VIRUS p0017_jpg.zip URGENTE por MSN

[lorendas]

me llego un virus por el msn me lo manda un contato y es para descargar una supuesta foto zipeada, ahora lo tengo yo y automaticamente le envia a todo mis contactos miles de mensajes para que descarguen ese archivo como lo saco de mi maquina???????????????????????



Gracias :cry:

[msc hotline sat]

Pues envianos dicho fichero para analizar, ya qiue es uno de ultimisima hora (de hoy) que aun no hemos recibido muestra





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Aparte posteanos log del HJT para ver si se ve algo:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 23-08-2007

[lorendas]

Logfile of HijackThis v1.99.1

Scan saved at 18:06:14, on 23/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\Intel\IDU\iptray.exe

C:\Archivos de programa\Intel\IDU\awtray.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\VM303_STI.EXE

C:\WINDOWS\rcimlby.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Logitech\iTouch\kbdtray.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Extensis\Suitcase 9.2\Suitcase.exe

C:\Archivos de programa\Intel\IDU\awServ.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Skype\Plugin Manager\SkypePM.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Eset\nod32.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Lorena\Escritorio\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Nueva carpeta\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Archivos de programa\WS_FTP Pro\wsbho2k0.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ipTray.exe] "C:\Archivos de programa\Intel\IDU\iptray.exe"

O4 - HKLM\..\Run: [awTray.exe] "C:\Archivos de programa\Intel\IDU\awtray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=082907 serial=DR12WEX-1504397-KTY lang=ES

O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [rcimlby.exe] C:\WINDOWS\rcimlby.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Suitcase Startup.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lorendas.spaces.live.com/PhotoUpload/MsnPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AdminWorks Agent X6 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Archivos de programa\Intel\IDU\awServ.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

[lgfreter]

[b]Este virus borro el norton de la pc!!!



URGENTE AYUDA!!![/b]

[msc hotline sat]

Bueno pues observamos que la aplicacion RCIMBLY.EXE (supuestamente Microsoft Remote Assistance) está lanzada desde C:\WINDOWS\rcimlby.exe por lo que es muy sospechoso, ya que la original de MICROSOFT se encuentra en la carpeta de sistema.



Renombre la extension de este fichero :



C:\WINDOWS\rcimlby.exe



a *.VIR y reinicie con lo que la aplicacion ya no se pondrá en marcha, y nos envia para analizar dicho fichero, pero fijese que sea este de C:\windows\ , no el de C:\windows\system32\ que lo tenemos todos :wink:



Lo analizaremos e implementaremos su control y eliminacion, si procede, en la proxima version de nuestras utilidades.



Mientras, paralelamente. podría subir este mismo fichero al VirusTotal y postearnos el resultado del analisis, a ver si algun antivirus ya detecta algo:



https://www.virustotal.com/es/



A la espera de sus noticias, reciba saludos



ms, 24-08-2007

[msc hotline sat]

y para lgfreter, en el log del autor del Tema el NOD32 sigue instalado, no sé si desactivado o no, pero no ha sido borrado



En su caso, con Norton, habría que ver si está o no, pero no creo que opere diferente en uno que en otro, simplemente lo debe haber desactivado como hacen muchos virus, aunque posiblemente de poco le serviría el Norton si es el mismo virus, ya que dudo que lo conozca todavía.



Para no interferir con este Tema, le ruego que abra otro en el apartado del HJT y nos postee allí el log , y veremos si coincide lo del supuestamente malicioso rcimlby.exe y si existe o no el Norton en su ordenador, y le atenderemos gustosamente.



saludos



ms, 24-08-2007

[lorendas]

Análisis del archivo rcimlby.vir recibido el 24.08.2007 15:06:37 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO





Resultado: 13/32 (40.63%)







Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.8.22.0 2007.08.24 -

AntiVir 7.4.1.63 2007.08.24 Worm/Sdbot.430080.4

Authentium 4.93.8 2007.08.23 -

Avast 4.7.1029.0 2007.08.24 -

AVG 7.5.0.484 2007.08.23 -

BitDefender 7.2 2007.08.24 Trojan.Agent.ABNU

CAT-QuickHeal 9.00 2007.08.23 Backdoor.SdBot.gen

ClamAV 0.91 2007.08.24 -

DrWeb 4.33 2007.08.24 -

eSafe 7.0.15.0 2007.08.23 -

eTrust-Vet 31.1.5084 2007.08.24 Win32/Pushbot.O

Ewido 4.0 2007.08.24 -

FileAdvisor 1 2007.08.24 -

Fortinet 2.91.0.0 2007.08.24 -

F-Prot 4.3.2.48 2007.08.23 -

F-Secure 6.70.13030.0 2007.08.24 Backdoor.Win32.SdBot.bmc

Ikarus T3.1.1.12 2007.08.24 Generic.Sdbot

Kaspersky 4.0.2.24 2007.08.24 Backdoor.Win32.SdBot.bmc

McAfee 5104 2007.08.23 -

Microsoft 1.2803 2007.08.24 -

NOD32v2 2482 2007.08.24 IRC/SdBot

Norman 5.80.02 2007.08.24 -

Panda 9.0.0.4 2007.08.24 -

Prevx1 V2 2007.08.24 Generic.Malware

Rising 19.37.42.00 2007.08.24 -

Sophos 4.20.0 2007.08.24 W32/Sdbot-DHK

Sunbelt 2.2.907.0 2007.08.24 VIPRE.Suspicious

Symantec 10 2007.08.24 W32.Scrimge.G

TheHacker 6.1.8.172 2007.08.24 -

VBA32 3.12.2.3 2007.08.23 -

VirusBuster 4.3.26:9 2007.08.23 -

Webwasher-Gateway 6.0.1 2007.08.24 Worm.Sdbot.430080.4

Información adicional

Tama?rchivo: 430080 bytes

MD5: 1c68e0037f2d612fd63f167342f9ffae

SHA1: e6899128ca40c6054857c46632dd3602f9666f57

packers: Themida

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=E33031B700067CCF901906A84D2C7300E0349646

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.



Saludos Muchas Gracias!

[msc hotline sat]

Pues parece tratarse de una nueva variante de SDBOT (Backdoor de IRC)



Prueba el ELITRIIP por si lo detectara bien por cadenas o heuriscticamente y pidiera muestra, y nos comnetas el resultado, gracias:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 24-08-2007



Nota: Sino, a partir del lunes volvemos de vacaciones y en SATINFO implementaremos su control y eliminacion basandonos en la muestra que nos habrñas enviado. ms.

[msc hotline sat]

Pero revisando el log, veo que tienes el NOD32 instalado, y segun el VirusTotal ya lo detecta como



NOD32v2 2482 2007.08.24 IRC/SdBot





Como que ya tienes el fichero renombrado a .VIR, no se pondrá en marcha al arrancar, y si tienes el NOD32 actualizado deberias poder detectarlo y eliminarlo con él.



Si te lo ha dejado tocado y no se carga residente, abre una sesion de DOS y lo lanzas desde opciones de comando



saludos



ms, 24-08-2007

[msc hotline sat]

Estamos pendientes de recibir el fichero solicitado para poder desacrrollar la utilidad de eliminacion.



Recuerde enviarnos el RCIBMLBY.EXE de la carpeta de sistema, o .VIR si lo renombró como le dijimos, pero envienoslo !!!:



C:\WINDOWS\rcimlby.exe





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 28-08-2007

[msc hotline sat]

Rdcibido el fichero RCIMLBY.EXE se ha implementado su control y eliminacion en la nueva version 2.79 de la utilidad ELITRIIP, que es la que controla todos los SDBOT







ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 28-08-2007