Proceso kek.exe

[Gramos]

Hola:

El día de hoy dejó de reconocer mi maquina un disco externo y por curiosodad di una mirada a los procesos activos encontrando dos desconocidos para mi. el kek.exe y el mpt.exe... al investigar un poco encontré que se tratan de procesos viricos y los renombre como .vir por lo que no se iniciaron pero no he hecho otra modificacion... trate de buscar en el foro pero el buscador me dice que utilice una palabra diferente de al menos 5 caracteres y no tan genericas por lo que abri este tema

El elistara y el elitriip no arrojaron resultados

Espero comentarios

[lucl]

El log de infosat siempre hay que ponerlo aunque no encuentres nada, y seria muy bueno localizar los archivos de esos procesos y que nos los envies para su analisis, mira de hacerlo y nos comentas saludos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[Gramos]

Les dejo el InfoSat y el Log del Hijackthis...Envio tambien los dos ficheros mencionados como muestras





Mon Aug 11 18:03:37 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Aug 11 18:03:59 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4105

Nº Total de Ficheros: 43056

Nº de Ficheros Analizados: 17014

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Aug 11 18:30:01 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Aug 11 18:30:03 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4105

Nº Total de Ficheros: 43059

Nº de Ficheros Analizados: 16368

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Logfile of HijackThis v1.99.1

Scan saved at 11:19:19 p.m., on 11/08/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe

C:\ARCHIV~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\AVG\AVG8\avgrsx.exe

C:\ARCHIV~1\AVG\AVG8\avgemc.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Documents and Settings\Administrador\Mis documentos\Descargas\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.mx

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [mpt] c:\WINDOWS\system32\mpt.exe

O4 - HKCU\..\Run: [kek] c:\WINDOWS\system32\kek.exe

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.15\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.15\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[lucl]

Subelos a analizar a virustotal mientras te analizamos nosotros el envio para que lo conozcan los demas antivirus, y renombralos a .VIR para que no esten activos mientras te damos la herramienta necesaria, saludos





www.virustotal.com/es

[koga]

Aunque dice que los renombro a .vir se siguen iniciando segun el log de HJT

[b]O4 - HKCU\..\Run: [mpt] c:\WINDOWS\system32\mpt.exe[/b]

[b]O4 - HKCU\..\Run: [kek] c:\WINDOWS\system32\kek.exe[/b]



Debe mirar si al renombrarlos a .vir no solo se les agrega al nombre si no que cambian su extension, es facil distinguirlo ya que al dejar de ser .exe el icono cambia.





Saludos.

[flacoroo]

tambien elimina esta claves



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

y elimnas tambien las cadenas que te dijo koga

[Gramos]

Siento haber cometido el error de pegar el Log del Hijackthis anterior a renombrar los archivos... ya elimine las entradas sugeridas y este es el log actual

Logfile of HijackThis v1.99.1

Scan saved at 02:37:48 p.m., on 13/08/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe

C:\ARCHIV~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\AVG\AVG8\avgrsx.exe

C:\ARCHIV~1\AVG\AVG8\avgemc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrador\Mis documentos\Descargas\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.mx

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.15\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.15\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



Agradezco sus comentarios y espero el resultado del analisis de los archivos enviados

[flacoroo]

log limpio......esperamos respuesta del envio de muestras.......

[msc hotline sat]

Sobre el KEK.EXE:



http://info.prevx.com/aboutprogramtext.asp?PX5=53CB81C124695ED4A3F40021E4A60000A64058DF



y sobre el MPT.EXE:



http://info.prevx.com/aboutprogramtext.asp?PX5=53CB81C105695ED4E5F40021E4A6000083346A34



Subelos al Virustotal, como indica lucl y posteanos el informe resultante del analisis de cada uno de ellos, para obrar en consecuencia, gracias



saludos



ms, 16 de Agosto de 2008

[Gramos]

Informes de virustotal



Análisis del archivo kek.exe recibido el 16.08.2008 16:19:53 (CET)

Estado actual: análisis terminado

Resultado: 6/36 (16.67%)







Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.8.15.0 2008.08.15 -

AntiVir 7.8.1.19 2008.08.16 -

Authentium 5.1.0.4 2008.08.16 -

Avast 4.8.1195.0 2008.08.15 -

AVG 8.0.0.161 2008.08.16 -

BitDefender 7.2 2008.08.16 -

CAT-QuickHeal 9.50 2008.08.16 -

ClamAV 0.93.1 2008.08.16 -

DrWeb 4.44.0.09170 2008.08.16 -

eSafe 7.0.17.0 2008.08.14 -

eTrust-Vet 31.6.6035 2008.08.15 -

Ewido 4.0 2008.08.16 -

F-Prot 4.4.4.56 2008.08.16 -

F-Secure 7.60.13501.0 2008.08.16 Trojan-Downloader.Win32.Agent.aajt

Fortinet 3.14.0.0 2008.08.16 -

GData 2.0.7306.1023 2008.08.16 -

Ikarus T3.1.1.34.0 2008.08.16 Backdoor.Win32.Small.ejp

K7AntiVirus 7.10.417 2008.08.15 -

Kaspersky 7.0.0.125 2008.08.16 Trojan-Downloader.Win32.Agent.aajt

McAfee 5362 2008.08.15 -

Microsoft 1.3807 2008.08.16 -

NOD32v2 3360 2008.08.15 -

Norman 5.80.02 2008.08.15 -

Panda 9.0.0.4 2008.08.16 -

PCTools 4.4.2.0 2008.08.16 -

Prevx1 V2 2008.08.16 Cloaked Malware

Rising 20.57.52.00 2008.08.16 -

Sophos 4.32.0 2008.08.16 -

Sunbelt 3.1.1546.1 2008.08.15 -

Symantec 10 2008.08.16 -

TheHacker 6.3.0.3.046 2008.08.13 -

TrendMicro 8.700.0.1004 2008.08.16 -

VBA32 3.12.8.3 2008.08.15 Trojan-Downloader.Win32.Agent.aajt

ViRobot 2008.8.16.1338 2008.08.16 Spyware.Agent.Do.41764

VirusBuster 4.5.11.0 2008.08.15 -

Webwasher-Gateway 6.6.2 2008.08.16 -



Información adicional

File size: 41764 bytes

MD5...: 8f12f56cad2a08c1ffdda1501302d6bd

SHA1..: 7040e6f3661a11a16068a2e6174eae942d701654

SHA256: c2a79b2060b098fff9ce0e7aead73ea6f1345a56c1a8d4949856fc27188a543f

SHA512: e66c6248b50035ce678358d255e91292f656c83965036729043104b67790c1de

2b191f2206fafc1863fd8ce3cd3838340d30494b36367a1a7e8bd14c73af510c

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x4030e3

timedatestamp.....: 0x4878f231 (Sat Jul 12 18:04:33 2008)

machinetype.......: 0x14c (I386)



( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5b68 0x5c00 6.49 6bfa289fc453f683cf6ad42723acbb61

.rdata 0x7000 0x129c 0x1400 5.05 165e3e874dc59c8a96748c6f4d0f4207

.data 0x9000 0x25c58 0x400 4.77 78a50275610b8d77577a9aaa1957d1b6

.ndata 0x2f000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rsrc 0x38000 0x6c8 0x800 2.92 af2063e112f61c1136b3f5784e131084



( 8 imports )

> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA

> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow

> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject

> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation

> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA

> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create

> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance

> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA



( 0 exports )



Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=53CB81C124695ED4A3F40021E4A60000A64058DF

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=8f12f56cad2a08c1ffdda1501302d6bd





Análisis del archivo mpt.exe recibido el 16.08.2008 04:04:26 (CET)

Estado actual: análisis terminado

Resultado: 6/36 (16.67%)









Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.8.15.0 2008.08.15 -

AntiVir 7.8.1.19 2008.08.15 -

Authentium 5.1.0.4 2008.08.16 -

Avast 4.8.1195.0 2008.08.15 -

AVG 8.0.0.161 2008.08.15 -

BitDefender 7.2 2008.08.16 -

CAT-QuickHeal 9.50 2008.08.14 -

ClamAV 0.93.1 2008.08.16 -

DrWeb 4.44.0.09170 2008.08.15 -

eSafe 7.0.17.0 2008.08.14 -

eTrust-Vet 31.6.6035 2008.08.15 -

Ewido 4.0 2008.08.15 -

F-Prot 4.4.4.56 2008.08.16 -

F-Secure 7.60.13501.0 2008.08.15 Trojan-Downloader.Win32.Agent.aaju

Fortinet 3.14.0.0 2008.08.15 -

GData 2.0.7306.1023 2008.08.16 -

Ikarus T3.1.1.34.0 2008.08.16 -

K7AntiVirus 7.10.417 2008.08.15 -

Kaspersky 7.0.0.125 2008.08.16 Trojan-Downloader.Win32.Agent.aaju

McAfee 5362 2008.08.15 -

Microsoft 1.3807 2008.08.16 -

NOD32v2 3360 2008.08.15 -

Norman 5.80.02 2008.08.15 -

Panda 9.0.0.4 2008.08.15 -

PCTools 4.4.2.0 2008.08.15 -

Prevx1 V2 2008.08.16 Cloaked Malware

Rising 20.57.42.00 2008.08.15 -

Sophos 4.32.0 2008.08.16 -

Sunbelt 3.1.1546.1 2008.08.15 -

Symantec 10 2008.08.16 -

TheHacker 6.3.0.3.046 2008.08.13 Trojan/Downloader.Zlob.tym

TrendMicro 8.700.0.1004 2008.08.15 -

VBA32 3.12.8.3 2008.08.15 Trojan-Downloader.Win32.Agent.aaju

ViRobot 2008.8.14.1337 2008.08.14 Spyware.Agent.Do.58629

VirusBuster 4.5.11.0 2008.08.15 -

Webwasher-Gateway 6.6.2 2008.08.16 -



Información adicional

File size: 58629 bytes

MD5...: 823f77bf7dfafa855e60841f55dc2611

SHA1..: 9c1fc8cf8b8ee479fd162ff5959f1b6b47fc94ea

SHA256: d0e6db730187e0e44a9fa5b57418b5f775fbcb5652a7e37a4ba98c8cfc833678

SHA512: 9b77f46eae4707cdc8fa1f7e6d0cf0e0388b5f1d5a0a850c53e625c7119e4347

f1e3a9d9d993882ea216b103cf010038c4cf1fc6ce6fc0bfb939e23733eee96a

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x4030e3

timedatestamp.....: 0x4878f231 (Sat Jul 12 18:04:33 2008)

machinetype.......: 0x14c (I386)



( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5b68 0x5c00 6.49 6bfa289fc453f683cf6ad42723acbb61

.rdata 0x7000 0x129c 0x1400 5.05 165e3e874dc59c8a96748c6f4d0f4207

.data 0x9000 0x25c58 0x400 4.77 78a50275610b8d77577a9aaa1957d1b6

.ndata 0x2f000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rsrc 0x37000 0x6c8 0x800 2.92 0668cc1f74eb6042f5ee65456f1f43da



( 8 imports )

> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA

> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow

> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject

> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation

> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA

> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create

> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance

> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA



( 0 exports )



Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=53CB81C105695ED4E5F40021E4A6000083346A34





Espero les sirva

[lucl]

Pues si, cuando se analicen te daremos las herramientas, ahora a esperar toca :D saludos

[msc hotline sat]

De todas formas son dos downloaders, y una vez renombrados a .VIR ya no entraran en uso a partir del siguiente reinicio, y con las nuevas versiones de las utilidades dentro de unos 15 dias(SATINFO está cerrado por vacaciones hasta Setiembre) se eliminará totalmente .



Si mientras persiste alguna anomalia, comentenoslo, gracias



saludos



ms, 18 de Agosto de 2008

[Gramos]

Gracias... realmente no me dieron ningún problema... quizas un poco lenta la conexion a internet... pero ya eliminados los registros y renombrados los archivos no aparecen los procesos

De todos modos espero las herramientas por si acaso.

Nuevamente gracias

[msc hotline sat]

Sí, pero esto sérá en Setiembre, pues como ya hemos dicho SATINFO está ahora cerrado



Dejamos el Tema abierto para que puedas entonces postearnos el infosat resultante y comprobado la total eliminacion del malware, y asi poder cerrar el Tema



saludos



ms, 18 de Agosto de 2008