> es del Bit defender

Salu2

Caito

isgase · Mensaje por **isgase** » 01 Feb 2005, 17:06

hola soy un nuevo usuario de internet, llevo apenas 3 semanas y instalado en mi pc el antivirus norton, el cual me detecta dos virus que no puede eliminar, son " WUAMPD" Y "SVHOST" , ambos se encuentran en la carpeta c:/windows/system32.

si alguien me puede decir como eliminarlos lo agradeceria. un saludo a todos

gracias

Mensaje por **msc hotline sat** » 01 Feb 2005, 17:27

Para isgase:

para el wuampd32.exe tienes en este Tema lo necesario, y para el SVHOST, mira en:

https://foros.zonavirus.com/viewtopic.php?t=5279&highlight=svhost

Ta ves que utilizando el buscador de este foro, puedes obtener muchas veces respuesta ONLINE a los problemas, sin perdida de tiempo. Te aconseho su uso

saludos

ms, 1-02-2005

caito · Mensaje por **caito** » 01 Feb 2005, 17:31

Empieza por el principio :

Antivirus on line :

https://www.virustotal.com/es/

Programa antispy:

http://www.majorgeeks.com/download506.html

Recuerda que si usas XP o ME debes deshabilitar Restaurar sistema antes de limpiar la pc, y si usas XP y tienes ADSL al hacer el scan on line arranca en modo seguro "con funciones de red".

Haz eso y luego esto :

Descarga el programa HijackThis 1.99 y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Salu2

Caito

isgase · Mensaje por **isgase** » 02 Feb 2005, 10:11

hola de nuevo a todos, he estado intentando eliminar el virus wuampd pero no lo consigo, he seguido todos los pasos pero cuando llego al final el de eliminar la carpeta, me dice que es imposible eliminar dicha carpeta. lo he localizado con el hjack y he realizado los pasos.

me podríais ayudar?.

un saludo a todos

gracias

:cry:

isgase · Mensaje por **isgase** » 02 Feb 2005, 10:22

he estado indagando mas y el antivirus me dice lo siguiente: "el archivo C/windows/system32/wuampd.exe esta infectado por el virus W32.Spybot.Worm.

como lo podria eliminar?

necesito ayuda, me sale la ventana del antivirus y no la puedo eliminar el me dice que ha detectado un virus y que no se puede eliminar. ¿que puedo hacer?.

gracias por responderme antes a: "amsc hotline" y "caito".

espero que me podais ayudar en esta ocasion

un saludo a todos.

:cry:

Mensaje por **maura63** » 02 Feb 2005, 10:37

Comprueba conectando via windows update que no te falten parches por instalar. De ser asi hazlo y luego vuelve a pasar tu antivirus.

Saludos

maura63

logan5 · Mensaje por **logan5** » 03 Feb 2005, 07:35

Hola de nuevo, ya hice los deberes ;-). Gracias por tu respuesta, lo cierto es que eliminé el archivo .exe en modo seguro, actualicé el Windows y pasé el AdAware que me eliminó tres spiwares, luego pasé mi viejo BitDefender pero no detectó nothing! Y con el sobretodopoderoso HijackThis me cepillé lo que me indicaste, te pego a continuación mi nuevo log a ver que encuentras de sospechoso, me preocupa si sigue ahí el virus que lo crea...

¿Por cierto, esta entrada no me sirve de nada verdad? (Service: Macromedia Licensing Service...)

--------

Logfile of HijackThis v1.99.0

Scan saved at 7:23:11, on 03/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\xcommsvr.exe

C:\WINDOWS\System32\ctfmon.exe

D:\Programas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Launch K9.lnk = C:\Archivos de programa\KeirNet\K9\K9.exe

O4 - Startup: Murphy Shield.lnk = ?

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105326783324

O23 - Service: Avx Init Serv - Unknown - C:\Archivos de programa\SOFTWIN\BDProf\avxinit.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Macromedia Licensing Service - Unknown - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Outpost Firewall Service - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: AVX Communicator - Softwin - C:\WINDOWS\system32\xcommsvr.exe

logan5 · Mensaje por **logan5** » 03 Feb 2005, 09:19

Se me olvidaba, soy el del log de justo arriba, el firewall me pilla un tal CVCHOST.EXE intentando establecer una conexión de entrada con servicio remoto: DWM-200.go.retevision.es y una dirección remota TCP:1664

A veces no me va el Internet si lo bloqueo, ahora sin embargo estoy navegando y no ha dado señales de vida (no está bloqueado pero parece que tampoco operativo).

Es algo de Windows o mi conexión ADSL con Wanadoo? O tal vez otra cosa!

Saludos a todos los de este foro!

Mensaje por **msc hotline sat** » 03 Feb 2005, 10:20

Para los gusanos RBOT que generan el wuampd.exe, hemos creado la utilidad ELISLUTA que los controla y elimina.

---v6.3---( 2 de Febrero del 2005) (para RBot.UM de Trend "WUAMPD.EXE" y SdBot.J "Msoft.exe" según muestra)

Ya la hemos subido a esta web

Y sobre el CVCHOST.EXE, vemos alguna informaicon en Internet de algo que se instala en el WINDIR, pero no se dice qué es., si bien no pinta nada bueno. Sugerimos moverlo a un disquete, fuera del ordenador, y enviarnos una muestra de dicho fichero a zonavirus@satinfo.es anexada a un mail cuyo texto sea un copiar y pegar de este post, y le contestaremos como respuesta a este Tema

saludos

ms, 3-02-2005

Mensaje por **maura63** » 03 Feb 2005, 10:37

Por cierto, tu BITDEFENDER lo tienes residente y actualizado, pues me da la impresion de que no . Compruebalo.

Saludos

maura63

Mensaje por **msc hotline sat** » 03 Feb 2005, 13:09

Podría ser, Maura63, pero aunque lo estuviera, podría no cazar estos dos ficheros. El CVCHOST no lo conoce ni McAfee y el otro, WUAMPD:EXE es nuevo de ayer, y lo controlamos con el ELISLUTA de hoy, y McAfee no indica nada sobre dicho fichero, pero al estar ya controlado comno RBOT, ya se disponen de muestras en el VIRUSLIST a quienes todos los asociados enviamos muestras de lo nuevo detectado, para que puedan controlarlo todos los antivirus..

Por eso pedimos muestrade este CVCHOST, que hasta el nombre tiene sospechoso, por ser parecido y poder confuncirse por ello con el SVCHOST del sistema, nombre que tantos virus aprovechan para sus gusanos, con el mismo guardandolo en otra carpeta i cambiandole una letra, como podría ser este caso.

saludos

ms, 3-02-2005.

logan5 · Mensaje por **logan5** » 04 Feb 2005, 04:52

________________

intervencion de administrador del foro:

Se entiende que por confusion, este forero ofrecía informacion erronea que se ha eliminado para evitar malos entendidos a posteriores lectores. No hay que confuncir CVCHOST.EXE con SVCHOST.EXE !!!

Se agradece a Caito el comentario en posterior post, al haberse dado cuenta de dicho comentario erroneo.

msc.

________________

ELISLUTA lo he buscado en descargas de esta Web pero parece no haber nada disponible en este momento, si me pasais un link.

Por último comentar que tengo una versión antigua del BitDefender y no se si está bien actualizado, el tema es que cualquier antivirus moderno ralentiza demasiado a mi PII a 266 Mhz. ¿Conocen un antivirus freeware, poco pesado y eficaz?

Gracias

Mensaje por **maura63** » 04 Feb 2005, 08:51

Prueba de este enlace

https://foros.zonavirus.com/viewtopic.php?p=83#83

Saludos

maura63

caito · Mensaje por **caito** » 04 Feb 2005, 11:54

Para logan5:

Creo que hay una confusión con los nombres :

en tu post dices :"CVCHOST es legítimo del XP " lo cual no es correcto, de existir ese archivo debes eliminarlo .

El enlace que dices que tiene que ver con tu problema no me parece acertado.

En cuanto a av que no ralentizen la pc (gratis ):

http://www.grisoft.com

http://www.avast.com

Salu2

Caito

Mensaje por **msc hotline sat** » 04 Feb 2005, 12:25

gracias Caito.

Se ha intervenido en el post al respecto, eliminando comentarios erroneos, que hubieran podido confuncir a posteriores lectores.

saludos

ms, 4-02-2005

¿Spyware?

¿Spyware?

virus wuampd y svhost

virus wuampd

virus wuampd

Wuampd

CVCHOST.EXE

Voy a tirar el PC por la ventana y me meto a monje ;-)