No puedo eliminar un troyano

[manf007]

Hace unos meses que estoy con un troyano atacandome, y cada vez que el AVG lo detecta le pongo Heal y aparece una ventana indicándome que está solucionado, pero vuelve a aparecer una y otra vez y mi computadora está cada vez mas lenta.



El virus es Trojan Horse Dropper.Agent.FEN



Y podría ser que tenga otros más, no sé.







Qué puedo hacer para solucionar el problema?







PD: me facilitaría que me expliquen como a un niño de 12 años, hasta ahi llegó mi habilidad con computadoras...

[msc hotline sat]

Envianos el fichero donde lo detectas para analizar.



Evidentemente lo debes hacer empaquetandolo en un ZIP o RAR con password virus, pero arrancando en modo seguro para que el antivirus no lo intecepte.



Una vez empaquetado con password ya podras arrancar en modo normla para enviarnoslo, porque no lo va a detectar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y tras recibirlo lo monitorizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



saludos



ms, 17-10-2008

[msc hotline sat]

Recibida muestra nos llega dañada, y al ejecutarla indica que no es una aplicacion valida para win32, por la que no la podemos monitorizar ni implementarla por acdenas, al no ser la correcta



Pero un analisis preliminar con Virustotal nos da 33/36 detecciones positivas, asi que renombre la extension de dicho fichero a .VIR y tras reiniciar ya no se cargará.



Si quiere puede postearnos el log del HJT y le indicaremos como proceder al respecto con las claves que lo lanzan.



saludos



ms, 23-10-2008

[manf007]

Ya cambie la extensión a .vir pero hay otra cosa que me llamo la atencion, hay en la misma carpeta otro .exe llamado waults, pense que podria significar algo.



También baje el HJT y este es el log



Logfile of HijackThis v1.99.1

Scan saved at 02:59:51 p.m., on 23/10/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\All Users\Datos de programa\waults.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\bcmntray.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\Archivos de programa\Ares\Ares.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

C:\Archivos de programa\Archivos comunes\Logishrd\LQCVFX\COCIManager.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe

C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Gilda\Escritorio\HJT_NO abrir!!\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\bcmntray

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe





Muchas gracias.

[lucl]

Pues este



waults.exe





subelo a analizar a virustotal y peganos el log resultante , dara virico asi que renombralo a .VIR tambien y envianoslo para analizarlo





www.virustotal.com/es





saludos

[manf007]

Me dio 20/36.





Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.10.22.0 2008.10.23 Dropper/Agent.151552.H

AntiVir 7.9.0.5 2008.10.23 TR/Dropper.Gen

Authentium 5.1.0.4 2008.10.23 -

Avast 4.8.1248.0 2008.10.23 Win32:AutoRun-FB

AVG 8.0.0.161 2008.10.23 -

BitDefender 7.2 2008.10.23 Trojan.Dropper.SCK

CAT-QuickHeal 9.50 2008.10.23 Worm.AutoRun.fw

ClamAV 0.93.1 2008.10.23 -

DrWeb 4.44.0.09170 2008.10.23 Trojan.MulDrop.9417

eSafe 7.0.17.0 2008.10.23 -

eTrust-Vet 31.6.6164 2008.10.22 -

Ewido 4.0 2008.10.23 -

F-Prot 4.4.4.56 2008.10.23 -

F-Secure 8.0.14332.0 2008.10.23 Virus.Win32.AutoRun.fw

Fortinet 3.113.0.0 2008.10.23 -

GData 19 2008.10.23 Trojan.Dropper.SCK

Ikarus T3.1.1.44.0 2008.10.23 Virus.Win32.AutoRun.fw

K7AntiVirus 7.10.505 2008.10.23 Trojan.Win32.AutoRun.AGB

Kaspersky 7.0.0.125 2008.10.23 Virus.Win32.AutoRun.fw

McAfee 5413 2008.10.23 W32/CWT.worm

Microsoft 1.4005 2008.10.23 Worm:Win32/Autorun.gen!AZ

NOD32 3549 2008.10.23 a variant of Win32/AutoRun.FW

Norman 5.80.02 2008.10.23 -

Panda 9.0.0.4 2008.10.23 Trj/Autorun.CC

PCTools 4.4.2.0 2008.10.23 -

Prevx1 V2 2008.10.23 -

Rising 21.00.32.00 2008.10.23 Worm.Win32.Autorun.jpn

SecureWeb-Gateway 6.7.6 2008.10.23 Trojan.Dropper.Gen

Sophos 4.34.0 2008.10.23 -

Sunbelt 3.1.1747.1 2008.10.23 -

Symantec 10 2008.10.23 W32.SillyDC

TheHacker 6.3.1.0.125 2008.10.23 -

TrendMicro 8.700.0.1004 2008.10.23 Mal_Otorun7

VBA32 3.12.8.8 2008.10.22 -

ViRobot 2008.10.23.1434 2008.10.23 Trojan.Win32.AutoRun.167936

VirusBuster 4.5.11.0 2008.10.22 -







Información adicional

Tamano archivo: 151552 bytes

MD5...: 6f8f3b56b0b0615393fd3f0e8c3661c8

SHA1..: 812eeb85642bec173925bd41fedea7a4ffc6b5d3

SHA256: 1ddc0501ff1bf49f62042efde9471eafbd809fc04acb461b1517ea0ea793f399

SHA512: 55c4746d074ac9f4fa5b0e038dca57cc890fa7acb29d68a8877c2a6c66746b94

3b0e5748a7da3b620b034351cafa675746b06413a8809f7098654bf93eda9a18

PEiD..: Armadillo v1.71

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x4020a2

timedatestamp.....: 0x468c36c5 (Thu Jul 05 00:09:41 2007)

machinetype.......: 0x14c (I386)



( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x4c5d 0x5000 6.45 904e7f0967d4bfe193e76cdb243ede69

.rdata 0x6000 0xaee 0x1000 4.09 5cd0de73e88054c0bb700c5c01c5e4aa

.data 0x7000 0x25dc 0x1000 3.20 d1b46553c079bc2d8e6b5fa0073cc88b

.rsrc 0xa000 0x1c14c 0x1d000 7.97 f515933414869737b42d0c40216f23c5



( 3 imports )

> KERNEL32.dll: CopyFileA, GetModuleFileNameA, FindClose, FindFirstFileA, GetWindowsDirectoryA, CreateDirectoryA, CloseHandle, WriteFile, CreateProcessA, GetDriveTypeA, GetLogicalDriveStringsA, SetFileAttributesA, SetFileTime, LockResource, SizeofResource, LoadResource, FindResourceA, Sleep, CreateMutexA, GetLastError, GetCommandLineA, CreateFileA, DeleteFileA, GetStringTypeW, GetStringTypeA, LCMapStringW, ExitProcess, TerminateProcess, GetCurrentProcess, GetModuleHandleA, GetStartupInfoA, GetVersion, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, FlushFileBuffers

> ADVAPI32.dll: RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, RegCloseKey, RegCreateKeyA

> SHELL32.dll: ShellExecuteA, SHGetSpecialFolderPathA



( 0 exports )









¿Mando la muestra de la misma forma que la anterior (en formato zip)?

[msc hotline sat]

Sí:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y lanza un windowsupdate para instaler el SP3...



Y VACUNA tu ordenador y pendrives con el ELIPEN:







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





SALUDOS



MS, 23-10-2008

[manf007]

Ahora estoy bajando el SP3. Mi conexión está bastante lenta, así que capaz termine recién esta madrugada.



Ya le pase el EliPen a mi ordenador y pendrives.





Sin embargo no encuentro este archivo: C:\infosat.txt

[flacoroo]

ese archivo se crea cuando ejecutas el Elipen en tu Pc ó en tus usb....y la ruta es C:infosat.txt, copias el contenido y pegas...

[manf007]

Thu Oct 23 19:27:34 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Thu Oct 23 19:29:12 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado E:\Autorun.inf

OPEN=.\RECYCLER\S-1-5-21-8402864756-053255762-3886314338-500\~WRL6931.TMP

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



Thu Oct 23 19:31:08 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Thu Oct 23 19:38:59 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Thu Oct 23 19:49:08 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

OPEN=.\RECYCLER\S-1-5-21-8402864756-053255762-3886314338-500\~WRL6931.TMP

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida

[msc hotline sat]

Recibida la muestra, ya está controlada con el actual ELITRIIP:




[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



saludos



ms, 24-10-2008

[manf007]

Todavia no termino de bajar el SP3...



infosat:



Fri Oct 24 08:46:00 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\WAULTS.EXE --> Eliminado

No detectado SP3 de Windows XP



Fri Oct 24 08:47:16 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Datos de programa\driver.vir --> Eliminado, Bifrose.CWT

C:\Documents and Settings\All Users\Datos de programa\waults.vir --> Eliminado, Bifrose.CWT(dropper)



Nº Total de Directorios: 3909

Nº Total de Ficheros: 42469

Nº de Ficheros Analizados: 13194

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Fri Oct 24 23:56:06 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Oct 24 23:56:28 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3967

Nº Total de Ficheros: 45250

Nº de Ficheros Analizados: 15311

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Perfecto:


[quote]EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Datos de programa\driver.vir --> Eliminado, Bifrose.CWT

C:\Documents and Settings\All Users\Datos de programa\waults.vir --> Eliminado, Bifrose.CWT(dropper)[/quote]
Pues eliminados los malwares, solo queda acabar de instalar el SP3



Tras ello cuentanos el resultado, y si ya no persiste ninguna anomalia mas, gracias



saludos



ms, 25-10-2008