g038_jpg.zip recibido en el msn

Responder
polloapi
Mensajes: 2
Registrado: 28 Ago 2007, 21:09

g038_jpg.zip recibido en el msn

Mensaje por polloapi » 28 Ago 2007, 21:18

Hola a todos!

Recibí hoy este "virus", creyendo que era una foto que me enviaban, y le hice doble clic. Cuando me di cuenta, apagué el ordenador inmediatamente. En seguida me llama mi esposo preguntándome por qué le cancelé la conexión del msn! por lo que me dí cuenta que involuntariamente se pasó el virus por mis contactos del msn.

Comencé a investigar, y encontré información en este foro. Pero no quiero hacer macanas, solicito me informen paso a paso cómo quitarlo. Tengo el AVAST, que por lo visto no lo detectó. Ya borré del c:\ el archivo h1b916h4u6j1.exe. Pero ahora quisiera seguir los consejos de quienes saben del tema.

También quisiera saber el alcance del virus en las otras pc (x ej la de mi esposo) en las cuales no se terminó de bajar el archivo.

Desde ya muchas gracias.

PD:Espero vstra respuesta para mandarles el archivo que recibí en el msn.
PolloApi

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 28 Ago 2007, 21:25

En este Tema lo veras todo al respecto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=20695





pero para eliminar el malware te resumo lo que has de hacer:


[quote="Para eliminar manualmente el CDSPEED.EXE o G038_JPG.ZIP, msc"]


eliminar la clave de carga:



O4 - HKLM\..\Run: [CDSpeed.exe] C:\WINDOWS\CDSpeed.exe





Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y si encontraran los ficheros CDSPEED.EXE y G038_JPG.ZIP enviennoslos para analizar y desarrollar utilidad automatica de eliminacion y luego borrenlos de su ordenador.





Nota: EL CDSPEED.EXE es originalmente una conocida utilidad de Nero, pero en tal caso estaría lanzada desde:



\Archivos de programa\Nero\Nero 7\Nero Toolkit\CDSpeed.exe



en cambio en todos los casos que nos ocupan, no es desde esta ruta sino desde



C:\WINDOWS\CDSpeed.exe ,



tipico comportamiento de malwares para simular ser lo que no son.


[/quote]


saludos



ms, 27-08-2007

polloapi
Mensajes: 2
Registrado: 28 Ago 2007, 21:09

Re: g038_jpg.zip recibido en el msn

Mensaje por polloapi » 28 Ago 2007, 23:02

resultado del hijackthis.log en mi pc



C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Cobian Backup 8\cbService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\CDSpeed.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Microsoft Office\Office\winword.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Sonia\Programas\HiJackThis -Foro Zona Virus\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apipc.com.ar/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll

O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\ISSO\VIPhd\vsdrv.exe

O4 - HKLM\..\Run: [CDSpeed.exe] C:\WINDOWS\CDSpeed.exe [b] <----- ES ESTA !!! [/b]

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Servicio de Cobian Backup 8 (CobBMService) - Luis Cobian - C:\Archivos de programa\Cobian Backup 8\cbService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe
PolloApi

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 29 Ago 2007, 09:52

Ya te hemos dicho que eliminaras la clave en cuestion



O4 - HKLM\..\Run: [CDSpeed.exe] C:\WINDOWS\CDSpeed.exe





siguiendo las intrucciones de mi ultimo post, y no lo has hecho ...



TRY AGAIN !!!



ms.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 29 Ago 2007, 10:23

Pues se ha recibido la muestra del CDSPEED.EXE y ha resultado ser una variante de SDBOT, que en lugar de añadirlo al ELISTARA vamos a añadirlo al ELITRIIP, como todos los SDBOT.



Estamos en ello, y esta mañana informaremos cuando subamos la utilidad a esta web



saludos



ms, 29-08-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 29 Ago 2007, 11:01

Ya está dispopnible en esta web, para evaluacion, la version 3.80 del ELITRIIP QUE CONTROLA, DETECTA Y ELIMINA la nueva variante de virus SDBOOT, backdoor de IRC, y que se propaga a traves del Messenger en el fichero G038_jpg.ZIP, generando CDSPEED.EXE y http://www.G038_jpg-msn.com en el directorio de windows.



Para eliminarlo, descargar la utilidad y probarla:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 29-08-2007

Responder

Volver a “Foro Virus - Cuentanos tu problema”