Backdoor.win32.Agent.aou (SOLUCIONADO)

taunbi1 · Mensaje por **taunbi1** » 01 Jun 2007, 13:55

Hola amigos:

es mi primer post en este foro, por tanto, me presento :D

ahora cambio de expresión :? , estoy asustadito, vereis os pongo lo que me pasa en el pc (es refundición de lo que he posteado en otro foro, espero se entienda) por si me podeis ayudar, ahí va:

llevo un par de días sin levantar cabeza con mi pc, vereis, de repente observo que al entrar a internet se me ralentiza el ordenador (casi ni se menea) y de repente, en el escritorio, empiezo a ver archivos de nombre parecido a este: __rar_00.268, en el resto de ficheros cambian los tres ultimos números (ojo, no se llevan el icono de winrar) que se van reproduciendo constantemente y que tienen una dimension considerable.

Me pongo a borrarlos y me dice que el __rar_00 esta siendo utilizado por otra persona o programa

el caso es que pulso ctrl+alt+supr y en el administrador de tareas me aparecen muchosssss procesos de este tipo rrrar.exe y zzzip.exe, me pongo a elimimar una a una esas tareas y cuando termino (al menos borro 20 o 30) ya puedo borrar los famosos archivos que me crecen en el escritorio como la mala hierba. Ahhhhh se me olvidaba, tambien se crean en el proceso antes descrito dos archivos con este nombre PKZ18.tmp y PKZ1A.tmp.

El caso es que, como digo, los borro, busco los ejecutable zzzip.exe y rrrar.exe, los borro, paso el antivirus kasperski, paso The Cleaner y parece que no detecta nada, por tanto yo tranquilo, pero hay amigo, reinicio, entro en internet y vuelta a empezar el rrrar.exe vuelve a estar a pleno rendimiento!!!!

Parece ser que estos archivos no me borran nada de lo que tendo en el pc, al menos no lo he notado, pero tengo miedo que se active ese proceso cuando no me de cuenta y al paso que crecen los virusitos me llenan el disco duro a toda pastilla y no se que consecuencias tendria eso.

Creo que esto se me ha metido con alguna descarga de emule.

alguien conoce este asunto y sabe como tratarlo?

TENGO MAS INFORMACION:

la cosa esta complicada, se activa el bicho tan pronto arranco el internet explorer (la primera vez que lo hago tras reiniciar) y ademas el kasperski me ha dicho como se llama:

Backdoor.win32.Agent.aou

le digo que lo borre y me dice que ha eliminado :

C/windows/setup.exe

pero.....no es cierto, el puñetero esta activo y bien activo, creando archivos y archivos .rar en mi escritorio, es mas prolifico que los conejos

cada vez mecuesta mas parar todos los rrrar.exe en el administrador de tareas!

Es curioso, porque una vez que he parado esos procesos y entro de nuevo en el i.e no se vuelve a activar......hasta que reinicio (al menos eso parece, no se si con tiempo encendido el pc se reactivará).

por cierto, ayer le pase el spybot, sin conexino a inet y me reparo 33 entradas invalidas, pero al reiniciar en modo normal......vuelta a empezar

Sabeis si esto tiene solución???

Mensaje por **msc hotline sat** » 01 Jun 2007, 14:13

No hay datos especificos, solo que se trata de un backdoor...

Como que dice que se le reproduce, envienos muestra del gusano o ficheros donde lo detecta y los analizaremos

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Evidentemente para empaquetar la muestra con password, desactive el antivirus residente o hagalo arrancando en modo seguro.

Por otro lado, por si se tratara de alguno de los que ya conocemos (el nombre de SETUP.EXE lo utilizan muchos), pruebe estas dos utilidades:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 1-06-2007

taunbi1 · Mensaje por **taunbi1** » 01 Jun 2007, 14:25

gracias msc, tan pronto salga del trabajo aplico las instrucciones que me facilita y por la tarde contesto.

muy agradecido

saludos

Mensaje por **msc hotline sat** » 01 Jun 2007, 14:55

Y diganos si tras eliminarlo, si desconecta internet y arranca en modo normal, se le regenera o ha de estar conectado a internet para ello ?

Asi sabremos si se trata de un downloader o de un dropper, y ya de paso, posteenos log del HJT y trataremos de eliminar claves especificas a ver si ganamos tiempo al tiempo:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 1-05-2007

taunbi1 · Mensaje por **taunbi1** » 01 Jun 2007, 16:55

Hola: aqui esta el log del Hijack, por cierto, no soy capaz de encontrar el link de descarga del elitriip y elistara, siento ser tan torpe, pero en los links no veo ningún sitio para descargarlo. Algún sitio alternativo ?

muchas gracias

Logfile of HijackThis v1.99.1

Scan saved at 16:00:28, on 01/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\Archivos de programa\Archivos comunes\firebird\bin\fbguard.exe

C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Archivos comunes\firebird\bin\fbserver.exe

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe

C:\Archivos de programa\Creative\Sound Blaster Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\WINDOWS\system32\SafeSignCertReg.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\Archivos de programa\Dell\Media Experience\PCMService.exe

C:\Archivos de programa\Dell AIO Printer A920\dlbkbmgr.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Dell AIO Printer A920\dlbkbmon.exe

C:\Archivos de programa\The Cleaner\tca.exe

C:\Archivos de programa\The Cleaner\tcm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\LVComS.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\GyD (Ibérica)\SafeSignStatus\SafeSignStatus.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/es/esp/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euskaltel.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.euro.dell.com/countries/es/esp/gen/default.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~3\Office12\GRA8E1~1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [IAAnotif] C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\Sound Blaster Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Archivos de programa\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd

O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Startup: dBpowerAMP.lnk = C:\Archivos de programa\Illustrate\dBpowerAMP\Amp.exe

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: StatusSafeSign.lnk = ?

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: TruePass LocalEPF 6,0,200,81 - https://tp.seg-social.es/TruePassSample/applets/entrusttruepassapplet-localepf.cab

O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - https://gestion.ehu.es/imagenes/ScriptX.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~3\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ZTTP - {6BC6453A-4029-4BC5-B04F-90457EC7E3D9} - (no file)

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Archivos de programa\Archivos comunes\firebird\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Archivos de programa\Archivos comunes\firebird\bin\fbserver.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

taunbi1 · Mensaje por **taunbi1** » 01 Jun 2007, 17:15

perdon! ya tengo las dos utilidades, en breve posteo el infosat.txt

:wink:

taunbi1 · Mensaje por **taunbi1** » 01 Jun 2007, 18:12

hola de nuevo:

aqui esta el contenido de infosat.txt

Fri Jun 01 16:24:24 2007

EliTriIP v3.61 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Jun 01 16:24:41 2007

EliTriIP v3.61 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\JAVIER\Escritorio\juegos.psp\antivirus\NORTON.360\Norton-360-Retail.exe --> Eliminado, KillAV.FX

Fri Jun 01 16:36:54 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

No tengo claro que haya concluido el proceso de la utilidad ElistarA porque la he tenido que cancelar, se quedaba en "restaurando registro de sistema"

Por cierto, no se si habremos conseguido algo con sus indicaciones porque ahora ya no me ocurre los de los archivos ___rar._ generandose en el escritorio, por tanto no puedo enviar la muestra solicitada. :oops: las anteriores, una vez que estaban en la papelera, las borraba yo inmediatamente.

En fín, espero sus comentarios.

gracias

Mensaje por **msc hotline sat** » 01 Jun 2007, 20:15

Pues vemos un nuevo sospechoso:

el fichero ctccw32.dll, posiblemente esté en la carpeta de sistema y es lanzado desde:

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd

y podría ser malware.

Envienos una muestra para analizar segun se indica:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 1-06-2007

Mensaje por **msc hotline sat** » 07 Jun 2007, 20:24

Pues efectivamente, es un backdoor que pasamos a controlar con la version que estamos haciendo del ELITRIIP, 3.63 que estará disponible a partir de mañana a las 20 h en esta web para evaluacion.

Si quiere, mientras puede renombrar el fichero de marras, ctccw32.dll a extension .VIR, y asi en el proximo reinicio ya no se pondrá en marcha.

Y mañana, con la nueva version indicada, tanto si es DLL como si es VIR sera eliminado y tambien su clave de carga

saludos

ms, 7-06-2007

spieluhr_x · Mensaje por **spieluhr_x** » 16 Jun 2007, 10:27

Hola, a mi me sucede algo igual que a taunbi1 sin embargo he detectado algunas cosas:

1.-A mi no me sale nada cada vez que reinicio y uso el explorer, es mas puedo usar la computadora normalmente y reiniciarla cuantas veces sean y jala bien. El problema es cuando ejecuto el archivo que aisle como el virus; efectivamente tiene como nombre setup.exe pero lo tengo dentro de un rar, con un tamaño de 108,792 kb

2.-Cuando lo ejecuto (por si se preguntan -Por que demonios lo ejecuta, si sabe que es un virus??- pues es porque queria averiguar mas de el y poder eliminarlo) me sale una ventana dicendo que mis "30 dias de evaluacion han terminado y que tengo que adquirir el producto" (eso sale en ingles) e inmediatamente empieza a realizar procesos que el kaspersky me detecta (dice que son procesos de enviar información: detected: riskware Hidden data sending Running process: C:\WINDOWS\system32\osa9.exe que como verán tiene un nombre legal, que pertenece a microsoft office) y en el kaspersky puedo ver la direccion a la que se intenta conectar, hasta guarde una copia de eso con las opciones del antivirus, pero no me fije en donde las guarda, asi que no he podido estudiar la dirección.

3.-Aunque le pongo en denegar los procesos que se ejecutan, la computadora sigue, y comienza a hacer lo que describieron arriba, crear archivos en el escritorio con nombres parecidos a __rar_01.xxx donde x es un numero. por consigueinte mi maquina se traba y tengo que apagarla de manera ruda :evil: lo que me he percatado de esta fase del proceso, es que el virus se copia en todos los archivos rar (y supongo que en los zip tambien) que encuentre en la carpeta donde se esta ejecutando, en mi caso tengo algunas carpetas rar y note que justo despues de este proceso, los archivos rar tienen agregado un ejecutable denominado setup.exe, con lo cual asegura su distribución.

Espero que esto les ayude a los conocedores, para que nos puedan decir como quitar este virus, que yo me supongo que lo tenemos, aunque no de muestras de vida como en mi caso, y es que un dato curioso, es que le paso el kaspersky al setup.exe y me dice que no supone amenaza :?

Pero bueno, si tienen alguna forma de eliminarlo del registro o algo así, por favor posteenlo

Mensaje por **msc hotline sat** » 16 Jun 2007, 17:07

Este SETUP...

Pruebe el ELITRIIP :

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Si no es un backdoor CMQ que controlará y eliminará o pedirá muestras, nos lo envia de todas formas (salvo que el ELITRIIP ya lo haya detectado y eliminado)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 16-06-2007

nota: y diganos si esta maquina está en red o sola, gracias

spieluhr_x · Mensaje por **spieluhr_x** » 17 Jun 2007, 05:03

Hola de nuevo, he aqui el contenido del log:

Sat Jun 16 16:51:28 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sat Jun 16 16:51:58 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\ctccw32.dll --> Eliminado, BackDoor.IRC.Mishko

Sat Jun 16 17:50:31 2007

EliStartPage v14.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Pero tengo una pregunta, esto me desinfecto la máquina??, porque el ejecutable que tengo aislado como virus, sigue ahi, no lo elimino.

Gracias por todo!

Mensaje por **lucl** » 17 Jun 2007, 08:19

Desde luego si te lo elimino,

C:\WINDOWS\system32\ctccw32.dll --> Eliminado, BackDoor.IRC.Mishko

enviales si quieres ese que tienes aislado para que lo analicen y asi ver si se trata de algo nuevo, porque solo se me ocurre que elitriip no haya accedido a esa zona por ser cosa del antivirus :?: aunque no lo creo asi. Lo envias y te quedas mas tranquilo salvo que Msc te diga otra cosa claro esta, :lol: saludos

Mensaje por **msc hotline sat** » 17 Jun 2007, 09:06

Sí, esto desinfecta la maquina de los malwares que controla cada una de nuestras aplicaciones, que no son antivirus sino complementos de los mismos...

Hay mas de 300.000 virus y troyanos pululando actualmente en Internet , y de ellos se ocupan los antivirus, pero siempre hay los mas nuevos, o variantes de los conocidos, que requieren tratamientos especiales y que a veces los antivirus no controlan, y para ellos hacemos las utilidades, basados en las muestras que recibimos, pero estas utilidades no sustituyen los antivirus, sino que los complementan

Así que si queda algun sospechoso no detectado, nos lo envian y lo analizamos, y si procede, implementaremos su control y eliminacion en nuestras utilidades:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 17-06-2007

malandrin2 · Mensaje por **malandrin2** » 17 Jun 2007, 19:29

El error de ctccw32 se produce a raíz de un setup.exe que mete la manzana podrida en el pc :(

El panda antivirus se carga el ctccw32, pero el gusano (o lo que sea) sigue vivo.

spieluhr_x · Mensaje por **spieluhr_x** » 17 Jun 2007, 20:11

Bueno, pues muchas gracias por todo, ahora estoy un poco mas tranquilo!!

Por cierto su página es buena, asi que estare visitandolos por aqui muy frecuentemente :)

Mensaje por **msc hotline sat** » 17 Jun 2007, 22:10

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 17 de Junio de 2007

Backdoor.win32.Agent.aou (SOLUCIONADO)

Backdoor.win32.Agent.aou (SOLUCIONADO)

Algo similar....

ctccw32.dll y setup.exe