Actividad en Modem - Posible virus

[rankrb]

Hola amigos.

He detectado que al conectarme a internet, vía modem, hay actividad de enviar

datos sin que haya accedido aún a ninguna página. Esto lo noté hace unos días

cuando también ví que se había establecido una página por defecto en el explorer (y que aunque la ponga en blanco al rearrancar sale otra vez (http://www.freeart1cile.com))



Os adjunto el resultado del Hijack, Un saludo y gracias:



Logfile of HijackThis v1.99.1

Scan saved at 18:48:15, on 20/04/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\carpserv.exe

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\WINNT\system32\internat.exe

C:\WINNT\system32\mdm.exe

C:\Program Files\Compuware\QALoad\plgui.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Microsoft Office\Office\1033\msoffice.exe

C:\WINNT\system32\wuauclt.exe

C:\Program Files\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freeart1cile.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe

O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Player Agent.lnk = C:\Program Files\Compuware\QALoad\plgui.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = es.int.atogin.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = es.int.atogin.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = es.int.atogin.com

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: McAfeeFramework - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINNT\system32\irdvxc.exe" /service (file missing)

O23 - Service: CA Backup Agent for Open Files Service (OpenFileAgent) - Computer Associates International, Inc. - C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe

O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE

[lucl]

Pasate estos dos antitrojanos y peganos el log que te dejaran en C infosat.txt saludos





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[msc hotline sat]

Y si no detectaran nada por ser aun variantes desconocidas, envianos estos ficheros para analizar:



C:\WINNT\system32\mdm.exe



C:\WINNT\system32\irdvxc.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



pues sobre el mdm.exe:

http://www.bleepingcomputer.com/startups/mdm.exe-12349.html



y sobre el irdvxc.exe:

http://fileinfo.prevx.com/adware/qq237e53211221-IRDV28056500/IRDVXC.EXE.html



saludos



ms, 20-05-2008

[rankrb]

Hola.

Ya os he mandado el mdm.exe. Vi que tenía fecha del 19 de Abril (cuando empezaron los problemas) y estaba como sólo lectura. Le he renombrado y parece que ahora no hay problemas. El otro fichero, el irdvxc.exe, ya le envié anteriormente por un problema similar. (también está renombrado)



Os ajunto el resultado. Saludos y gracias



Mon Apr 21 22:53:55 2008

EliStartPage v16.12 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 21 22:54:20 2008

EliStartPage v16.12 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\gadorossd\bin\KRNLCARE.EXE --> Eliminado, AdWare.Agent.BN

C:\gadorossd\mbin\KRNLCARE.EXE --> Eliminado, AdWare.Agent.BN

C:\gadorossd\sbin\KRNLCARE.EXE --> Eliminado, AdWare.Agent.BN



Nº Total de Directorios: 3352

Nº Total de Ficheros: 51676

Nº de Ficheros Analizados: 14077

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[msc hotline sat]

Pues los analizaremos e informaremos.



saludos



ms, 22-04-2008

[msc hotline sat]

Llega el MDM pero no el irdvxc.exe



Pasamos a monitorizar el que ha llegado, que a priori en un analisis preliminar vemos que es un backdoor de IRC, y pasaremoa a controlarlo con el ELITRIIP de hoy, de lo cual informaremos.



saludos



ms, 22-04-2008