IRCBot(SOLUCIONADO)

juanqui · Mensaje por **juanqui** » 15 Ene 2009, 10:00

Hola.

Tengo un problema.

En Mi Pc de vez en cuando salta un virus llamado W32.IRCBot.Gen, y no encuentro forma de quitarlo.

Os mando el HijackThis por si podeis decirme que le pasa.

Gracias de antemano.

Logfile of HijackThis v1.99.1

Scan saved at 09:51:31, on 15/01/2009

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\WINNT\system32\regsvc.exe

C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\vnc\WinVNC.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\CCM\CcmExec.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\hkcmd.exe

C:\WINNT\system32\igfxtray.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\Optus\FACSys Desktop Client\facsys.exe

C:\ARCHIV~1\MICROS~1\OFFICE11\OUTLOOK.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\WINNT\system32\rundll32.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKCU\..\Run: [Internat.exe] internat.exe

O4 - HKCU\..\Run: [NetScreen] D:\Archivos de programa\XDenSer NetScreen\NetScreen.exe

O4 - Global Startup: FACSys Desktop Client.lnk = C:\Archivos de programa\Optus\FACSys Desktop Client\facsys.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O12 - Plugin for .spop: C:\ARCHIV~1\Plus!\MICROS~1\Plugins\NPDocBox.dll

O15 - Trusted IP range: 10.254.176.209 (HKLM)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171450788421

O16 - DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF} (JInitiator 1.3.1.22) - http://ses013907-3002/forms/jinitiator/jinit.exe

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = es.mapfre.net

O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\ARCHIV~1\QUESTS~1\TOADFO~1\RNetPin.dll

O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

O23 - Service: OracleClientCache80 - Unknown owner - D:\orant\BIN\ONRSD80.EXE

O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINNT\PSEXESVC.EXE

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\vnc\WinVNC.exe" -service (file missing)

Mensaje por **msc hotline sat** » 15 Ene 2009, 11:34

Estos ficheros son sopechosos, envienoslos para analizar:

D:\Archivos de programa\XDenSer NetScreen\NetScreen.exe

C:\Archivos de programa\Optus\FACSys Desktop Client\facsys.exe

Y esta pagina web http://ses013907-3002/forms/jinitiator/jinit.exe ya no existe, por lo que puede eliminar esta clave:

O16 - DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF} (JInitiator 1.3.1.22) - http://ses013907-3002/forms/jinitiator/jinit.exe

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Ademas, ya que ha detectado un IRCBOT, , pruebe el ELITRIIP y posteenos el informe resukltante, gracias

[quote]

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 15-1-2009

juanqui · Mensaje por **juanqui** » 15 Ene 2009, 13:06

Hola.

Gracias por la rapida respuesta.

De los dos ficheros solicitados, he enviado solo uno. El otro no existe. debe de ser algo que existía antes.

Saludos.

Tue Apr 03 15:14:25 2007

EliStartPage v13.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Apr 03 15:15:06 2007

EliStartPage v13.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Quest Software\Toad for Oracle\PVCS.DLL --> Eliminado, Spy.Delf (BHO)

C:\WINNT\system32\KCL310.DLL --> Eliminado, Puper-Is

Mon Sep 08 09:56:32 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ Protegida

Unidad C:\ YA esta Protegida

Unidad D:\ Protegida

Unidad D:\ YA esta Protegida

Unidad D:\ YA esta Protegida

Unidad D:\ YA esta Protegida

Mon Sep 08 09:56:55 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad D:\ YA esta Protegida

Unidad C:\ YA esta Protegida

Unidad C:\ YA esta Protegida

Thu Jan 15 12:22:43 2009

EliTriIP v5.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu Jan 15 12:23:07 2009

EliTriIP v5.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4181

Nº Total de Ficheros: 22788

Nº de Ficheros Analizados: 8086

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jan 15 12:40:39 2009

EliTriIP v5.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Mensaje por **msc hotline sat** » 15 Ene 2009, 14:01

Pues cuando la recibamos la analizaremos e informaremos

Pero mientras lanza un windowsupdate y actualiza parches de Microsoft ! (Cuidado con el MS08-067 de Octubre del año pasado, que el Conficker está atacando !!!)

saludos

ms, 15-1-2009

Mensaje por **msc hotline sat** » 15 Ene 2009, 18:21

Y la muestra que nos has enviado no resulta ser malware.

Dinos si tras actualizar parches y reiniciar, persiste alguna anomalia, o podemos dar por solucionado el Tema, racias

saludos

ms, 15-1-2009

juanqui · Mensaje por **juanqui** » 16 Ene 2009, 09:53

Hola.

Despues de hacer lo que me habeis dicho, parece que no ha vuelto a pasar.

Podeis cerrar el tema.

Agracedido por vuestras respuestas. :)

Saludos.

JC

Mensaje por **flacoroo** » 16 Ene 2009, 20:04

pues cerramos el post por solucionado.....

IRCBot(SOLUCIONADO)

IRCBot(SOLUCIONADO)

Re: IRCBot

Re: IRCBot

Re: IRCBot

Re: IRCBot

Re: IRCBot

Re: IRCBot