Analizar Log en busca de Gusano de Internet o troyano

[PortilloDiego]

Mi equipo no muestra problemas de funcionamiento pero ejecuté una carpeta de un pen drive, la cual es mi sospecha. Mi Nod 32 tiene estos archivos en cuarentena:

En disco extraíble-autorun.inf (troyano)

-NRrun.exe (variación de gusano de internet)

En disco local-ckvo0.dll (troyano)

-ckvo.exe (troyano)

Aquí está mimlog de Hijack, espero que alguien lo analize, gracias:

Logfile of HijackThis v1.99.1

Scan saved at 12:12:09, on 12/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\FarStone\VirtualDrive\VDTask.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\uTorrent\uTorrent.exe

C:\Archivos de programa\802.11 Wireless LAN\802.11g Wireless Adapter HW.15 V.1.00\WlanCU.exe

C:\WINDOWS\system32\XP-6B493A10.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Download Manager\IEMonitor.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\3D70187.EXE

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Download Manager\IDMan.exe

C:\Documents and Settings\Administrador\Mis documentos\Downloads\Compressed\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [VirtualDrive] "C:\Archivos de programa\FarStone\VirtualDrive\VDTask.exe" /AutoRestore

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [XP-6B493A10] C:\WINDOWS\system32\XP-6B493A10.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [uTorrent] "C:\Archivos de programa\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [IDMan] C:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe

O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-6B493A10.EXE

O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C:\Archivos de programa\802.11 Wireless LAN\802.11g Wireless Adapter HW.15 V.1.00\WlanCU.exe

O8 - Extra context menu item: Descargar con IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Descargar con IDM el contenido de video FLV - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Descargar con IDM todos los enlaces - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe

[msc hotline sat]

Evidentemente tienes un virus de los que se propagan por pendrive, pululando (concretamente un ONLINE GAMES)



C:\WINDOWS\system32\ckvo.exe



Vacuna el ordenador y todos los pendrives con el ELIPEN







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







Aparte prueba el ELISTARA para eliminar el virus:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 12-12-2008

[PortilloDiego]

Ya está hecho, terminé el análisis y reinicie el equipo, encontro y eliminó el troyano, vacuné a mi pen drive y a mi disco local sin embargo; la carpeta autorun.inf se encuentra en mi pen drive y en mi disco local, yo sé que es un gusano, además no me deja tener acceso al él, ni por el antivirus ni manualmente, necesito ayuda con esta amenaza. Aquí está el informe de elipen y elistar:



Fri Dec 12 13:05:20 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad I:\ Protegida



Unidad C:\ Protegida



Unidad G:\ Protegida



Fri Dec 12 13:09:06 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\¡¡¡¡¡¡.lnk --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "kamsoft"="C:\WINDOWS\system32\ckvo.exe"

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Dec 12 13:10:40 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\SRSVC.DLL --> Acceso Denegado, Trojan.KillAV.BAL (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 5893

Nº Total de Ficheros: 81845

Nº de Ficheros Analizados: 14305

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Fri Dec 12 13:24:31 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "I:\"

I:\NTRUN.EXE --> Eliminado, YahLover(worm)



Nº Total de Directorios: 3

Nº Total de Ficheros: 46

Nº de Ficheros Analizados: 43

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Dec 12 13:25:05 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "I:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 45

Nº de Ficheros Analizados: 42

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Dec 12 13:25:15 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "I:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 45

Nº de Ficheros Analizados: 42

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Dec 12 13:25:32 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1796

Nº Total de Ficheros: 19705

Nº de Ficheros Analizados: 4264

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri Dec 12 13:28:12 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\SRSVC.DLL.VIR --> Acceso Denegado, Trojan.KillAV.BAL (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 5893

Nº Total de Ficheros: 81845

Nº de Ficheros Analizados: 14305

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Fri Dec 12 13:34:06 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Fri Dec 12 13:34:47 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Autorun.inf"



Nº Total de Directorios: 2

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Dec 12 13:35:13 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS\system32"

C:\WINDOWS\system32\SRSVC.DLL.VIR.VIR --> Eliminado, Trojan.KillAV.BAL



Nº Total de Directorios: 152

Nº Total de Ficheros: 3455

Nº de Ficheros Analizados: 2446

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues que bien que hayas probado el ELISTARA... no solo te eliminó los restos del ONLINE GAMES , sino tambien un KILLAV, muy dificil de detectar y eliminar y que te mantenia el antivirus desactivado...



Ademas con el ELIPEN no propagarás ni pillarás mas virus a traves de pendrive.



Y tranquilo por la carpeta AUTORUN.INF, no es el virus, este estaría en un fichero con dicho nombre, y para que no se pueda copiar es la razon por la que creamos esta carpeta, de forma que no se pueda copiar un fichero con el mismo nombre, que solo tiene sentido en los CD/DVD para que autoarranquen con él, pero no en otra parte, ni discos duros, ni removibles, ni pendrives !



Y no la intentes borrar, la hemos protegido para que no se pueda borrar facilmenta, para que accidentalmente no se borre, pues perderías la vacuna... pero no creo que sea el caso, si no es formateando, claro ! :wink:



Dinos si ya tienes el antivirus residente y si ya no persiste ninguna anomalia, para dar por solucionado el Tema, gracias



saludos



ms, 12-12-2008