Ayuda virus ...exgmrgml...exe

Matxetamos · Mensaje por **Matxetamos** » 17 Feb 2008, 16:57

Hola estoy buscando una solucion a esto y nada que no lo consigo... desde hace unos dias se me ejecuta un programa o virus o no se... y es que por ejemplo ahora mismo estoy escribiendo el texto este y se me desmarca la ventana y no puedo seguir escribiendo tengo que volver apulsar el texto para seguir y asi cada 20 segundos... el problema lo he detectado es que me voy a administrador de tareas de windows a procesos y se esta ejecutando un archivo llamado exgmrgml.exe y este archivo con numeros al principio y al final..mirar aqui unos ejemplos...

56exgmrgml18.exe

92exgmrgml18.exe

83exgmrgml18.exe

y asi muchos mas el registro este lo he encontrado en windows prefetch y cada vez que lo elimino de administrador de tareas lo que he notado es que vuelve aparecer cuando navego por internet es como si se pusiera a ejecutarse un programa en segundo plano... he pasado el nod 32,he limpiado con ccleaner y con Ad-aware y nada que no consuigo eliminarlo ayuda por favor estoy desesperado...

Mensaje por **msc hotline sat** » 17 Feb 2008, 19:17

Pues envienos el fichero que encuentre buscando el ??exgmrgml??.exe

y tambien busque si encuentra el C:\windows\system\smvss.exe y si es el caso, envienoslo tambien:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 17-2-2008

NOTA: Y que no sea de la carpeta C:\windows\prefetch\, ya que estos son solo .PF y no sirven para monitorizar. ms.

Mensaje por **msc hotline sat** » 18 Feb 2008, 12:51

Recibido el fichero salta en él nuestro antivirus de McAfee indicando ser un Backdoor CMQ

Subido al VirusTotal nos confirma la deteccion por 13 de 32 antivirus (40.63%), pero no por AVG, AVAST, Ewido, NOD32 (como Vd indica), ni Sophos ni Symantec, por lo que se supone que es de aparicion bastante reciente:

[quote]File smvss.exe received on 02.18.2008 12:20:43 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 13/32 (40.63%)

Antivirus Version Last Update Result

AhnLab-V3 2008.2.18.0 2008.02.18 -

AntiVir 7.6.0.67 2008.02.18 TR/Proxy.Horst.Gen

Authentium 4.93.8 2008.02.17 -

Avast 4.7.1098.0 2008.02.18 -

AVG 7.5.0.516 2008.02.18 -

BitDefender 7.2 2008.02.18 BehavesLike:Win32.ExplorerHijack

CAT-QuickHeal 9.50 2008.02.16 Win32.Trojan-Downloader.Calac.b

ClamAV 0.92.1 2008.02.18 -

DrWeb 4.44.0.09170 2008.02.18 -

eSafe 7.0.15.0 2008.02.17 suspicious Trojan/Worm

eTrust-Vet 31.3.5546 2008.02.18 -

Ewido 4.0 2008.02.17 -

FileAdvisor 1 2008.02.18 -

Fortinet 3.14.0.0 2008.02.18 -

F-Prot 4.4.2.54 2008.02.17 W32/PcClient.A.gen!Eldorado

F-Secure 6.70.13260.0 2008.02.18 W32/Horst.gen28

Ikarus T3.1.1.20 2008.02.18 Trojan-Downloader.Win32.Calac.b

Kaspersky 7.0.0.125 2008.02.18 Heur.Trojan.Generic

McAfee 5231 2008.02.15 BackDoor-CMQ.gen

Microsoft 1.3204 2008.02.18 Trojan:Win32/Malagent

NOD32v2 2882 2008.02.18 -

Norman 5.80.02 2008.02.15 W32/Horst.gen28

Panda 9.0.0.4 2008.02.17 Suspicious file

Prevx1 V2 2008.02.18 -

Rising 20.32.02.00 2008.02.18 -

Sophos 4.26.0 2008.02.18 -

Sunbelt 3.0.884.0 2008.02.18 -

Symantec 10 2008.02.18 -

TheHacker 6.2.9.222 2008.02.16 -

VBA32 3.12.6.1 2008.02.17 -

VirusBuster 4.3.26:9 2008.02.17 -

Webwasher-Gateway 6.6.2 2008.02.18 Trojan.Proxy.Horst.Gen

Additional information

File size: 33280 bytes

MD5: 21edc03226a8aeaad1ffe6c9ada9a374

SHA1: f75dcada50650f8f1371270f2b4124927e2b6c64

PEiD: -

packers: UPX

packers: PE_Patch.UPX [/quote]

Hoy implementamos su control y eliminacion en la version 4.39 del ELITRIIP de hoy, que podrá descargar esta tarde a partir de las 19 h, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 18-2-2008

Matxetamos · Mensaje por **Matxetamos** » 18 Feb 2008, 22:35

He ejecutado el elitriip y me dice eliminado gusano backdoor.cmq.... bueno pues que muchas gracias por vuestro soperte y rapidez gracias.

Mensaje por **lucl** » 18 Feb 2008, 22:46

No obstante peganos el log del elitriip que tendras en C infosat.txt , que es lo que se suele hacer en estos casos, saludos

Mensaje por **msc hotline sat** » 19 Feb 2008, 06:21

Sí, me olvide de darle el link del ELITRIIP :oops: y que nos adjuntara dicho informe con un copiar y pegar :

[quote]~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/datos/descargas/78/EliTriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Peguenoslo en su proximo post para ver el resultado del proceso y poder dar por solucionado el Tema, gracias

saludos

ms, 19-2-2008

Matxetamos · Mensaje por **Matxetamos** » 19 Feb 2008, 19:33

Bueno pues este es el log de eliptriip....

Mon Feb 18 20:45:00 2008

EliTriIP v4.39 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v4.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

C:\WINDOWS\SYSTEM\SMVSS.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"

Entrada Eliminada [HKLM\...\Run] "devenv"="C:\WINDOWS\system\smvss.exe /w"

Entrada Eliminada [HKCU\...\Run] "Update Service"="C:\ARCHIV~1\ARCHIV~1\TEKNUM~1\update.exe /startup"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Mon Feb 18 20:46:58 2008

EliTriIP v4.39 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 7056

Nº Total de Ficheros: 89695

Nº de Ficheros Analizados: 24843

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Feb 18 21:07:34 2008

EliTriIP v4.39 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Mensaje por **msc hotline sat** » 19 Feb 2008, 21:17

Pues mira que bien, por algo pedimos dicho informe, como muy bien ha indicado lucl:

[quote]Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v4.39 [/quote]

Ahi tienes una variante no controlada, que pasaremos a controlar cuando nos envies el fichero en cuestion

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras recibirla , implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

saludos

ms, 19-02-2008

Mensaje por **msc hotline sat** » 20 Feb 2008, 18:43

Pues analizada la muestra hemos implementado su control y eliminacion como Backdoor CMQ a partir de la version de hoy del ELITRIIP 4.41, que ya ha sido subida a esta web para pruebas de evaluacion en el foro de zonavirus:

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 20-2-2008

Matxetamos · Mensaje por **Matxetamos** » 20 Feb 2008, 20:26

Bueno pues aqui esta el log de elistara y de elitriip yo os pongo los dos ya que estoy un poco confundido esperemos que ya este bien,no pense yo que tenia asi el pc... muchas gracias por todo lo primero si que se fue ya no me da mas el error de momento.Cualquier cosa pedirla...

Log de elistara.

Wed Feb 20 19:26:02 2008

EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Feb 20 19:32:22 2008

EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Valve\Steam\SteamApps\franjsada\counter-strike source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\Valve\Steam\SteamApps\franjsada\half-life 2 deathmatch\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\Valve\Steam\SteamApps\franjsada\half-life 2 demo\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Documents and Settings\FRAN\Escritorio\Tv Digital\El Macetero v1.0\EL MACETERO V1.0.EXE --> Eliminado, DCToolBar

C:\WINDOWS\system32\CLOSEAPP.EXE --> Eliminado, RiskTool.CloseApp

Nº Total de Directorios: 7380

Nº Total de Ficheros: 86771

Nº de Ficheros Analizados: 27204

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

Log de elitriip.

Wed Feb 20 19:52:41 2008

EliTriIP v4.39 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Feb 20 19:54:31 2008

EliTriIP v4.41 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Feb 20 19:54:38 2008

EliTriIP v4.41 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\FRAN\Escritorio\SMSS.EXE.Muestra EliTriIP v4.39 --> Eliminado, BackDoor.CMQ (dropper)

C:\Muestras\SMSS.EXE.Muestra EliTriIP v4.39 --> Eliminado, BackDoor.CMQ (dropper)

Nº Total de Directorios: 7380

Nº Total de Ficheros: 86797

Nº de Ficheros Analizados: 25074

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Mensaje por **lucl** » 20 Feb 2008, 20:46

Parece que ahora si ya tienes todo correcto, confirmanos si te va bien y asi lo daremos por solucionado, saludos

Mensaje por **msc hotline sat** » 21 Feb 2008, 13:26

Pues creo que la pregunta de lucl ya queda contestada al indicarnos ~~[b]~~[i]"ya no me da mas el error de momento.Cualquier cosa pedirla... "[/i][/b], por lo que damos el Tema por solucionado y procedemos a cerrarlo

Si nos necesitas de nuevo, como bien dices, ya sabes donde estamos

saludos

ms, 21-2-2008