autodialing - posible virus

Responder
rankrb
Mensajes: 22
Registrado: 26 Mar 2007, 18:27

autodialing - posible virus

Mensaje por rankrb » 31 Jul 2007, 08:33

Hola amigos.



Tengo un problema algo extraño. Aproximadamente una hora después de arrancar el PC, veo que salta el autodialing para conectarse a internet. (tengo conexión vía modem). Salta dos veces para intentar conectarse a las direcciones:

http://www.if.ee

http://www.starman.ee



(como indico el los gráficos que adjunto).

El problema, es que si hago la conexión a internet, sin que entre en ninguna página, veo que empieza a enviar y recibir datos, Hasta que llega un momento en el que es imposible acceder a ninguna página o descargar nada. Supongo que algo está ejecutandose y a saber qué está haciendo.



No he detectado nada con el antivirus. (aunque lo tengo algo desactualizado). He observado que en el taskmanager me aparece un proceso sospechoso, el irdvxc.exe. No puedo eliminarlo y si busco referencias en el registro, hay una que se refiere a al programa del mismo nombre ubicado en el /system32, pero ahí no está, (ni en ningún otro directorio) sin embargo se está ejecutando.



No sé por donde mirar más.



Os ajunto el resultado del HijackThis. Gracias de antemano, un saludo.



Logfile of HijackThis v1.99.1

Scan saved at 16:58:25, on 30/07/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINNT\system32\irdvxc.exe

C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\carpserv.exe

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Compuware\QALoad\plgui.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Microsoft Office\Office\1033\msoffice.exe

C:\WINNT\system32\wuauclt.exe

C:\Program Files\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Player Agent.lnk = C:\Program Files\Compuware\QALoad\plgui.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: McAfeeFramework - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINNT\system32\irdvxc.exe" /service (file missing)

O23 - Service: CA Backup Agent for Open Files Service (OpenFileAgent) - Computer Associates International, Inc. - C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
Adjuntos
graf1.gif
(24.03 KiB) Descargado 674 veces
graf2.gif
(24.03 KiB) Descargado 674 veces
graf3.gif
(28.58 KiB) Descargado 675 veces

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 31 Jul 2007, 08:53

Si, posiblemente el irdvxc.exe es un backdoor de IRC (al menos hay uno con dicho nombre)



De entrada renombra dicho fichero a extension .VIR para que tras reiniciar ya no se ponga en marcha y asi puedas eliminar esta clave:



O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINNT\system32\irdvxc.exe" /service (file missing)





Tras ello envianos dicho fichero para analizar, por si fuera una variante no conocida:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y cuentanos el resultado, especialmente lo de si al cabo de una hora intenta conectar con algun sitio, que pudiera haber mas de uno ...



En tal caso, pruebe el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 31-07-2007

rankrb
Mensajes: 22
Registrado: 26 Mar 2007, 18:27

Mensaje por rankrb » 31 Jul 2007, 17:07

Hola.

He eliminado dicha entrada con el hijack, pero al rearrancar aún estaba ahí.

He pasado el elistara, pero aparentemente no ha encontradod nada (adjunto resultado).

Lo que no he podido hacer es renombrar el fichero irdvxc.exe porque no le he visto por ningún sitio (mirando ocultos y demás). Sin embargo en el taskmanager aparece ejecutándose.



Adjunto unos graficos con los services que están activos por si hay alguno sospechoso.



Saludos y gracias.



Tue Jul 31 16:34:44 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 31 16:35:19 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\
Adjuntos
graa.gif
(153.31 KiB) Descargado 325 veces
grab.gif
(153.99 KiB) Descargado 325 veces

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 31 Jul 2007, 17:18

Puede tener funciones de RootKit y ocultarse cuando está en uso.



Lo mejor que puedes hacer es arrancar en CONSOLA DE RECUPERACION, con el CD de instalacion (pulsar R tras arrancar con dicho CD) y asi podrás llegar a este fichero y renombrarlo a extension .VIR, de forma que en el siguiente arranque no podrá ponerse en uso y ya no se ocultará, y podrás eliminar la clave y enviarnos dicho fichero, lo cual es muy importante para poder controlarlo en el futuro.



Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y tras ello, lanza un windowsupdate, que te faltan muchos parches !!!



saludos



ms, 31-07-2007

rankrb
Mensajes: 22
Registrado: 26 Mar 2007, 18:27

Mensaje por rankrb » 01 Ago 2007, 17:07

Hola.

Al final lo localicé y lo pude renombrar, aunque la entrada del registro continúa ahí. De cualquier forma ya no hay tráfico de datos en el modem en el momento de conectarme ni salta el autodialing.



Os adjunto el fichero en un zip (passwd=VIRUS). Por cierto, está marcado como archivo de sistema.



Por otro lado, perdonad pero querería plantearos un pequeña cuestión. Para el tipo de conexión que tengo (via Modem) y para el uso que le doY (ver correo, periódicos y poco más) ¿Existe alguna protección sencilla, configurando el internet explorer o con un pequeño software a modo de cortafuegos por ejemplo, para evitar la entrada de estos virus tan maliciosos?. Ahora tengo el antivirus algo desactualizado, al igual que es S.O. pero cuando lo tenía al día también he tenido infecciones. El antivirus los detecta pero no los para.



Saludos y muchas gracias por todo.



______________________________________



INTERCEPTADO Y ELIMINADO ADJUNTO



NUNCA ENVIE VIRUS AL FORO, LOS PUEDE BAJAR CUALQUIERA Y ESTE FORO NO ES PARA DISTRIBUCION DE VIRUS !!!





[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



_____________________________________



.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 01 Ago 2007, 18:08

NUNCA ENVIE VIRUS AL FORO, LOS PUEDE BAJAR CUALQUIERA !!!



Envie el ZIP encriptado como se le indica:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ms.

rankrb
Mensajes: 22
Registrado: 26 Mar 2007, 18:27

Mensaje por rankrb » 01 Ago 2007, 20:43

Lo siento.

Ya lo he mandado por correo.



Saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 02 Ago 2007, 08:48

La muestra resulta tener una extension .PUS ??? pero por la cabecera parece ser un .EXE, estamos en ello...



Bueno pues resulta ser un W32/Mallan.T, variante del Rahac, que podras eliminar con [url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]



Para ello arranca en modo seguro con funciones de red y lanzalo, lo detectara y eliminará.



Comentanos el resultado,. gracias



saludos



ms, 2-08-2007

rankrb
Mensajes: 22
Registrado: 26 Mar 2007, 18:27

Mensaje por rankrb » 02 Ago 2007, 10:05

Gracias. Lo de la extensión fue un error mío. En relidad es un .exe.

Hasta la semana que viene no podré intentar eliminarlo. En cuanto lo haga os comento resultados.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 02 Ago 2007, 10:14

Pues dejamos el Tema abierto pendiente de tus noticias



saludos



ms, 2-08-2007

rankrb
Mensajes: 22
Registrado: 26 Mar 2007, 18:27

Mensaje por rankrb » 10 Ago 2007, 20:08

Hola.

Al pasar el antivirus on-line he obtenido el error que adjunto. Supongo que es un problema con el navegador. Voy a ver lo que es. No obstante, ya que al renombrar el fichero del virus, parece que ya no hay problema (salvo por las entradas del registro que no he conseguido eliminar), si os parece, podemos cerrar el caso.



Saludos.
Adjuntos
err.jpg
(92.03 KiB) Descargado 524 veces

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 10 Ago 2007, 20:17

hola, bueno lo del antivirus online a mi a veces tambien me ha dado ese error, pero otras me ha funcionado, y sobre lo de cerrarlo el post, si crees que tu pc va bien, estupendo, no obstante estan de vacaciones asi que se puede quedar asi pendiente de cerrar y si vuelves a tener el mismo problema pues lo retomas, prueba el online otra vez a ver que tal, saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 06 Sep 2007, 18:51

Bueno, pues recibidos ficheros IRDVXC.PUS pero con contenido EXE, se ha tenido que implementar en el ELITRIIP la exploracion para este tipo de ficheros, con extension .PUS



Resulta ser un Backdoor RBOT, que hemos implementado en el ELITRIIP de hoy 3.85





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 6-09-2007

rankrb
Mensajes: 22
Registrado: 26 Mar 2007, 18:27

Mensaje por rankrb » 12 Sep 2007, 09:13

Hola.

Perdón por la tardanza.

Os ajunto el resultado del ELITRIIP.16092007

Sólo comentadros que el tema de la extensión '.pus' fue un error mío. Una de las primeras pruebas que hice fue la renombrar el fichero sospechoso para probar que no se ejecutase. Puse esa extensión y luego os lo mandé sin dejarle su extensión original. Es un fichero .exe.



Saludos y gracias.





Tue Sep 11 19:21:20 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Sep 11 19:21:52 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Drivers\D400\Bluetooth Drivers\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Drivers\D400\Smartcard Drivers\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Sep 2007, 09:38

Ya ni restos del RBOT en cuestion, y cuando puedas le pasas el AV ONLINE que deberá funcionar en cuanto tengas conexion con su pagina web para descargarlo.



Tras ello cuentanos el resultado, asi como si tienes alguna incidencia que comentar lo haces, gracias



saludos



ms, 12-09-2007

Responder

Volver a “Foro Virus - Cuentanos tu problema”