otra vez me ataca un fake pero mas complicado de sacar *****

[edumotor]

hola agradeceria mucho una colabracion para sacarme de encima este fake aca pego lo que muestra el hijack this pero aunque elimine algunos sospechosos no arregla nada

Logfile of HijackThis v1.99.1
Scan saved at 10:05:33 p.m., on 22/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\Archivos de programa\MindSoft\MindSoft Utilities XP 8.1\FreeRAM.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\winavxx.exe
C:\Archivos de programa\Hamachi\hamachi.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Archivos de programa\Multi_Media\tbMul0.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MindSoft FreeRAM] C:\Archivos de programa\MindSoft\MindSoft Utilities XP 8.1\FreeRAM.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: autorun.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: SYSTRAN: &Borrar Caché de Traducción - C:\Archivos de programa\Systran\Premium\menuClearCache.html
O8 - Extra context menu item: SYSTRAN: &Opciones - C:\Archivos de programa\Systran\Premium\menuConfigure.html
O8 - Extra context menu item: SYSTRAN: &Registrar - C:\Archivos de programa\Systran\Premium\menuRegister.html
O8 - Extra context menu item: SYSTRAN: &Traducir - C:\Archivos de programa\Systran\Premium\menuTranslate.html
O8 - Extra context menu item: SYSTRAN: Buscar &Actualizaciones - C:\Archivos de programa\Systran\Premium\menuUpdate.html
O8 - Extra context menu item: SYSTRAN: Traducir Todos los &Marcos - C:\Archivos de programa\Systran\Premium\menuTranslateAll.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: @sysiecom.dll,-2103 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Archivos de programa\Systran\Premium\MenuTranslateAll.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2105 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Archivos de programa\Systran\Premium\MenuTranslateAll.html
O9 - Extra button: @sysiecom.dll,-2115 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Archivos de programa\Systran\Premium\MenuConfigure.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2117 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Archivos de programa\Systran\Premium\MenuConfigure.html
O9 - Extra button: (no name) - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Archivos de programa\Systran\Premium\MenuClearCache.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2108 - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Archivos de programa\Systran\Premium\MenuClearCache.html
O9 - Extra button: (no name) - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Archivos de programa\Systran\Premium\MenuRegister.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2111 - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Archivos de programa\Systran\Premium\MenuRegister.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-LA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE1C5BCF-8805-4492-9BB8-42DFBF6176A3}: NameServer = 200.75.51.132 200.75.51.133
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - E:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

agradezco cualquier ayuda

[msc hotline sat]

Sí, ya tenemos varios casos de este nuevo troyano no controlado todavía:

Renombra estos ficheros a extension .VIR :
C:\WINDOWS\system32\winavxx.exe
C:\WINDOWS\system32\printer.exe
system.exe
autorun.exe

y elimina estas claves:
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe Extremely nasty Unknown application.
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 23-08-2007

[edumotor]

hola agradezco nuevamente la ayuda antes de recibir respuesta ejecute el elistara y relizo esta operacion:

Wed Aug 22 21:47:04 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Solid Edge V16\Custom\GandT\GANDT.EXE --> Eliminado, DollarRevenue (dldr)

esto aparte de que el treaht ya habia sido eliminado desde virus vault por que cuando se descargo el malware el avg me notifico de inmediato pero veo que no fue muy efectivo;
luego de eso mire de nuevo en hijack this y note la presencia de los wnavxx.exe pero los otros no los toque sin embargo al rato de esto se desaparecio el fake claro que yo elimine el resto de elementosdesde hijhack y use el elishell que muestra esto:
Wed Aug 22 22:38:36 2007
EliShell v1.0 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------

Código: Seleccionar todo

Lista de Acciones:
El "Shell" Anterior a la Limpieza era:
"EXPLORER.EXE C:\WINDOWS\SYSTEM32\PRINTER.EXE"

ahora veo que no me dijo ninguna observacion del GANT.exe lo que me hace pensar en que era otro malware o que no estaba informado si es asi recomiendo revisar este archivo

gracias por la atencion y la ayuda

saludos

[edumotor]

se me bloqueo la opcion de panel de control... dice que esta restringida la operacion por el admon del sistema( osea yo)

agradezco una luz sobre esto gracias



saludes

[msc hotline sat]

Este GANT.EXE no figura en el log del HJT, pero si te parece sospechoso envianoslo tambien para analizar, como los otros que te hemos pedido.

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 23-08-2007

[edumotor]

como exprese antes el GANT:exe ya fue eliminado de mi pc por el elistara y el antivirus residente si no con gusto lo enviaba



agradesco cualquier respuesta sobre el bloque del panel de control como lo reactivo?



gracias saludos

[msc hotline sat]

Con las utilidades vamos restaurando las claves que modifican los virus, lo que pasa es que en tu caso es un nuevo especimen que hemos de ver lo que modifica para deshacer los cambios

Cuando recibamos las muestras las analizaremos y editaremos nueva version de las mismas que ya lo haga

Mientras, puedes probar el ELIRESTR.VBS, con la que restauramos todas las restricciones hasta ahora conocidas. Pruebalo en modo seguro, para que ningun antivirus te incordie, dado que por la naturaleza y claves que modifica, algun antivirus detecta falsos positivos.

ELIRESTR: http://www.zonavirus.com/descargas/elirestr.asp

Y nos cuentas el resultado, gracias

saludos
ms, 23-08-2007

[edumotor]

hola como estamos... espero bien



bueno informo que intente arreglar las restricciones pero no dio fruto ninguno de mis metodos; en fin lo ultimo que hice fue buscar en las carpetas vulnerables y hay en system 32 encontre que los programas que hacen parte del malware estaban hay de nuevo intactos; bueno igual ordene los archivos system 32 por fecha y encontre que hay un dll que viene con este programa y un paquete de opciones de configuracion voy a subir estas muestras (el printer; el winavxx y la dll y el paquete de configuracion) ojala les sirvan para hayar una solucion a este malware igual seguire investigando como revertir sus efectos por que aparte tambien bloquea el acceso a propiedades del pc y quien sabe que mas elementos importantes del sistema operativo



gracias por su atencion.



:idea: :idea:

[lucl]

pues si las subes a virustotal iras adelantando , como creo que dices, pero ademas envianos muestras para que las analicemos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y mira de renombrarlas a .vir si no lo has echo ya, saludos

[edumotor]

hola ya las envie pero no las renombre a .vir el archivo lo llame malware y esta comprimido en winrar



guarde unas copias de los malware y las comprime el resto lo elimine espero que hayan llegado si no avisame por favor para reenviar



gracias saludos :lol: 8)

[msc hotline sat]

Para ganar tiempo,. como bien indica lucl, subelas al Virus Total y nos posteas el resultado, gracias:



https://www.virustotal.com/es/



saludos



ms, 23-08-2007

[edumotor]

ok ya lo intente pero al parecer sucede algo con el servidor por que no accede a la pag igual mañana intento enviarlas



gracias por colaborarme en cuanto tenga resultado posteare :lol: 8)

[edumotor]

hola otra vez yo con el mismo problema de las restricciones eh tratado de subir la muestra a virustotal pero no puedo entrar a la pagina nunca se encuentra el servidor agradeceria saber si ya han encontrado alguna solucion para este malware



muchas gracias saludos 8)

[msc hotline sat]

SATINFO está cerrado por vacaciones y hasta el lunes no volvemos al trabajo, por ello no podremos analizar nada hasta entonces, y por esto le indicaba que lo subiera al VirusTotal, para adelantar informacion.



Pero yo estoy subiendo ficheros que descargo y en maximo 5 minutos tengo el resultado, pruebe de nuevo



https://www.virustotal.com/es/



y posteenos el contenido para saber lo que es y poder ayudarle



saludos



ms, 24-08-2007

[msc hotline sat]

Para mas informacion acerca del WINAVXX.EXE: http://www.prevx.com/filenames/X9386026 ... X.EXE.html lo cual se resume para los interesados al respecto.

saludos
ms, 24-08-2007

[msc hotline sat]

Con la nueva version del ELISTARA 14.51 YA DISPONIBLE EN ESTA WEB para evaluacion, se controla este virus, descarguela y pruebela, http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 28-08-2007

[msc hotline sat]

Otra muestra que nos ha enviado HADJAJR.INI, por el hecho de cargarla en un APPINIT el ELISTARA la debe eliminar

Como que con la 14.51 del ELISTARA ya controlamos el WINAVXX, pruebelo, http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 28-08-2007