Posibles 2 nuevos gusanos del msn. (SOLUCIONADO)

[ambrosio16690]

Hola, quiero poner un problema que esta afectando a bastantes usuarios.



Resulta que hay gente, cada vez en augmento, que el msn les va lento, aveces no les conecta, se les cierra y todo eso.



Creo que se trata de dos gusanos llamados Kelvir.B y Fatso.A, que han aparecido hace poco, como mucho 3 semanas.

La cuestion es que no estoy seguro, y no he encontrado lo que hacen, solo como se propagan, pero la mayoria de la gente les pasa lo mencionado arriba.



Me gustaria que me dijerais si lo que he buscado es el origen del problema para saber si lo que hace el msn es por culpa de esos dos gusanos.

estos dos gusanos no afectan a Vista, y casualmente estaba hablando con una persona, y su hermano en el XP le pasa el problema de que no puede iniciar el msn y eso, y en en el ordenador de ella, con Vista instalado, si que puede y en el Vista no se a detectado ningun problema.



Yo no lo tengo, y gente si, asi que he descartado la posibilidad de que sea problema del servidor de msn.



Espero que me podais decir si es por culpa de esos dos gusanos, o son otro tipo de malware.

[lucl]

Pues si los tienes localizados envianoslos para su analisis y control, no obstante pasate estos dos programas que te indico y peganos el log que te dejaran en C infosat.txt saludos





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[lucl]

Me olvide el link de modo de envio, es este



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y si tienes los archivos renombralos a .VIR y no te incordiaran hasta que los tengamos controlados, saludos

[ambrosio16690]

El caso es que yo en mi ordenador no lo tengo, pero un amigo si que le pasa ese problema, lo que pasa es que no estoy seguro de que sean esos gusanos, asi que ahora os pego el log y haber si asi podeis decirme de que se trata, ya que yo no se que puede ser, y quiero pediros ayuda para si alguien le pasa, poder decirles que es y donde pueden quitarlo.

El caso es que quiero saber que es lo que esta probocando eso, porque me es extraño que a algunas personas les pase y a otras no.



Aqui va el log de mi amigo.



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:07:24, on 13/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

c:\archivos de programa\a-squared free\a2service.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\lxctcoms.exe

C:\Archivos de programa\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Tablet.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\Archivos de programa\Lexmark 5400 Series\lxctmon.exe

C:\Archivos de programa\Lexmark 5400 Series\ezprint.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe

C:\Archivos de programa\SpyBro\SpyBro.exe

C:\Archivos de programa\Belkin\Software Bluetooth\BTTray.exe

C:\Archivos de programa\FinePixViewer\QuickDCF.exe

C:\WINDOWS\system32\WTablet\TabUserW.exe

C:\Archivos de programa\OpenOffice.org 2.2\program\soffice.exe

C:\Archivos de programa\OpenOffice.org 2.2\program\soffice.BIN

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

D:\Victor\Mis documentos\Victor\VisualBoyAdvance-1.8.0-beta2-softredmania\VisualBoyAdvance.exe

C:\Archivos de programa\a-squared Anti-Malware\a2service.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.1121.2472\swg.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AsusStartupHelp] C:\Archivos de programa\ASUS\AASP\1.00.15\AsRunHelp.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [lxctmon.exe] "C:\Archivos de programa\Lexmark 5400 Series\lxctmon.exe"

O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "C:\Archivos de programa\Lexmark 5400 Series\fm3032.exe" /s

O4 - HKLM\..\Run: [EzPrint] "C:\Archivos de programa\Lexmark 5400 Series\ezprint.exe"

O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [a-squared] "C:\Archivos de programa\a-squared Anti-Malware\a2guard.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [support two] C:\DOCUME~1\Hyperlon\DATOSD~1\SETTIN~1\WinBitsBait.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: OpenOffice.org 2.2.lnk = C:\Archivos de programa\OpenOffice.org 2.2\program\quickstart.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Exif Launcher.lnk = ?

O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe

O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Archivos de programa\a-squared Anti-Malware\a2service.exe

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\archivos de programa\a-squared free\a2service.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Archivos de programa\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe



--

End of file - 12040 bytes

[msc hotline sat]

Aparte del SpyBro, que ya controlamos con el ELISTARA, hay este fichero sospechoso:



C:\DOCUME~1\Hyperlon\DATOSD~1\SETTIN~1\WinBitsBait.exe



Envianoslo para analizar y si es malware, implementaremos su control y eliminacion en la utilidad que ya indicaremos.



Demomento envianos el fichero indicado WinBitsBait.exe como indicamos en:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





SALUDOS



ms, 13-3-2008

[ambrosio16690]

Y donde puedo encontrar ese fichero para comprimirlo y enviarlo para que lo analiceis, es que no se donde buscar el fichero.



Mi amigo a esa entrada le a dado a Fix Check, y es que no se si la a cagado o que.

[msc hotline sat]

Dicho fichero lo tiene en:



C:\DOCUME~1\Hyperlon\DATOSD~1\SETTIN~1\



y no le habiamos dicho que eliminara la clave, solo que nos enviara el fichero, y solo si resultara ser malware eliminariamos la clave...



Cuidado con lo que toca del registro, que puede ser peor el remedio que la enfermedad.



saludos



ms, 13-3-2008

[ambrosio16690]

Le dicho de buscarlo, pero como no lo encontrabamos, el le a dado a fix check sin decirmelo antes, y cuando ya lo a hecho a sido cuando me lo a dicho.

¿Se puede volver a recuperar esa clave?

[lucl]

Aunque no este la clave buscadlo siguiendo la ruta, es facil, y nos comentais si pudisteis, saludos





C:\DOCUME~1\Hyperlon\DATOSD~1\SETTIN~1\[b]WinBitsBait.exe[/b]



y por si estuviera oculto haced esto





Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas



ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar



y si no id a inicio .......buscar y poneis el nombre del archivo el que os marque en negrita, saludos

[ambrosio16690]

Vale, ya sabemos lo que es, no es ningun gusano ni nada de eso, es por la nueva actualizacion de windows Live, que con los scripts y todo eso, hace que algunas personas les vaya lento.



Si desisntalamos la version, y volvemos a descargar la 8.1, se pone automaticamente la version nueva de Msn Live, la 9. Hemos llegado a la conclusion de que los que autorizaron la actualizacion no les a pasado nada (yo y un amigo la autoricemos y nos a pasado nada9 pero hay gente que no la autorizo, se le instalo sola, y ahora tienen ese problema.



Gracias por ayudar, y esperamos encontrar una solucion para esto, que de momento, no encontramos solucion posible.



Un saludo.

[msc hotline sat]

Pues envianos el fichero que te hemos pedido y lo analizaremos, sea lo que sea, aunque no tenga que ver con este problema...



Y sobre lo de no poder conectar ... no solo es por la version, pues mientras estaba posteando hace unos minutos estaba oyendo la TV3 que estan dando noticias y he oido que miles de usuarios han sido afectados y que microsoft ha culpado a telefonica por problemas de la ADSL... total que he buscado al respecto en LA VANGUARDIA de hoy y ahi teneis mas informacion:



http://www.lavanguardia.es/lv24h/20080313/53445186011.html



Un poco de todo :wink:



Es posible que la nueva version tenga problemas con ciertas limitaciones de la ADSL ... ??? , puede que así sea.



saludos



ms, 14.03.2008





NOTA: En nueva repeticion de las noticias de TV3 he prestado atencion e indican que la ASOCIACION DE INTERNAUTAS ha indicado que mas de 1 millon de usuarios de Catalunya y Pais Valencià han sido afectados por esta anomalia de la ADSL que afecta a varios servicios de Microsoft, supongo que hoy habrá mas noticias al respecto. ms.

[ambrosio16690]

Perdon por no ponerlo en mi anterior post, pero el archivo no lo podemos enviar porque no lo encuentra, asi que no sabremos que era ese archivo.

Gracias por todo.

[msc hotline sat]

Bien, solo por si estuviera oculto, recordar:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Si lo encuentran nos lo envian y lo analizaremos, y prfocederemos en consecuencia, pero en cualquier caso damos por solucionado este Tema y procedemos a cerrarlo



saludos



ms, 14-3-2008