WIN·32/.agent.DBP.trojan. alguien sabe algo?

[lolaline]

tengo este virus detectado por eset nod 32 pero no encuentro informacion de el, la infeccion hace unos 5 dias y me lo pasaron por el messenger.



agradeceria algo de ayuda, me ha afectado al iniciode windows y no me dejaba conectar a internet, el ordenado rme va muy lento, creo que se ha quedado tocado. el antivirus analizo y elimino el virus pero el ordenado rno funciona muy bien.



WIN·32/.agent.DBP.trojan







gracias.

[lucl]

Pasa estos dos antitrojanos y nos pegas el log que te dejaran en C infosat.txt



http://www.zonavirus.com/descargas/elistara.asp





http://www.zonavirus.com/descargas/elitriip.asp





si recuerdas el nombre del archivo que te pasaron por mesenger envianoslo para su analisis y darte la herramienta necesaria , lo renombras a .VIR para que no de la lata y en caso de no recordarlo ejecutas hijackthis y nos pegas el log pero esto despues de haber pasado elistara y elitriip, saludos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[msc hotline sat]

Al parecer es uno de los que controla el ELISTARA:


[quote="en un blog de internet"]
Al final acabarémos, si es que no lo hacemos ya, asociando el MSN Messenger a los virus.



Como viene siendo habitual, sigue habiendo un virus, cojonero, que se expande entre algunos de mis contactos. Backdoor. Win32.Agent.dbp



Con textos como:





hey did i ever show you this picture of me? ó



Hey wanna see my photo album?





Se presenta ese simpatico cabroncete disfrazado de supuestas imágenes metidas en un archivo zip comprimido, pero que en realidad esconde el ejecutable, el virus, listo para ser pinchado e infectar nuestro equipo, distrubuyendo a su vez el virus a nuestros contactos.



[img]http://bp0.blogger.com/_fgakRqmh3_E/R11T45YqdOI/AAAAAAAAB-s/uIzXF5jX-Eg/s320/Virus+msn.JPG[/img]



Lo más curioso de este virus, es que esta versión es una variante, del que apareció unos meses ya que ayer, solo 3 antivirus de los 32 de VirusTotal lo detectaban y hoy mismo ya son 8 los que consiguen identificarlo. Así que ojo si vuestro antivirus no se entera.



Desinfección:



En zonavirus han sacado una herramienta de desinfección para este virus (entre otros). Para desinfectar por este método: (no se si funcionará correctamente con esta versión del virus, pero ahí queda)





1.- Descargar los programas EliStarA y EliTriip.



2.- Iniciar Windows XP en modo seguro. Para ello reiniciamos el ordenador y pulsamos F8 hasta que aparezca un menú, seleccionamos en él la opción Modo seguro.



3.- Ejecutamos EliStarA.



4.- Ejecutamos EliTriip.



5.- Reiniciamos el PC normalmente.
[/quote]

Como muy bien indica lucl, prueba el ELISTARA y el ELITRIIP y tras ello posteanos el contenido de c:\infosat.txt



Es posible que aun habiendolo eliminado, quedaran por restaurar claves modificadas, y nuestras utilidades las corrijan o eliminen



Tambien es posible que se trate de una variante y en el C:\infosat.txt se indique enviarnos muestra para analizar, en tal caso enviarla segun indicamos en:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 24-12-2007

[lolaline]

pues efectivamente ese capullo es el que me infecto, me mandaron una supuesta foto. el jueves mismo comenzare con lo que me habeis indicado y primero me descargare todos los programas necesarios desde el ordenador de casa. en cuanto lo tenga os posteo lo que salga.

muchas gracias por todo.

un saludo

lola

[msc hotline sat]

Pues tras probar el ELISTARA y el ELITRIIP, nos posteas en contenido de C:\infosat.txt con un copiar y pegar, y veremos si ya lo hemos eliminado o se trata de una nueva variante, en cuyo caso te pediriamos muestras para analizar y pasar a controlarlo.



saludos



ms, 26-12-2007

[lolaline]

Sat Oct 06 20:29:33 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "mchInjDrv"

Eliminados Ficheros Temporales del IE



Sat Oct 06 20:31:12 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\CyberLink\PowerDVD\PWRDVDX.DLL --> Eliminado, WinAntiVirus Pro 2006



Sat Oct 06 20:43:09 2007

EliLeslie v1.1 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Oct 06 20:43:14 2007

EliLeslie v1.1 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Oct 07 13:45:19 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Dec 27 12:24:20 2007

EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Dec 27 12:24:49 2007

EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\t\Mis documentos\My Albums\TMPGENC DVD AUTHOR V1 6 - TMPG ENCODER V2 5 21 - EXPRESS 3 - AC3 PLUGIN - WITH CRACKS.EXE --> Eliminado, Spy.Banker.FJB(dropper)



Nº Total de Directorios: 4057

Nº Total de Ficheros: 42565

Nº de Ficheros Analizados: 14096

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Dec 27 12:35:04 2007

EliTriIP v4.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Dec 27 12:35:08 2007

EliTriIP v4.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4069

Nº Total de Ficheros: 42578

Nº de Ficheros Analizados: 13247

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Dec 27 13:14:23 2007

EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



...................................................................................





Logfile of HijackThis v1.99.1

Scan saved at 13:05:27, on 27/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\DrvMon.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\explorer.exe

C:\DOCUME~1\t\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [spywarefighterguard] C:\Archivos de programa\SPYWAREfighter\spftray.exe

O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [Miro] C:\Archivos de programa\Participatory Culture Foundation\Miro\Miro.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153750740313

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lola-lola31.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Print Spooler Service (qkliyf0i5uo7uae) - Unknown owner - C:\WINDOWS\system32\xurzrbbqy.exe (file missing)

O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Archivos de programa\SPYWAREfighter\spfprc.exe

[msc hotline sat]

Pues has eliminado un Spy.Banker tipico de virus de messenger:



EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\t\Mis documentos\My Albums\TMPGENC DVD AUTHOR V1 6 - TMPG ENCODER V2 5 21 - EXPRESS 3 - AC3 PLUGIN - WITH CRACKS.EXE --> Eliminado, Spy.Banker.FJB(dropper)



Y elimina estas claves:



O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart



O23 - Service: Print Spooler Service (qkliyf0i5uo7uae) - Unknown owner - C:\WINDOWS\system32\xurzrbbqy.exe (file missing)



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Mira si tras reiniciar persiste alguna anomalia y nos lo comentas, gracias



saludos



ms, 27-12-2007

[lolaline]

ya estoy aqui de nuevo.

vereis, la clave 4 esta eliminada pero la 23 no me deja.

el analisis de kaspersky online me dice que tengo 1 virus y 23 archivos infectados. para poder hacer estas dos operaciones he tradado 2 horas y media. tengo muchos problemas para iniciar windows y todo a raiz del virus.

es desesperante, elñ lordenador solo carga a veces si muevo el raton...

no se.

no me abre las ventanas, es como si estuviera cansado. no me abre programas, vamos que no hace nada.solo va un poco bien si esta desconectado de internet pero el efecto le dura 5 minutos, luego no hay manera que tire.

desesperante.

[msc hotline sat]

Pues todo puede estar en el servicio de la O23:



O23 - Service: Print Spooler Service (qkliyf0i5uo7uae) - Unknown owner - C:\WINDOWS\system32\xurzrbbqy.exe (file missing)



este fichero que debe estar oculto, ya que el HJT lno lo ve (file missing) debe estar en uso, y windows impide eliminarlo



Mira de renombrarlo a extension .VIR y tras reiniciar mira si puedes eliminar la clave, y nos envias dicho fichero como ya indicamos en https://foros.zonavirus.com/viewtopic.php?f=2&t=45334 para analizarlo y obrar segun veamos, de lo cual informaremos



saludos



ms, 28-12-2007

[lolaline]

cuando no me dejo eliminarlo intente buscarlo peor no lo encuentro.

intentare la busqueda con la opcion archivos ocultos

[msc hotline sat]

Recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y envianoslo para analizar y veremos lo que es este supuesto spooler de impresora... , y pasaremos a controlarlo



saludos



ms, 28-12-2007