Elistara solicitó envío muestras, espero conf.. (SOLUCIONADO

[HellMonkey]

Saludos,



Cada vez que conecto una unidad USB a cualquier computadora en mi campus, se le meten varios archivos sospechosos que se ocultan como archivos de sistema. Al pasar Elistara, me pidió mandar como muestra dichos archivos, por lo cual puedo inferir que la actual versión aún no controla éste virus. Además, me pidió una DLL en la carpeta c:/WinLogon.



El VirusTotal me detecta la DLL en 10 de 32 análisis como un troyano robapasswords de World of Warcraft, y el otro archivo solicitado en 12 ocasiones como un archivo malicioso. Antes de eliminar, ya mandé a zonavirus@satinfo.es las muestras pedidas. Espero confirmación sobre qué son :D



Por si acaso, adjunto mi log de HijackThis:



Logfile of HijackThis v1.99.1

Scan saved at 08:09:23 p.m., on 07/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

c:\windows\system32\svchost.exe

C:\WINDOWS\system32\scrnsave.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\HPQ\shared\hpqwmi.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\iTunes\iTunes.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Angel\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_MX&c=Q305&bd=presario&pf=laptop

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://configura.ccm.itesm.mx/proxy.pac

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\shared\hpqwmi.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE



Gracias :lol:

[evangelion_01]

[quote]Al pasar Elistara, me pidió mandar como muestra dichos archivos, por lo cual puedo inferir que la actual versión aún no controla éste virus. Además, me pidió una DLL en la carpeta c:/WinLogon.[/quote]

Posteanos tu log que te dejo el elistara en c:/infosat.txt

[HellMonkey]

Sun Oct 07 19:41:44 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FSMGMT]

Por favor, envienos una muestra del fichero

C:\WinLogon\FSMGMT.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (H)

open=UFO.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sun Oct 07 19:42:50 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Sun Oct 07 19:43:56 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Ya actualizé Windows (se supone...)

[evangelion_01]

ok, bueno al rato te diran si recibieron las muestras o no.



Y si, a mi ese parche tambien me dio problema, busca un tema que abri yo, en noticias de interes, ahi doy el link directo para ese parche, saludos

[msc hotline sat]

supongo que ya nos enviaste los que te indicaba el ELISTARA:



UFO.exe (buscalo con un Inicio -> Buscar)



C:\WINDOWS\SYSTEM32\fsmgmt.dll





pues envianos tambien este otro fichero sospechoso:



C:\WINDOWS\system32\scrnsave.exe





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y recuerda que ya que dices que se propaga por pendrive, una vez hayamos implementado el control de este nuevo malware en la siguiente version del ELISTARA, debes limpiar todos los pendrives, pero cuidado, cuando los insertes en el USB debes hacerlo pulsando simultaneamente SHIFT (mayusculas) para que no procesen el AUTORUN.INF, ya que sino volverias a infectar el ordenador, y no acabarías nunca !



Saludos



ms, 7-10-2007

[msc hotline sat]

Pues de las muestras enviadas (no hemos recibido el scrnsave.exe) pasamos a implementar control de nuevo virus de Pendrive y un cazapasswords PWS, ambos seran controlados por la nueva version de hoy del ELISTARA 14.79, que estará disponible a partir de las 19 horas GMT en esta web, para pruebas de evaluacion en el foro de zonavirus



Cuidado con el virus de Pendrive, pues tras eliminarlo de su ordenador, ha de limpiar todas las unidades explorandolas con el ELISTARA, pero al insertarlos hagalo pulsando simultaneamente la tecla Shift para evitar que ejecute el AUTORUN.INF, pues sino volveria a infectar el ordenador y no acabaría nunca !



saludos



ms, 8-10-2007

[HellMonkey]

Enviadas muestras pedidas

[msc hotline sat]

Ya habiamos recibido y procesado todas menos el el scrnsave.exe, por tanto supongo que te refieres a este.



Cuando voolvamos a trabajar en SATINFO, lo veremos y procederemos



saludos



ms, 8-10-2007

[HellMonkey]

Sí, me refiero a scrnsave.exe y fsmgmt.dll



Espero respuesta, gracias.

[lucl]

Supongo que esto ya lo probaste



Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas



ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar





Nos comentas, saludos

[HellMonkey]

Efectivamente, la opción está activada y puedo ver los archivos.

[msc hotline sat]

No lucl, no es que no los encuentre sino que son los que nos ha enviado mas tarde, conforme pedido. :wink:



Posiblemente la dll sea:



http://ca.com/cz/securityadvisor/pest/pest.aspx?id=453114578





y el scrnsave.exe podria ser:



http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=7101



se han recibido muestras y entraran mas tarde en proceso



saludos



ms, 8-10-2007

[lucl]

Sorry pero esta respuesta no era para el, si no para oswaldoteague :lol: del foro hijackthis, perdonadme, saludos

[msc hotline sat]

Ningun problema lucl, y ya que estamos, acabo de subir la version 14.79 del ELISTARA, y ya controla incluso el ultimo SCRNSAVE que tambien es un PWS (cazapasswords)



Pruebala y nos posteas tras ello el contenido de c:\infosat.txt, para ver el resultado del proceso, gracias



saludos



ms, 8-10-2007

[HellMonkey]

Elistara 14.79 ha eliminado correctamente los archivos :D



Mon Oct 08 16:13:16 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\FSMGMT] -> C:\WINDOWS\SYSTEM32\FSMGMT.DLL

C:\WINDOWS\SYSTEM32\SECPOL.EXE --> Eliminado AutoRun.HT

C:\WINDOWS\SYSTEM32\SCRNSAVE.EXE --> Eliminado PWS-OnLineGames.EFY

C:\WINDOWS\SYSTEM32\FSMGMT.DLL --> PWS-Games.3 Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Oct 08 16:13:34 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

H:\UFO.EXE --> Eliminado, AutoRun.HT

H:\AUTORUN.INF --> Eliminado, AutoRun.HT(inf)



Mon Oct 08 16:13:49 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\FSMGMT.DLL.VIR --> Acceso Denegado, PWS-Games.3

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\89ABCDEF\SERVER[1].DLL --> Eliminado, PWS-Games.3

C:\WinLogon\FSMGMT.DLL --> Eliminado, PWS-Games.3



Mon Oct 08 16:25:42 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Oct 08 16:25:50 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\FSMGMT.DLL.VIR.VIR --> Eliminado, PWS-Games.3



Mon Oct 08 16:32:14 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Muchas gracias, creo que ya se puede cerrar el tema, a menos de que haya otra indicación.



EDICIÓN: Pasé el CA Antivirus online y me detectó 3 infecciones:

C:\WINDOWS\system32\fsmgmt.dll.tmp -> quizá un rastro del eliminado? VirusTotal lo detecta como malware en 17 anivirus.

C:\System Volume Information\_restore{AA5F2FAD-F043-49AA-950C-4F151444553A}\RP91\A0010254.dll

C:\System Volume Information\_restore{AA5F2FAD-F043-49AA-950C-4F151444553A}\RP91\A0011279.DLL



Me deniega el acceso a la carpeta de los últimos dos.

[msc hotline sat]

Envienos muestra de este si todavía lo tiene:



C:\WINDOWS\system32\fsmgmt.dll.tmp



y para eliminar los otros, desactive la restauracion de sistema, arranque en modo seguro con funciones de red, lance el AVONLINE aconsejado y podrá acceder a ellos y eliminarlos



La primera DLL renombrada a .TMP ??? no sé quien lo hizo (nosotros renombramos a .VIR en caso que queramos aparcarlo), pero si nos la envia la analizaremos y veremos si es nueva variante de algo o simplemente como DLL ya la conocemos...



Y por cierto, tras finalizar vuelva a activar la restauracion de sistema, no se olvide.



saludos



ms, 9.-10.2007

[evangelion_01]

el system volume info, se refiere a los que lee al resaurar sistema si salvaste 2 restaurar sistema mientras estabas infectado, se quedan infectados

[msc hotline sat]

Digamos que el SYSTEM VOLUME INFORMATION _RESTORE es una carpeta reservada en la que se guardan copia de los ficheros usados por si se desea acceder a un punto de restauracion anterior, pero claro si estaban infectados, lo estan en el RESTORE, por ello se han de eliminar o limpiar, pero no puede accederse a dicha carpeta si no se desactiva la restauracion de sistema, de aqui lo indicado.



saludos



ms, 9-10-2007

[HellMonkey]

Enviada muestra y pasando AV online

[msc hotline sat]

Pues cuando volvamos al trabajo esta tarde en SATINFO, la analizaremos e informaremos



saludos



ms, 9-10-2007

[HellMonkey]

El proxy del campus no me deja al parecer correr el AV online, tendré que correrlo en mi casa más tarde.

[msc hotline sat]

Visto el fichero en cuestion, parece ser una variante del PWS-Games.3 que controlamos ayer con la version 14.79 del ELISTARA



Procedemos a implementar el control de esta nueva variante en la version 14.80 de hoy, que estará disponible a partir de las 19 horas GMT en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras probartlo, postearnos el contenido de c:\infosat.txt para ver el resultado



saludos



ms, 9-10-2007

[HellMonkey]

Tue Oct 09 12:48:49 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Tue Oct 09 12:49:24 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\FSMGMT.DLL.TMP --> Eliminado, PWS-WoW.YU



Éste es el log. Aún falta escanear en casa...

[msc hotline sat]

Pero aqui ha ido bien !



saludos



ms, 9-10-2007

[HellMonkey]

Pues sí, ahora como en unas 5 horas llegaré a casa...a pesar de que tengo System restore desactivado, ni en modo seguro como Administrador me deja entrar a System Volume Information.

[HellMonkey]

CA Antivirus ya no detectó nada.

[msc hotline sat]

Es que ya te has pulido de todas partes, incluido del RESTORE.



Piensa que con nuestras utilidades ya desactivamos la restauraicon de sistema, accedemos y luego volvemos a activarla, asi que con razon ya no encuentras nada.



Si lo consideras solucionado, dinoslo para proceder a cerrar el Tema, gracias



saludos



ms, 10-10-2007

[HellMonkey]

Perfecto, muchas gracias. Si encuentro más muestras que enviar, abrié otro tema.

[lucl]

Pues nos alegramos se haya solucionado y procedemos a cerrar el tema, vuelve cuando quieras, saludos