Creo tener virus (CERRADO)

cmc · Mensaje por **cmc** » 28 Ene 2008, 22:33

Hola chicos, les cuento mi problema, hace unos semanas al elimiar un virus dejé fuera de combate el sys y me instalaron un nuevo xp pero desde entonces he tenido puros problemas..al inicio me sale can't open kernel driver asLM75.sys, también can't load AsMilhwIo.dll, y luego run-time error 70 permission denied, tambien una ventana que dice algo así: VirusScan Alert! pathname: C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE::ReadFile , detected as: bo:heap, state: Blocked by Buffer Overflow Protection . Le doy a remover mensaje pero al proximo inicio vuelve a aparecer lo mismo. Ademas el PC está muy lento. Aquí le dejo mi log para que me den una ayudita, por favor. Gracias de antemano.

Logfile of HijackThis v1.99.1

Scan saved at 18:16:02, on 28/01/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\msiexec.exe

C:\ARCHIV~1\WINZIP\wzqkpick.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\patty\Configuración local\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://about-blank.name/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://about-blank.name/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://about-blank.name/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://about-blank.name/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://about-blank.name/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://about-blank.name/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://about-blank.name/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Win] C:\windows\win.exe

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [FREE VIEW GRIM SOAP] C:\Documents and Settings\All Users\Datos de programa\Meal Memo Free View\Store nurb.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Chicbold] C:\DOCUME~1\patty\DATOSD~1\FOURBI~1\tool fast.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-76a267d0d6bc751d.spaces.live.com/PhotoUpload/MsnPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

Mensaje por **lucl** » 28 Ene 2008, 22:51

Lo que te faltan entre otras cosas son actualizaciones importantes del pc, empezando por el sp1 y luego sp2 y actualizaciones posteriores, entra aqui y actualiza el pc

INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)

http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx

(SE DEBE ESCOGER IDIOMA...)

y nos comentas, saludos

Mensaje por **msc hotline sat** » 29 Ene 2008, 15:32

Y vemos estos ficheros sospechosos:

C:\windows\~~[b]~~[i]win.exe[/i][/b]

C:\Documents and Settings\All Users\Datos de programa\Meal Memo Free View\~~[b]~~[i]Store nurb.exe[/i][/b]

C:\DOCUME~1\patty\DATOSD~1\FOURBI~1\~~[b]~~[i]tool fast.exe[/i][/b]

Envianoslos para analizar e informaremos

saludos

ms, 29-1-2008

nota:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ms.

cmc · Mensaje por **cmc** » 29 Ene 2008, 20:48

hola gracias por la ayuda, en este momento les estoy enviando al sitio indicado los archivos sospechosos, dos por el momento ya que el c:\windows\win.exe no lo encuentro,y el buscador no me muestra ningún win.exe. Si pueden darme otro dato ¿ será el que dice win y tiene un icono de mariposa de colores, de 28k y dice aplicacion?. Ahora tengo problemas para instalar el sp1 y el sp2, porque este xp es una copia del qe tengo instalado en mi otro pc, es original ,pero no me permite instalar el sp1, parece que hay que conseguir otra licencia, estoy en vias de solución ya que anteriormente me instalaron el mismo disco en los dos pc, el otro está 100%

Mensaje por **msc hotline sat** » 29 Ene 2008, 21:20

No podemos saber el icono que tiene por el nombre de fichero... solo pruebe con un Inicio -> Buscar -> Todos los ficheros y Carpetas -> WIN.EXE a ver si lo encuentra, y si no envienos solo el que ha encontrado.

Y vaya pensando en licenciar el sistema de su PC, porque en este foro no damos siporte a ordenadores con sistemas pirata...

Cuando recibamos los ficheros sospechosos, los analizaremos e informaremos

saludos

ms, 29-1-2008

Mensaje por **msc hotline sat** » 30 Ene 2008, 16:36

Los dos ficheros recibidos son variantes de SWIZZOR que pasamos a controlar con la version de hoy del ELISTARA 15.54, que subiremos a esta web a las 18 h, para pruebas de evaluacion en el foro de zonavirus, pero no hemos recibido el WIN.EXE ...

saludos

ms, 30-1-2008

cmc · Mensaje por **cmc** » 31 Ene 2008, 01:21

Hola chicos, ok... ya instalé sp2, así que al sp1 lo mande de viaje ya que teniendo el sp2 este sp1 ya no sirve, descargé el elistart, solo me detectó una infeccion ya que después de instalar el sp2 el sistema me detectó que el antivirus que tenía estaba sin actualizar y caducado, así que instalé un avg free y me limpió el sistema,me detectó 17 virus y trojanos, eliminó 7 y en cuarentena 9. Eliminé el caducado Viruscan. Para su tranquilidad aquí les pego el log con el "SP2", y porfa diganme si hay que hacerle fix a algun item y que programas debo instalar para limpiar. (ad-aware, spy boot,etc).....p.d. El win.exe era un Trojan horse VB.APR de 28 Kilos y el avg lo puso en cuarentena.

Logfile of HijackThis v1.99.1

Scan saved at 21:00:20, on 30/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\Archivos de programa\Grisoft\AVG7\avgcc.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\patty\Configuración local\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://about-blank.name/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://about-blank.name/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://about-blank.name/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://about-blank.name/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://about-blank.name/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://about-blank.name/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Chicbold] C:\DOCUME~1\patty\DATOSD~1\FOURBI~1\tool fast.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-76a267d0d6bc751d.spaces.live.com/PhotoUpload/MsnPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Network Associates McShield (McShield) - Unknown owner - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe (file missing)

O23 - Service: Network Associates Task Manager (McTaskManager) - Unknown owner - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe (file missing)

Mensaje por **msc hotline sat** » 31 Ene 2008, 07:22

Y donde le hemos dicho que hiciera lo que ha hecho ???

No le dijimos que instalara el AVG, y ademas antes de instalar cualquier otro antivirus, debia desinstalar totalmente el McAfee o cualquier otro que hubiera...

Le pediamos que nos enviara este WIN.EXE para controlar, lo cual, en lugar de ello, lo movió con el AVG a cuarentena...

Le dijimos que pasara el nuevo ELISTARA, y que posteara el log del infosat correspondiente, lo cual no ha hecho, y no sabemos si las claves de Swizzor que aun persisten, son tras haber pasado la nueva version del ELISTARA o no ...

Total, que si va a hacer las cosas como quiera en lugar de como le decimos, no podemos seguir ayudandole.

Damos el Tema por terminado y procedemos a cerrarlo

ms.

Mensaje por **msc hotline sat** » 31 Ene 2008, 18:20

Recibido WIN.EXE postcierre del Tema, se implementa su control y eliminacion en el ELISTARA 15.56, como STARTPAGE-CWZ:

---v15.56-(31 de Enero del 2008) (Muestras de Vundo9, Vundo(CPP) "VTURO.DLL", (7)Puper-Isf, (4)PWS-OnLineGames.AMVO, (4)PWS-OnLineGames.KAVO, (2)NaviPromo, Trojan.Agent.BUI "VOICESUB32.DLL", MySideSearch "ADSSITE_SIDEBAR.DLL", PWS-WoW.YU "FSMGMT.DLL", BanLoad.FVT "AUDIOHQ.EXE", (2)Banker "UPDATER.DLL" y StartPage-CWZ "WIN.EXE")

Aunque versiones anteriores pudieran detectarlo por coincidencia de cadenas con otra muestra, con la version de hoy diferenciamos ambos troyanos, procediendo con la 15.56, además, a eliminar las claves y proceso vírico en memoria, además del fichero.

saludos

ms, 31-1-2008

Mensaje por **msc hotline sat** » 31 Ene 2008, 18:34

y de paso debera controlar el SWIZZOR que le quedaba en el último log, pues desde la version de ayer ya se controla

---v15.55-(30 de Enero del 2008) (Muestras de DownLoader.ConHook "*****.DLL", (3)PWS-OnLineGames.AMVO, (2)Swizzor(lop), (5)MyWebSearch, (4)Zlob.Rich(dldr), Trojan.Agent.BUI "BROWSCAP32.DLL" y RiskTool.CloseApp(dr))

Es por ello que suposimos que no había probado dicho ELISTARA, pero de cualquier modo con el de hoy tambien lo eliminará, y aunque tuviera a medio eliminar el WIN.EXE, ya que el AVG habia movido el fichero, pero mantenido la clave, aunque no haya ya el fichero, dicha clave ahora la restauraremos como se debe.

Y recuerde que tiene claves por todas partes del anterior antivirus de McAfee, las cuales pueden colisionar con el AVG...

Puede probar el BUSCAREG buscando claves con palabras McAfee , NAI , VIRUSSCAN y eliminarlas. ms.

saludos

ms, 31-1-2008

Creo tener virus (CERRADO)

Creo tener virus (CERRADO)

creo tener virus

creo tener virus