Trojan Iteka. Logger.Zbot.np

[julibaga]

Hola a todos. Este es el problema.

ya le pase de todo en modo prueba de fallos sin resultado. Busco solucion para el trojano mencionado

En ewido esta nombrado como Logger.Zbot.np

Los archivos relacionados con el son.

Windows\system32\wsnpoem\audio.dll

windows\system32\wsnpoem\video.dll

windows\system32\ntos.exe



supongo que algunos mas.

No puedo resetearle el setup ya que es una laptop

(este mensaje esta sin acentos porque dicho virus no me permite ponerlos. Es una de las cosas que hace el bicho)



aqui esta el log del HJT



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:54:18 p.m., on 29/03/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\S24EvMon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZCfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\System32\TFNF5.exe

C:\WINDOWS\System32\TPSMain.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\WINDOWS\System32\TPSBattM.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\RegSrvc.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\System32\svchost.exe

c:\TOSHIBA\Ivp\Swupdate\swupdtmr.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\1XConfig.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\user\Escritorio\HJT.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVR Control) - http://www.devalvr.com/instalacion/plugin/devalocx.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.kromidigital.com.mx/digital/system/pedido/ImageUploader4.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by103fd.bay103.hotmail.msn.com/activex/HMAtchmt.ocx

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Swupdtmr - Unknown owner - c:\TOSHIBA\Ivp\Swupdate\swupdtmr.exe



--

End of file - 6432 bytes

[julibaga]

Añadiendo informacion al respecto, mencionar que el F2 de dicho HJT ya intente eliminarlo, sin resultado alguno ya que vuelve una y otra vez.



Los archivos mencionados al principio, intente encontrarlos manualmente y no aparece ni siquiera la carperta wsnpoem



Gracias por su ayuda.

[julibaga]

Pues qué creen??

Ya lo solucioné. Y como ven ya funcionan los acentos.

La solución se la paso a msc en mensaje privado por si no procede ponerlo en el foro. Si considera que se debe poner, no hay inconveniente en compartirlo.



Salu2

[msc hotline sat]

Como he indicado en la respuesta del privado, lo que nos interesa es recibir los ficheros causantes para analizarlos y asi implementar su control y solucion en la siguiente version de nuestras utilidades:



Windows\system32\wsnpoem\audio.dll

windows\system32\wsnpoem\video.dll

windows\system32\ntos.exe



Aparte, informarte de lo que desataca en el log:



vemos esta clave anormal:



F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,



y ojo, que faltan todos los parches del SP2 y posteriores, aunque ya se haya solucionado el problema, debe actualizarse con un windowsupdate.



De momento lo logico hubiera sido probar el ELISTARA, con el que ya se habría eliminado la carpeta en cuestion, como se ve en otros casos:



Eliminada Carpeta "%WinSys%\Wsnpoem"



Pero esta parece ser una variante que utiliza la carga del ntos.exe en manera "normal":



F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,





en lugar de hacerlo como con la variante del PWS/NTOS ya conocida:



Entrada Eliminada [HKCU\...\Run] "userinit"="C:\WINDOWS\system32\ntos.exe"



por ello conviene recibir las muestras para controlar esta nueva variante.



saludos



ms, 30-03-2008

[julibaga]

Como menciono en un log anterior:
[quote="julibaga"]Añadiendo informacion al respecto, mencionar que el F2 de dicho HJT ya intente eliminarlo, sin resultado alguno ya que vuelve una y otra vez.



Los archivos mencionados al principio, intente encontrarlos manualmente y no aparece ni siquiera la carperta wsnpoem



Gracias por su ayuda.[/quote]

por lo que no fue posible el enviarles dichos archivos. Sólo he podido enviar el ntos.exe (msc: debes tenerlo en tu poder).

Efectivamente no tiene el SP2 y demás parches porque el cliene así lo quiere, bajo su riesgo y responsabilidad, y el que paga, manda... :)



Créanme que he hecho lo posible para enviarles la información que he podido, esperando les sirva de algo.

[msc hotline sat]

Bien julibaga, he acabado de pulir mi post anterior, y veo que ya habias posteado uno nuevo. No contaba que estuvieras despierto a estas horas !



Pues bien, mañana cuando entremos en SATINFO veremos este NTOS.EXE y procederemos a controlarlo, pues debe tratarse sin duda de una nueva variante.



Si quieres subelo al VirusTotal para ver si es nuevo y lo controlan pocos antivirus o muchos, y asi ademas ya pasaran a controlarlo normalmente los antivirus que no lo hagan aun (Hispasec envia las muestras víricas a los 32 participantes, si no se marca NO ENVIAR, por alguna razon.



Bueno, pues mañana lo vemos



saludos



ms, 30.03.2008

[julibaga]

Ya no lo tengo en mi poder. Lo envié desde la máquina infectada y ahora estoy trabajando con la mía, por lo que ya no es posible para mí subirlo a Virustotal

[msc hotline sat]

Bueno, ya lo haremos mañana nosotros.



Tampoco tengo acceso al correo, ya que el servidor de SATINFO los baja cuando llegan para no perder ninguno y descargar la cola de entrada.



Tranqui, mañana lo hacemos.



saludos



ms, 30-03-2008

[julibaga]

Como veo que quedó medio colgado este tema, lo retomo para saber si pudieron controlarlo o, por falta de datos, no pudieron. Yo espero que en algo haya servido la información que les proporcioné.



Salu2

[msc hotline sat]

Pues a esta hora ya es de noche y estoy en casa, no puedo saber si se recibieron las muestras que indicabas, pero me consta que lo que llega de zonavirus, indicando el nick como referencia, se atiende con prioridad a los cientos que se reciben a diario, justo a continuacion de los asociados a SATINFO.



Si lo enviaste como se indica en



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



debería estar controlado, pero no puedo acordarme (atendemos mas de 200 llamadas diarias, aparte de mails y visitas personales, y aunque intento mantener todo al día, no puedo acordarme de todo lo que se hace, tendré que ir pensando en instalarme algun TB mas de memoria, no sé donde claro ! :mrgreen:



A ver si mañana lo reviso, y si no, cuando te levantes, que ya hará horas que estaré trabajando, si no te he dicho nada mas, me lo recuerdas, gracias (pero no a esta hora que ya voy a cenar ! :roll: )



saludos



ms, 3-4-2008

[julibaga]

Te recuerdo que te lo envié a ti directamente como mensaje privado, ya que no estaba compactado como lo piden.

[msc hotline sat]

Ah, no siguió el camino normal, sí, recuerdo que fué la excepcion que confirma la regla... :wink:



Lo que no sé es como acabó. lMe informaré en cuaNto llegue al trabajo



saludos



ms, 4-4-2008

[msc hotline sat]

Efectivamente el lunes pasado se implemenmtó el control de un NTOS , y luego el miercoles otro:



https://foros.zonavirus.com/viewtopic.php?f=11&t=24262&p=130773&hilit=ntos#p130773



https://foros.zonavirus.com/viewtopic.php?f=11&t=24230&hilit=ntos





Pero hemos visto que no la variante que adjuntabas, por la que pasamos a añadirla con el ELISTARA 15.99 de hoy como PWS NTOS, como sus compañeros.



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 4-4-2008

[msc hotline sat]

Ya se controla la nueva variante del NTOS:



https://foros.zonavirus.com/viewtopic.php?f=11&t=24291&hilit=ntos



Informanos del resultado tras probar la nueva version del ELISTARA, gracias



saludos



ms, 7-04-2008