Messenger envia ficheros que yo desconozco.

[mojitoo]

He leido un post de alguien que le pasa lo mismo... he pasado los dos programas y el resultado os lo pongo a continuacion. He pasado el NOD32 actualizado a ultima hora y no me detecta nada y sigo con la misma .. cada X minutos se envian ficheros, son mensajes del messneger que duran milesimas de segundos y si no estas atento ni lo ves.



Tengo el fichero que me emvio mi amigo y que al pasar el NOD no me detecto nada. ( por si alguien lo quiere analizar o estudiar )







Tue Sep 18 18:30:02 2007

EliStartPage v14.65 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (G)

open=Autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Sep 18 18:30:39 2007

EliStartPage v14.65 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Sep 18 18:38:23 2007

EliTriIP v3.89 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Tue Sep 18 18:38:31 2007

EliTriIP v3.89 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Unibrain\ubCore\FireNet\UBFWNet.sys --> Eliminado, RootKit





Nota: UBFWNet.sys podria ser esto lo que me hace manda estos ficheros ?

[msc hotline sat]

Tiene otra funcion, es un Rootkit que esconde procesos, tareas, claves y ficheros, pero podria estar relacionado, claro.



Envienos este fichero que envia el messenger y lo analizaremos y pasaremos a controlar con las nuevas versiones de nuestras utilidades, de lo cual informaremos



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 18-09-2007

[mojitoo]

Logfile of HijackThis v1.99.1

Scan saved at 22:36:45, on 18/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\ASUS\WLAN Card Utilities\Center.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

E:\-=[ Mp3 ]=-\iTunes\iTunesHelper.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

D:\- U -\Proteccion\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system\explorer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

D:\- U -\Optimizacion\Xp Repair\XPRepairPro.exe

D:\- J -\HL2\Steam\Steam.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe

D:\- U -\MEdal Of Honor\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe

C:\WINDOWS\system32\PSIService.exe

D:\- U -\Proteccion\Firewall Sygate\smc.exe

C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\- U -\Internet\FlashFXP\flashfxp.exe

F:\-=[ DescargaS ]=-\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\-U-~1\PROTEC~1\SEARCH~1\SDHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Archivos de programa\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\- U -\Internet\Descargas\Meupload Manager\MegaIEMn.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Archivos de programa\Siber Systems\AI RoboForm\roboform.dll

O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Control Center] C:\Archivos de programa\ASUS\WLAN Card Utilities\Center.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\-=[ Mp3 ]=-\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "E:\-=[ Mp3 ]=-\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SmcService] D:\-U-~1\PROTEC~1\FIREWA~1\smc.exe -startgui

O4 - HKLM\..\Run: [Windows Explorer Key] C:\WINDOWS\system\explorer.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [XPRepairPro2007] D:\- U -\Optimizacion\Xp Repair\XPRepairPro.exe /r

O4 - HKCU\..\Run: [Steam] D:\- J -\HL2\Steam\\Steam.exe -silent

O4 - Global Startup: RAID Manager.lnk = ?

O8 - Extra context menu item: Download with Rapget - D:\- U -\Internet\Descargas\Rapget\rapget.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enlace de descarga usando Mega Manager... - D:\- U -\Internet\Descargas\Meupload Manager\mm_file.htm

O8 - Extra context menu item: Guardar Formularios - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personalizar Menú - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Rellenar Formularios - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O8 - Extra context menu item: RF Barra de Herramientas - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Rellenar Formularios - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Rellenar Formularios - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Guardar - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Guardar Formularios - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: RF Barra de Herramientas - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: http://toolbar.imageshack.us

O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{99A71210-3507-4B53-823B-47049B0EB48F}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - E:\-=[ P2P ]=-\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\- U -\Proteccion\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\- U -\MEdal Of Honor\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\- U -\Proteccion\Firewall Sygate\smc.exe

[mojitoo]

Otra sorpresa mas.... me acabo de dar cuenta que en mis favoritos ha aparecido en primera llinea una pagina que yo no la he puesto en "[b]mis favoritos[/b]" esta pagina te lleva a http://cita.es/metapublicidad/ lo cual creo que todo va relacionado ( eso creo ) he leido la web y la web cita.es y la verdad es que no me he enterado de nada, aparte de estar muy mal montada.



Alguien puede confirmar esto ?

[Claudia34]

Y no te vendria mal mientras probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/

[msc hotline sat]

Le pedíamos que nos enviara para analizar el fichero que envia el messenger ... lo ha hecho ???



Ademas, envienos este otro cuya ubicacion es muy sospechosa:



C:\WINDOWS\system\explorer.exe



Cuando hayamos analizado los dos, informaremos



saludos



ms, 19-09-2007







->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[mojitoo]

[quote="msc hotline sat"]Le pedíamos que nos enviara para analizar el fichero que envia el messenger ... lo ha hecho ???



Ademas, envienos este otro cuya ubicacion es muy sospechosa:



C:\WINDOWS\system\explorer.exe



Cuando hayamos analizado los dos, informaremos



saludos[/quote]

pero si os mande el fichero ..... lo que pasa es que no me dejaba enviarlo por gmail y os mande la url de mi web donde esta alli hospedado. Luego me acorde de lo de encriptarlo con el password VIRUS pero ya era muy tarde.



Lo sineto por las molestias

[msc hotline sat]

Eso no sirve ! Los ficheros de texto que no se pueden monitorizar son enviados directamente a la papelera ...



Las muestras deben enviarse empaquetadas en un ZIP o RAR con password VIRUS a zonavirus@satinfo.es indicando como referencia su nick en el foro



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Si tiene problemas con ello, excepcionalmente envieme un privado con el link en cuestion indicando link acceso a muestra virica, y aunque no sea lo normal, la excepcion confirma la regla...



saludos



ms, 19-09-2007