AYUDA WIN32.AGENT.IBC (SOLUCIONADO)

anton5 · Mensaje por **anton5** » 12 Sep 2007, 13:29

HOLA, TENGO UN TROYANO EN MI SISTEMA QUE NO PUEDO ELIMINAR. EL ANTIVIRUS AVAST ME LO DETECTA CUANDO INICIO EL ORDENADOR Y LO ELIMINO PERO ME VUELVE A SALIR CUANDO VUELVA A ARRANCARLO. HE DESACTVIVADO RESTAURAR SISTEMA, HA INICIADO EN MODO SEGURO Y PASO EL ANTIVIRUS, ME LO ELIMINA, PERO CUANDO VUELVO A ARRACAN EN MODO NORMAL VUELVE A DECIRME EL AVAST QUE LO TENGO AHI. ESPEREMOS QUE TENGA SOLOLUCION. GRACIAS

Mensaje por **msc hotline sat** » 12 Sep 2007, 13:40

Pues envianos el fichero que detectas infectado y que se regenera y lo analizaremos:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y mientras lo recibimos, posteanos log del HJT a ver si vemos lo que lo regenera:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 12-09-2007

anton5 · Mensaje por **anton5** » 12 Sep 2007, 17:52

HOLA OS ENVIA EL LOG

Logfile of HijackThis v1.99.1

Scan saved at 17:51:02, on 12/09/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Brmfrmps.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\DRIVERS\WtSrv.exe

C:\WINDOWS\System32\khooker.exe

C:\WINDOWS\System32\SiSAudUt.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

C:\Archivos de programa\Brother\ControlCenter2\brctrcen.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\wuauclt.exe

C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por UNI2

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [SiS7012Utility] C:\WINDOWS\System32\SiSAudUt.exe -wdm

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [Terra Barra Navegacion] C:\Archivos de programa\Terra\Barra Navegacion\TerraBN.exe

O4 - HKLM\..\Run: [AnnotateCheck] C:\ARCHIVOS DE PROGRAMA\WIZARDPEN SERIES\AnnCheck.exe

O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOCUME~1\jhu\CONFIG~1\Temp\10.tmp.exe

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Archivos de programa\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvEventCenter] C:\WINDOWS\system\svchost.exe /w

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe" /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\System32\xydzyh.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [PreAnnotate] C:\WINDOWS\System32\PreAnntt.exe

O4 - HKCU\..\Run: [RNBc Test] wf32vbs.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [pbmini] C:\Archivos de programa\pcast\PodcastbarMini\PodcastBarMiniStater.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - Startup: ²¥°ÔÍøÂçµçÊÓ.lnk = C:\Archivos de programa\pcast\PodcastbarMini\PodcastBarMiniStarter.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Status Monitor.lnk = C:\Archivos de programa\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Musica - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\pillamusica-tpt\entrar.html (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {23273A1C-C870-43C4-A3E3-67DC98630AC6} (IntSOFTEC Class) - http://213.229.160.209/dialers/it.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) - http://www.campusliber.com/libervirtual/_cursos/cae/cengine.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,83/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135082468230

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://bin.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,20/mcgdmgr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CA38781D-A563-4797-BC89-8B6D2C3D8D3D}: NameServer = 62.151.2.8,62.151.8.100

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - %WINDIR%\system\svchest.exe (file missing)

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINDOWS\System32\DRIVERS\WtSrv.exe

Mensaje por **msc hotline sat** » 12 Sep 2007, 20:18

Tienes este fichero sospechoso

C:\WINDOWS\System32\xydzyh.exe

que debes enviarnos para analizar y saber como proceder con esta clave:

O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\System32\xydzyh.exe

_____________

Faltan todos los parches de microsoft !!!:

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

FALTA DE PARCHES SP1

INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)

http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx

(SE DEBE ESCOGER IDIOMA...)

FALTA DE PARCHES SP2

Deben actualizarse los parches de MICROSOFT. Le faltan todos los del SP2 y posteriores. Lance un windowsupdate !!!.

WINDOWSUPDATE:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

______________

Tienes estas claves malwares que debes eliminar:

O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOCUME~1\jhu\CONFIG~1\Temp\10.tmp.exe

O4 - HKLM\..\Run: [NvEventCenter] C:\WINDOWS\system\svchost.exe /w

O4 - HKCU\..\Run: [RNBc Test] wf32vbs.exe

O16 - DPF: {23273A1C-C870-43C4-A3E3-67DC98630AC6} (IntSOFTEC Class) - http://213.229.160.209/dialers/it.cab

O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - %WINDIR%\system\svchest.exe (file missing)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 12-09-2007

Mensaje por **msc hotline sat** » 13 Sep 2007, 09:51

Lo unico que le pediamos es este fichero sospechoso:

C:\WINDOWS\System32\xydzyh.exe

y nos ha enviado un ASH... que como los demas que empiezan asi son de AVAST, no ha lugar.

Mire de enviarnos el sospechoso y lo analizaremos

saludos

ms, 13-09-2007

anton5 · Mensaje por **anton5** » 13 Sep 2007, 18:37

HOLA. HE BORRADA LAS ENTRADAS QUE ME DIJISTE, HE ACTUALIZADO WINDOWS Y HE MANDADO EL ARCHIVO. ESPERO HABERLO HECHO CORRECTAMENTE. GRACIAS Y SALUDOS

Mensaje por **msc hotline sat** » 13 Sep 2007, 19:20

Pues eso espero, mañana analizaremos el fichero, cuando entremos de nuevo a trabajar en SATINFO, pero mientras tras eliminar las claves, reinicia a ver como te va... y mientras este fichero renombra su extension a .VIR

C:\WINDOWS\System32\xydzyh.exe

y reinicia el ordenador

saludos

ms, 13-09-2007

Mensaje por **msc hotline sat** » 14 Sep 2007, 10:50

Solo hemos recibido un fichero .PF que no sirve para monitorizar, es solo un prefetch, para acelerar el lanzamiento, pero no es el ejecutable.

Revisa lo que nos has enviado, y si realmente enviabas ademas un .EXE puede haber sido interceptado por algun servidor intermedio de internet.

Repite el envio con el .EXE empaquetado en un ZIP o RAR con password VIRUS:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 14-09-2007

anton5 · Mensaje por **anton5** » 14 Sep 2007, 11:48

HOLA. PERDONAD POR SI OS HE ENVIADO MAL EL ARCHIVO, PERO EN C:\WINDOWS\SYSTEM32 NO ME APARECE NINGUN ARCHIVO CON NOMBRE XYDZYH.EXE. HE BUSCADO POR TODO EL SISTEMA Y SOLO ME APARECE EN WINDOWS\PREFETCH. INDICADME SI TENGO QUE BUSCARLO DE OTRA MANERA. GRACIAS Y SALUDOS.

Mensaje por **msc hotline sat** » 14 Sep 2007, 12:30

Puede estar oculto o con atributo de sistema y no estar visible.

Prueba de buscarlo con Iniico -> Buscar -> en todas las carpetas y ficheros ->

y nos comentas el resultado, gracias

saludos

ms, 14-09-2007

anton5 · Mensaje por **anton5** » 14 Sep 2007, 13:10

HOLA. HE BUSCADO COMO ME HABEIS INDICADO, Y LO UNICO QUE ENCUENTRO ES ESTE EL ARCHIVO XYDZYH.EXE-2F2870F5.pf EN LA CARPETA WINDOWS\PREFETCH. HE BUSCADO TAMBIEN CON LA OPCION DE MOSTRAR ARCHIVOS OCULTOS. Y HE ENCONTRADO LO MISMO. GRACIAS Y UN SALUDO

Mensaje por **msc hotline sat** » 14 Sep 2007, 13:18

Entonces si no está el fichero ya puedes eliminar la clave de lanzamiento:

O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\System32\xydzyh.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y tras reiniciar comentanos el resultado, gracias

saludos

ms, 14-09-2007

anton5 · Mensaje por **anton5** » 14 Sep 2007, 13:48

BUENAS, HE HECHO LO QUE ME HABEIS DICHO, PERO CUANDO REINICIO SIGUE IGUAL. DICE QUE EL ARCHIVO C\WINDOWS\SYSTEM32\FISHPE.SYS ESTA INFECTADO, TIENE RESTOS DE WIN32.AGENT.IBC. SALUDOS

Mensaje por **msc hotline sat** » 14 Sep 2007, 14:06

Primera noticia !

Pues envianos este fichero para analizar:

\WINDOWS\SYSTEM32\FISHPE.SYS

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 14-09-2007

Mensaje por **msc hotline sat** » 17 Sep 2007, 12:24

Pues analizada la muestra reicbida, pasamos a controlarla con la nueva version de hoy del ELISTARA 14.65 que estará disponible para descargarse de esta web, a las 19 h GMT de hoy, a efectos de pruebas de evaluacion en este foro.

saludos

ms, 17-09-2007

anton5 · Mensaje por **anton5** » 19 Sep 2007, 17:45

MUCHAS GRACIAS POR VUESTRA COLABORACION. CREO QUE ESTA ARREGLADO. ADEMAS DE PASAR ELISTARA CAMBIE A ANTIVIRUS AVG FREE QUE ME QUITO ALGUNOS TROYANOS QUE TENIA POR AHI. POR AHORA PARECE QUE VA TODO BIEN. GRACIAS Y SALUDOS

Mensaje por **msc hotline sat** » 19 Sep 2007, 17:51

Pues solucionado el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 19-09-2007