VIRUS QUE HABLA?

[LEXUS]

Muy buenas vamos a ver desde hace dos dias de vez en cuando se oye en el ordenador una voz en idioma extranjero como insulto se repite de cuando en cuando pase el panda platinum y no detecto nada no se que hacer cada vez es mas pesada esa voz es insoportable una ayuda

gracias de antemano :oops:

[msc hotline sat]

Es conocido un virus que además de mostrar en pantalla el mensaje de "YOU ARE AN IDIOT" lo reproduce verbalmente a traves de un fichero de MP3:



http://www.vsantivirus.com/cisum-a.htm



Mire si con inicio-buscar encuentra el fichero PROJECTX.EXE y si lo encuentra, envienoslo a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, para que podamos contestarle en respuesta a este TEMA con el analisis del mismo y la solucion pertinente



Ya que no lo detecta con su antivirus, puede ser una nueba variante de este virus que apareció a primeros de este año, y del que no ha habido apenas propagacion



saludos



ms, 22-05-2005

[LEXUS]

Gracias por responder msc hotline sat acabo de hacer lo que dijistes buscar el fichero PROJECTX.EXE pero no aparece

nada la voz sigue tengo ganas de borrar el ant¡virus panda

y poner otro no se que hacer :roll:

gracias de antemano

[caito]

Podrías poner un log del hijack en el apartado correspondiente a ver si se nota algo raro.

salu2

Caito

[msc hotline sat]

El Panda actualizado controla la version base del cisum.a, pero posiblemente se trate de una variante, como te he dicho.



Dinos si cada 5 segundos te dice "Tou are an idiot", tipico de esta familia



Podrías de entrada lanzar un antivirus ONLINE, a ver si otros lo controlan:



https://www.virustotal.com/es/



http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym







Y tambien postearnos un log del HJT, pero sobretodo, NO ELIMINES LOS FICHEROS QUE PUEDAN SER SOSPECHOSOS, sino que debes enviarnos muestra a zonavirus@satinfo.es para control de este posible nuevo gusano, gracias



saludos



ms, 22-05-2005

[LEXUS]

No se porqué razón en el día de ayer dejó de oirse dicho sonido, pero hoy ha vuelto. Un dato de interés podría ser, del que dudo bastante que diga "you are a idiot", a pesar de que no logro oir lo que dice con total claridad, ya que la voz o sonido está algo distorsionado; la ultima palabra lo pronuncia "BLU" no puedo asegurar de que sea ni inglés.

[msc hotline sat]

Pues si con su antivirus y los ONLINE indicados no detecta nada, envienos el log del HJT indicado, para lo cual muevo este Tema al apartado de analisis del HiJackThis, copienoslo como respuesta de este Tema, gracias



saludos



ms, 24-05-2005

[LEXUS]

A continuación el log del hijack:



Logfile of HijackThis v1.99.1

Scan saved at 17:36:28, on 24/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

C:\Archivos de programa\DVD X Studios\DVD X Utilities\DVDGhost\DVDGhost.EXE

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

C:\WINDOWS\System32\alg.exe

C:\D V D\durie382\DuriE-De-0.3.9.3.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\D V D\durie382\DuriE-De-0.3.9.3.exe

C:\D V D\durie382\DuriE-De-0.3.9.3.exe

C:\D V D\durie382\DuriE-De-0.3.9.3.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Peer2Mail\P2M.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijack\HijackThis_1.99.1.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://terra.es/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=12.46.106.179:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

O4 - HKLM\..\Run: [AudioHQ] C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Systems.exe] C:\WINDOWS\system32\KeySpect\Systems.exe hide

O4 - HKLM\..\Run: [KAZAA] "C:\Archivos de programa\Kazaa Lite K++\kpp.exe" "C:\Archivos de programa\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 9 run

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [Mail.com] C:\Archivos de programa\mail.com\mcalert.exe -auto

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [DVDXGhost] C:\Archivos de programa\DVD X Studios\DVD X Utilities\DVDGhost\DVDGhost.EXE

O4 - Global Startup: Digital Image Monitor.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102514128786

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} - http://www.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4494/mcfscan.cab

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe





Ya me contaréis, tras vuestro análisis, lo que debería hacer. Un saludo y muchas gracias por vuestra colaboración.

[maura63]

Conoces o utilizas algo de esto





C:\Archivos de programa\Peer2Mail\P2M.exe - Unknown



[color=red]Elimina esta[/color]

O4 - HKLM\..\Run: [KAZAA] "C:\Archivos de programa\Kazaa Lite K++\kpp.exe" "C:\Archivos de programa\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY -



Comprueba tambien



O4 - HKCU\..\Run: [Mail.com] C:\Archivos de programa\mail.com\mcalert.exe -auto - Unknown



O4 - Global Startup: Digital Image Monitor.lnk = ? - Unknown





Saludos

maura63

[msc hotline sat]

A simple vista no se aprecia el fichero gusano "parlante", por lo que debes ir probando hasta que lo pilles.



Sonre todo mucho cuidado. Lee antes el Tema "DE OBLIGATORIA LECTURA" al principio de este apartado, para poder hacer UNFIX si es preciso.



https://foros.zonavirus.com/viewtopic.php?t=6760



Mira estas aplicaciones, y si no las conoces, seleccionalas y eliminalas con FIX:



O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 9 run

O4 - HKCU\..\Run: [Mail.com] C:\Archivos de programa\mail.com\mcalert.exe -auto

O4 - HKCU\..\Run: [Mail.com] C:\Archivos de programa\mail.com\mcalert.exe -auto

O4 - HKCU\..\Run: [DVDXGhost] C:\Archivos de programa\DVD X Studios\DVD X Utilities\DVDGhost\DVDGhost.EXE

O4 - Global Startup: Digital Image Monitor.lnk = ?

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe



(las hay que parecen de Telefonica, pueden ser de tu ASDSL, tu sabrás)



Selecciona estas claves, y eliminalas con FIX:



O4 - HKLM\..\Run: [KAZAA] "C:\Archivos de programa\Kazaa Lite K++\kpp.exe" "C:\Archivos de programa\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)



Tras reiniciar, mira si conoces estos programas, y si no, borralos:



C:\Archivos de programa\Peer2Mail\P2M.exe





y nos informas del resultado, como respuesta de este Tema, gracias



saludos



ms, 24-05-2005

[maura63]

Esta, a la que hace referencia Msc, corresponde al kit adsl de telefonica, no la borres, ya te lo indicaba el.



O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 9 run



Saludos

maura63

[msc hotline sat]

Si, gracias maura63, por eso le indicaba en ellas:


[quote="msc"]
(las hay que parecen de Telefonica, pueden ser de tu ASDSL, tu sabrás)
[/quote]

Pero al desconocer el sistema que usa de acceso a internet en dicho ordenador, se lo indicaba que lo tuviera en cuenta, porsi no isara dicho driver y fuera truco del bicho, que los hay que usan iguales nombres de ficheros y sistema de carga en dichas zonas, para despistar.



Por ejemplo el SmitFraud.C utiliza una clave con valor de microsoft antispyware, y justamente es al reves !!!


[quote="smitfraud.c"]
O9 - Extra button: Microsoft AntiSpyware helper - {1048ECC0-B4E7-11D9-8A8B-00010271A782} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {1048ECC0-B4E7-11D9-8A8B-00010271A782} - (no file) (HKCU)
[/quote]

A ver si localizamos el parlachin este, esté donde esté



saludos



ms, 26-05-2005

[maura63]

Reconoces esto



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=12.46.106.179:80





Blacklist Status: Clear

Whois History: 13 records stored

Record Type: IP Address

IP Location: [color=red]United States [/color]- Massachusetts - Cambridge - Profitlogic

Reverse IP: No websites hosted using this IP address

Reverse DNS: not set



Saludos

maura63