Variante Virus Messenger (SOLUCIONADO)

[koga]

Buenas, dejo este log que es de alguien que tiene el virus del messenger y a pesar de haber pasado elistara y elitriip no se ha borrado, la persona quiere formatear logre persuadirla de que me de un tiempo a ver si me ayudan a encontrar el problema para enviarles el archivo y puedan controlarlo en las utilidades de la pagina, bueno aqui va,







Logfile of HijackThis v1.99.1

Scan saved at 19:24:26, on 13/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Archivos de programa\MSI\Live Update 3\LMonitor.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\browser32.exe

C:\DOCUME~1\ANDRES\CONFIG~1\Temp\26.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\NVIDIA Corporation\nTune\nTuneService.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Archivos de programa\MSI\Core Center\CoreCenter.exe

C:\Archivos de programa\MSI\DigiCell\DigiCell.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Gravity\RO\RO Resurrection.exe

C:\DOCUME~1\ANDRES\CONFIG~1\Temp\73.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Adobe\Reader 8.0\Reader\AcroRd32Info.exe

C:\DOCUME~1\ANDRES\CONFIG~1\Temp\Rar$EX00.735\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Archivos de programa\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)

O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Archivos de programa\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Archivos de programa\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

O4 - HKLM\..\Run: [LiveMonitor] C:\Archivos de programa\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Love default global mess] C:\Documents and Settings\All Users\Datos de programa\great coal love default\dumb knob.exe

O4 - HKLM\..\Run: [Windows Browser Services] browser32.exe

O4 - HKLM\..\Run: [NvGraphicsInterface] C:\DOCUME~1\ANDRES\CONFIG~1\Temp\73.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [idleinfo] C:\DOCUME~1\ANDRES\DATOSD~1\EGGSDO~1\mail 1.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: CoreCenter.lnk = C:\Archivos de programa\MSI\Core Center\CoreCenter.exe

O4 - Global Startup: DigiCell.lnk = C:\Archivos de programa\MSI\DigiCell\DigiCell.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198011253796

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202522603000

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Archivos de programa\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe



Veamos si lo encontramos para no perder la muestra,







saludos.

[msc hotline sat]

Efectivamente, tene estos ficheros sospechosos:



C:\Documents and Settings\All Users\Datos de programa\great coal love default\dumb knob.exe



C:\WINDOWS\system32\browser32.exe



C:\DOCUME~1\ANDRES\DATOSD~1\EGGSDO~1\mail 1.exe



Envianos muestra de ellos para analizarlos



y si paso las ultimas versiones de ELISTARA y ELITRIIP, postea tambien el contenido del C:\infosat.txt



Tras ello obraremos en consecuencia e informaremos



saludos



ms, 14-2-2008

[koga]

Las 2 primeras entradas ya le habia dicho que las desactivara vere que envie dichos archivos y tambien los 2 ultimos, de paso le pedire el infosat para postearlo, apenas tenga contacto con la persona hago lo indicado,







Saludos.

[msc hotline sat]

Y dile que para enviar los ficheros siga las instrucciones de:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Tan pronto como las recibamos, pasaremos a analizarlas e informaremos





saludos



ms, 14-2-2008

[koga]

ok, tengo una duda con respecto a esta entrada,



O4 - HKLM\..\Run: [NvGraphicsInterface] C:\DOCUME~1\ANDRES\CONFIG~1\Temp\73.exe



Es normal? no encontre mucha informacion, pero se ejecuta en el arranque desde los temporales?



bueno ya me diras para saber si debe mandarla tambien,





saludos.

[msc hotline sat]

Pues informacion hay la que quieras !!!



http://www.google.es/search?sourceid=navclient&hl=es&ie=UTF-8&rls=GGLD,GGLD:2003-51,GGLD:es&q=73%2eexe



Evidentemente al ser ejecutado desde una carpeta TEMP no es muy ortodoxo lanzarlo en un O4 (RUN) que se ejecutan desde el inicio, pero ...



Antes de enviarnosla, subela al VirusTotal, y solo si resulta positivo para alguno, envianosla para analizar, sino considerala una aplicacion mas.



https://www.virustotal.com/es/



saludos



ms, 14-2-2008

[koga]

Primero el infosat, que me di cuenta elistara ya elimina la entrada por la cual te pregunte,


[quote]
ok, tengo una duda con respecto a esta entrada,



O4 - HKLM\..\Run: [NvGraphicsInterface] C:\DOCUME~1\ANDRES\CONFIG~1\Temp\73.exe



Es normal? no encontre mucha informacion, pero se ejecuta en el arranque desde los temporales? [/quote]









Thu Feb 07 13:12:51 2008

EliStartPage v15.61 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "NvGraphicsInterface"="C:\DOCUME~1\ANDRES\CONFIG~1\Temp\02.exe"

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Thu Feb 07 13:40:00 2008

EliStartPage v15.61 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SINTF32.DLL --> Eliminado, Spy-CmdLineExt

C:\WINDOWS\system32\SINTFNT.DLL --> Eliminado, Spy-CmdLineExt



Nº Total de Directorios: 3922

Nº Total de Ficheros: 39617

Nº de Ficheros Analizados: 11322

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Thu Feb 07 15:33:09 2008

EliStartPage v15.61 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Thu Feb 07 15:33:25 2008

EliStartPage v15.61 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3918

Nº Total de Ficheros: 39500

Nº de Ficheros Analizados: 11320

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Feb 08 21:00:25 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Fri Feb 08 21:00:40 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\ANDRES\Configuración local\Datos de programa\Ares\My Shared Folder\nod32 antivirus 2 70 16 con crack.exe --> Eliminado, Bifrose(dropper)

C:\RECYCLER\S-1-5-21-448539723-1580436667-682003330-1003\Dc373.exe --> Eliminado, Bifrose(dropper)



Nº Total de Directorios: 3936

Nº Total de Ficheros: 41311

Nº de Ficheros Analizados: 10417

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Mon Feb 11 19:26:28 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Mon Feb 11 19:26:35 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3938

Nº Total de Ficheros: 45193

Nº de Ficheros Analizados: 11069

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Feb 11 19:44:31 2008

EliStartPage v15.61 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Feb 13 19:30:29 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "NvGraphicsInterface"="C:\DOCUME~1\ANDRES\CONFIG~1\Temp\73.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Feb 13 19:30:54 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3952

Nº Total de Ficheros: 39785

Nº de Ficheros Analizados: 11328

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Ya le dije que hiciera un windows update, pero es la razon por la cual de todas formas va a formatear, la ultima ves que le formateraion el pc en un servicio tecnico era pirata asi que tuvo ya la discucion y va a tener que formatear de todas formas, igual le pedi que me diera un tiempo a ver si sacamos todas las muestras necesarias antes del formateo.



Las muestras de:



C:\Documents and Settings\All Users\Datos de programa\great coal love default\dumb knob.exe



C:\DOCUME~1\ANDRES\DATOSD~1\EGGSDO~1\mail 1.exe



las estoy enviando en este momento, la primera cambia xde nombre asi que ahora va con el nombre else load.exe, el problema es que la tercera muestra no puede encontrarla browser32.exe no esta le pedi que la buscara en modo seguro, si la encuentra la enviare, si no fuese asi de aqui a mañana pues nos quedaremos sin esa muestra porque tiene que formatear....



Alguna idea de que puede haber pasado con ella??

o de como buscarla?



por favor avisenme cuando lleguen las muestras para poder decirle que formatee,







saludos.

[msc hotline sat]

Y para qué vas a formatear si lo dejamos limpio ???



Por cierto, visto e infosat en el que aparece que tenías el CiD, induce a pensar que uno de los ficheros que te pediamos , el dumb knob.exe , posiblemente sea una variante de SWIZZOR; pero ya lo veremos cuando recibamos las muestras, quizas están ya en SATINFO, lo veremos en unj par de horas, cuando entremos a trabajar



Ya informaremos del analisis



saludos



ms, 15-2-2008





NOTA: Y fijate que el Browser.exe está entre los ficheros en uso, o sea que no solo hay la clave de lanzamiento, sino ademas está entre:



C:\WINDOWS\system32\Rundll32.exe

C:\Archivos de programa\MSI\Live Update 3\LMonitor.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

[b][i]C:\WINDOWS\system32\browser32.exe [/i][/b]

C:\DOCUME~1\ANDRES\CONFIG~1\Temp\26.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe



Buscalo bien y recuerda: https://foros.zonavirus.com/viewtopic.php?f=5&t=13245 ms.

[msc hotline sat]

Recibidas dos muestras para analizar que resultan ser variantes del SWIZZOR, que pasamos a implememntar en el ELISTARA 14.67 de hoy



saludos



ms, 15-2-2008

[koga]

El problema es que en el nuevo log de hjt ya no aparece, y como sabes no tengo el pc yo para buscarlo mas bien le pido a la persona que lo haga, elimino la clave directamente del hjt y ahora no aparece, pero esto no deberia borrar el archivo verdad? solo esta eliminando la entrada que lo arranca, no tengo el log nuevo de hjt a mano ahora pero apenas lo tenga lo envio,











saludos.

[msc hotline sat]

Claro que no aparece en uso si has borrado la clave, pero el fichero sigue estando, aunque no lo hayas lanzado y no esté en uso !



A ver si lo encuentras y puedes enviarnoslo



saludos



ms, 15-2-2008

[koga]

Lo mismo le dije yo no puede desaparecer, pues yo le pedi borrara la clave para no tener el problema, pero me dice que no lo encuentra, incluso con la herramienta buscar de windows, no puede ser que cambie de nombre al igual que el dumb knob.exe?

de todas formas le pedi que iniciara en modo seguro y lo busque activando la vision de los archivos y carpetas ocultos, de todas formas se aloja en la carpeta de sistema...

Apenas me de la respuesta de si realizo la busuqeda en modo seguro pongo la respuesta, ya que aunque se soluciono el problema lo ideal es que tengamos la muestra,







Saludos.

[msc hotline sat]

Sí, para él y para todos mejor ir controlando todo los incordios.



Y acabo de subir la 15.67 del ELISTARA y la 4.38 del ELITRIIP, que las pruebe, que hay control de nuevos virus de MSN



saludos



ms, 15-2-2008

[koga]

Ok le dire que lo haga, de todas formas ahora estoy viendo el log de otra persona que tiene un archivo process32.exe en este momento lo envio como muestras por sospecar que se trata del mismo virus con distinto nombre ya que tambien se encuantra infectado con el virus de msn, ya me informaras cuando llegue,







saludos.

[msc hotline sat]

Como que hasta el lunes no volvemos al trabajo en SATINFO, sube este fichero que nos has enviado process32.exe al virustotal y adelantaremos saber si es o no virus, IRCBOT o similar como esperamos, y nos comentas el resultado, gracias



https://www.virustotal.com/es/



saludos



ms, 16-2-2008

[koga]

Aqui esta el informe de virus total, parece ser que es del mismo tipo que el browser32 que no pude enviar,

























Saludos.

[msc hotline sat]

Bueno, asi confirmamos que es virus y vemos que es del tipo IRCBOT (SDBOT)



Y de momento simplemente renombra la extension de dicho fichero a .VIR , para que al reiniciar ya no se ejecute.



Mañana haremos nueva version del ELITRIIP que controle y elimine esta nueva variante y restaura claves correspondientes y demas..



saludos



ms, 17-2-2008

[koga]

De hecho ya fue eliminada la entrada desde el HJT en el pc que lo tenia, suponiendo que es el mismo virus que el browser32.exe, ya se tiene la muestra y puede darse por terminado el tema,













saludos.

[msc hotline sat]

Pues conforme indicas, damos el Tema por solucionado y procedemos a cerrarlo



saludos



ms, 17-2-2008

[msc hotline sat]

Recibimos postcierre del Tema la muestra en cuestion, que pasamos a controlar con el ELITRIIP de hoy 4.39



A título de informacion, es otro backdoor de IRC, como suponiamos, que subido al virustotal ofrece estas detecciones:


[quote]File foto-17.JPEG-www.myspace.com received on 02.16.2008 01:19:10 (CET)

Current status: finished



Result: 12/32 (37.50%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2008.2.16.10 2008.02.15 -

AntiVir 7.6.0.67 2008.02.15 TR/Crypt.XPACK.Gen

Authentium 4.93.8 2008.02.15 -

Avast 4.7.1098.0 2008.02.15 -

AVG 7.5.0.516 2008.02.15 SHeur.ASWL

BitDefender 7.2 2008.02.16 -

CAT-QuickHeal None 2008.02.15 -

ClamAV 0.92.1 2008.02.15 -

DrWeb 4.44.0.09170 2008.02.16 -

eSafe 7.0.15.0 2008.02.14 Suspicious File

eTrust-Vet 31.3.5541 2008.02.15 -

Ewido 4.0 2008.02.15 -

FileAdvisor 1 2008.02.16 -

Fortinet 3.14.0.0 2008.02.15 -

F-Prot 4.4.2.54 2008.02.15 -

F-Secure 6.70.13260.0 2008.02.15 Trojan:W32/Agent.EKH

Ikarus T3.1.1.20 2008.02.15 Trojan.Crypt.XPACK

Kaspersky 7.0.0.125 2008.02.16 -

McAfee 5231 2008.02.15 -

Microsoft 1.3204 2008.02.14 -

NOD32v2 2880 2008.02.15 Win32/IRCBot.AAH

Norman 5.80.02 2008.02.15 W32/Smalltroj.CUIQ

Panda 9.0.0.4 2008.02.15 W32/IRCBot.BTJ.worm

Prevx1 V2 2008.02.16 MSNLive-Image:Worm-a

Rising 20.31.30.00 2008.02.14 -

Sophos 4.26.0 2008.02.15 Mal/HckPk-A

Sunbelt 2.2.907.0 2008.02.14 -

Symantec 10 2008.02.16 W32.IRCbot

TheHacker 6.2.9.221 2008.02.15 -

VBA32 3.12.6.1 2008.02.14 -

VirusBuster 4.3.26:9 2008.02.15 -

Webwasher-Gateway 6.6.2 2008.02.15 Trojan.Crypt.XPACK.Gen

Additional information

File size: 81408 bytes

MD5: 42b9a6266386ec521169bfbd19420b67

SHA1: 0b435650227e0d5730b580753726a57212d9ba94

PEiD: -

packers: EXECryptor

packers: Execryptor

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=787BBBAA000BB6153EC4012F15F14F007FB2F6CD [/quote]

saludos



ms, 17-2-2008