Problema con Win32/Virut.7115

AlCoHoLiC · Mensaje por **AlCoHoLiC** » 13 Nov 2007, 14:54

Hola, despues de leer varios post en este foro, y varios links q aca mismo habia, pude mejorar bastante la situacion de mi makina. De como unos 2000 archivos .exe infectados ahora solo quedan unos 10, entre ellos explorer.exe y iexplorer.exe, otros los pude borrar manualmente.

Los demas archivos los pude limpiar usando el ANTIVIRUS RECOMENDADO, pero estos no los puedo limpiar, supongo que sera pq son archivos q estan en uso. Yo tenia idea de probar conectar este disco rigido a otra compu como slave pero al ser una notebook la makina infectada se me complica, ya que no tengo el cable necesario.

Ojala alguien me pueda dar una mano, tratando en lo posible de evitar el formateo, cosa q ya me hice a la idea q voy a tener q hacer =(

Gracias!!

Mensaje por **msc hotline sat** » 13 Nov 2007, 15:24

Sí, puedes hacerlo colocando el disco duro como slave en otra máquina, asi no estaran en uso y podras limpiar los ficheros infectados, que, al ser de sistema, se ponen en marcha al arrancar.

Otra manera de solucionar el problema con dichos ficheros es REPARAR windows:

[quote="para REPARAR WINDOWS, msc"]

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

y otra manera es volver al ultimo punto de restauracion antes de que hubiera entrado el virus.

saludos

ms, 13-11-2007

AlCoHoLiC · Mensaje por **AlCoHoLiC** » 20 Nov 2007, 17:20

Bueno, como aca en Argentina el cable adaptador para discos sata de 2.5 a 3.5 es muy caro, decidi arrancar en modo a prueba de fallos con simbolo de sistema. Desde DOS borre manualmente los 3 archivos q quedaban infectados, explore.exe - iexplorer.exe - ctfmon.exe, luego los copie desde el cd de windows otra vez a la compu, pero no arranco.

Luego probe reinstalando windows, y la compu volvio a andar. Lo primero que hice fue pasar el ANTIVIRUS RECOMENDADO, y nuevamente encontro 3 archivos infectados (explore.exe, otro que no recuerdo, y otro con el simbolo de la Ñ .exe, no encuentro ese caracter). El antivirus pudo limpiar los otros archivos, y el ultimo lo borre manualmente. Despues pase el spybot serach and destroy, encontro 7 cosas, y las borre.

Apague la compu y arranque nuevamente en modo a prueba de fallos, el ANTIVIRUS RECOMENDADO no encontro nada.

Reinicio nuevamente y arranco normalmente, el firewall de windows me avisa que hay algo que quiere acceso, lo cual bloqueo, estos archivos q quieren acceso es la 1ra vez q los veo. Estan ubicados en C:\Windows\system32

y son estos:

fufuqlq.exe

rwdf.exe

uddx.exe

efdjq.exe

eysa.exe

lfrxpx.exe

emhzmhvx.exe

kyupje.exe

lszldcgq.exe

en verdad el firewall salto con uddx.exe y fufuqlq.exe, pero al fijarme donde estaban vi los otros que me parecieron sospechosos.

Este log quedo del spybot q estaba residente

20/11/2007 01:02:21 p.m. Denegado (based on user decision) value "Advanced DHTML Enable" (new data: "C:\WINDOWS\system32\uddx.exe") cambiado in System

Bueno, espero se haya entendido.

Muchas gracias por la ayuda!

Saludos.

Mensaje por **msc hotline sat** » 20 Nov 2007, 17:35

Pues envienos este fichero

C:\WINDOWS\system32\uddx.exe

y lo analizaremos

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras ello implementaremos su control y eliminacion, si procede en nuestras utilidades, de lo cual informaremos

saludos

ms, 20-11-2007

AlCoHoLiC · Mensaje por **AlCoHoLiC** » 21 Nov 2007, 00:48

Ya mande el archivo, ademas agrego esta informacion que seguro es util.

Muchas Gracias!

Logfile of HijackThis v1.99.1

Scan saved at 08:44:34 p.m., on 20/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\PowerISO\PWRISOVM.EXE

C:\WINDOWS\system32\Isass.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\csnj.exe

C:\WINDOWS\system32\eysa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\wnxzmk.exe

C:\WINDOWS\system32\wzwf.exe

C:\WINDOWS\system32\bjfohveq.exe

C:\Archivos de programa\eMule\emule.exe

c:\azu\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_MX&c=Q305&bd=pavilion&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\system32\spooIsv.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\system32\winIogon.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system32\wzwf.exe

O4 - HKLM\..\Run: [NvGraphicsInterface] C:\WINDOWS\system32\bjfohveq.exe

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Archivos de programa\Executive Software\Diskeeper\DkIcon.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://damaazuljazmin.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195576507703

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-7b198239bd211646.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5160/mcfscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

Mensaje por **msc hotline sat** » 21 Nov 2007, 05:57

TIENES MAS COSAS !

Envianos todos estos ficheros y los analizaremos:

C:\WINDOWS\system32\Isass.exe [i]~~[b]~~(no LSASS.EXE que es normal en esta carpeta)[/b][/i]

C:\WINDOWS\system32\csnj.exe

C:\WINDOWS\system32\spooIsv.exe ~~[b]~~[i](cuidado que no es el SPPOLSV.EXE)[/i][/b]

C:\WINDOWS\system32\winIogon.exe ~~[b]~~[i](cuidado que no es el WINLOGON.EXE)[/i][/b]

C:\WINDOWS\system32\wzwf.exe

C:\WINDOWS\system32\bjfohveq.exe

C:\WINDOWS\system32\wnxzmk.exe

Estos, con el que ya has enviado, son todos los que se ven sospechosos en el log, tras su analisis, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 21-11-2007

AlCoHoLiC · Mensaje por **AlCoHoLiC** » 22 Nov 2007, 20:04

Ya mandé los archivos, cuando tendrán alguna novedad?

Muchisimas gracias por la ayuda, por lo menos ahora anda la makina, aunq todavia quedan por sacar un par de cosas. Sino ahora q anda aprovecho y copio toda la informacion por red y luego formateo.

Saludos y gracias!

Mensaje por **lucl** » 22 Nov 2007, 20:42

antes de formatear espera a mañana para que te den informes sobre tus archivos y la herramienta necesaria, y limpias bien el pc aunque luego sigas pensando en el formateo, creo no sera necesario no obstante.

Mensaje por **msc hotline sat** » 22 Nov 2007, 20:58

Diganos cuando los envió. A las 18 horas de hoy, cuando hemos cerrado la admision de muestras, no habian llegado. Si lo hizo hace mas tiempo, revise el modo de envio y hagalo como indicamos:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y si lo hizo recientemente, mañana cuando volvamos al trabajo las analizaremos y procederemos en consecuencia, de lo cual informaremos

saludos

ms, 22-11-2007

AlCoHoLiC · Mensaje por **AlCoHoLiC** » 22 Nov 2007, 22:36

Hola, el primer archivo lo envie el martes, los demas ayer miercoles. Los envie comprimidos con el winrar y con clave con la extension .rar tal cual lo dice el link que me enviaron.

Si no llegaron, mañana viernes, los vuelvo a enviar.

Gracias.

Mensaje por **lucl** » 22 Nov 2007, 22:39

pues ve mandandolos ya ahora puesto que por alguna razon no se han recibido, te recuerdo

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

Mensaje por **msc hotline sat** » 23 Nov 2007, 00:45

Raro raro, y no lo ha recibido devuelto ???

Está seguro de que lo envió a la cuenta de zonavirus, o lo hizo a la de virus ??? es que esta última es solo para asociados a los servicios técnicos de SATINFO, y los que se envian a ella deben indicar número de licencia, o entran en cola, mientras que los que se reciben en la cuenta de zonavirus tienen prioridad.

Recuerde : zonavirus@satinfo.es como se indica en:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 23-11-2007