Antivirus desactivado (solucionado)

Sama · Mensaje por **Sama** » 25 Jun 2005, 15:51

Intente enviaros el archivo infectado pero al intentar moverlo o copiarlo da error diciendo que puede estar en uso.Tambien lo he intentado en modo a prueba de fallos y el archivo no aparece en la carpeta de system 32 pero al pasar el antivirus lo detecta en ese archivo y en esa carpeta pero no aparece ni se puede eliminar el virus Hay alguna forma de copiarlo para mandaroslo?

por cierto ya instale algunos parches de los que dijo maura ya que al buscar algunos eran boletines pero todo sigue igual

Gracias

caito · Mensaje por **caito** » 25 Jun 2005, 17:24

Por que no pones un log actualizado del hijack en modo normal a ver cómo está ahora ?

Salu2

Caito

Sama · Mensaje por **Sama** » 25 Jun 2005, 19:34

Vale lo volvi a pasar y esto es lo ke me puso

Logfile of HijackThis v1.99.1

Scan saved at 19:34:39, on 25/06/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINNT\system32\netddeclnt.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\devldr32.exe

C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Pinnacle\Studio PCTV\TeleText\WebServer.exe

C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe

C:\ARCHIV~1\Pinnacle\SHARED~1\Filter\Server.exe

C:\ARCHIV~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE

C:\Archivos de programa\eMule pHoeniX\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NSMdtr.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: WebServer.lnk = C:\Archivos de programa\Pinnacle\Studio PCTV\TeleText\WebServer.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DC676039-2430-4CC3-9951-440FE2D9D1EB}: NameServer = 62.36.225.150 62.37.228.20

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: TurkSpy For RootKit (GencTurK RootKit) - Unknown owner - C:\system.exe (file missing)

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINNT\system32\netddeclnt.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINNT\System32\nvsvc32.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

caito · Mensaje por **caito** » 26 Jun 2005, 01:21

Lo único que veo para eliminar con el Hijack es esta:

O23 - Service: TurkSpy For RootKit (GencTurK RootKit) - Unknown owner - C:\system.exe (file missing)

Salu2

Caito

Mensaje por **msc hotline sat** » 26 Jun 2005, 07:20

Existe esta aplicacion en proceso que es sospechosa. Si no la conoces, elimina la clave de carga, que se indica despues y tras reiniciar, elimina el fichero.

C:\WINNT\system32\netddeclnt.exe

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINNT\system32\netddeclnt.exe

(ver: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSDBOT%2EBJA&VSect=T

Y hay esta otra clave que llama a fichero inexistente, y que por tanto conviene eliminar:

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINNT\System32\nvsvc32.exe (file missing)

saludos

ms, 26-06-2005

Sama · Mensaje por **Sama** » 27 Jun 2005, 11:25

elimine con el hijack esas entradas y reinicie, me fui a la carpeta de system32 y el archivo infectado no estaba ni oculto pero el antivirus lo sigue detectando. Como lo elimino?

Gracias

Mensaje por **msc hotline sat** » 27 Jun 2005, 11:39

Si el archivo en cuestion es un gusano SDBOT, como cabe la posibilidad segun descripcion de TREND, cualquier antivirus actualizado se lo detectará y deberá `pder eliminarlo, siempre y cuando arranque en modo seguro y si usa XP, deshabilita la restauracion de sistema.

En el caso de que arrancando así no puieda eliminarlo, indiquenos antivirus que usa, nombre de fichero en el que detecta el virus y nombre del virus segun dicho antivirus.

Si hubiera algun problema, envienoslo conforme se le indicó en un post anterior, y haremos que el ELITRIIP lo contemple y lo elimine.

saludos

ms, 27-06-2005

Sama · Mensaje por **Sama** » 27 Jun 2005, 11:44

El virus me lo detecta en el archivo netddeclnt.exe y es el virus w32.toxbot.Mi antivirus es el norton 2005 pero como decia en el post anterior el archivo ya no esta en system32 y aun asi el antivirus lo detecta.Que hago para quitarlo

Mensaje por **msc hotline sat** » 27 Jun 2005, 12:02

Arranca en modo seguro, deshabilita la restauracion de sistema si usas XP y si te lo detecta el antivirus NORTON, te lo eliminará.

Otra cosa es que no te lo detecte, y entonces sería porque hay alguna aplicacion que te lo genera, la cual no se pone en marcha en modo seguro, y en este caso sería cuestion de encontrar la madre del cordero...

En tal caso, prueba de lanzar el ELISTARA, que conoce troyanos generadores y otras hierbas, a ver si encuentra el generador.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Y nos vas contando tus experiencias, gracias

saludos

ms, 27-06-2005

Sama · Mensaje por **Sama** » 27 Jun 2005, 21:19

Probando lo que me dijiste he descubierto que el archivo en cuestion solo aparece cuando me conecto a internet.

Para poder enviaroslo he probado a darle en el administrador de tareas a terminar el proceso del archivo infectado pero no hay suerte ya que dice que no te da acceso a dicho archivo.

Como podria tener acceso a dicho archivo???

Gracias

Mensaje por **msc hotline sat** » 28 Jun 2005, 07:14

Desactiva el antivirus residente, y configura windows para poder ver todos los ficheros, incluso los de sistema

Pero si ya lo ves, lo mas logico es que te lo impida el antivirus por estar activo.

saludos

ms, 28-06-2005

Sama · Mensaje por **Sama** » 28 Jun 2005, 11:49

Nada sigue igual pero en las propiedades del archivo en seguridad aparece este nombre como administrador, usuario etc.. (JUAN-1ZC51F0TO2)y dias anteriores mi cortafuegos bloqueaba la entrada de dicho intruso hasta que se me desactivo el antivirus(caso que ya esta resuelto).

Puede tener esto algo que ver? y si es asi como lo elimino?

Mensaje por **msc hotline sat** » 28 Jun 2005, 12:21

Vaya historias tenemos que encontrar!!!

Efectivamente es guapo, guapo., por llamarle de algun modo.

Hemos encontrado la descripcion de D¡Symantec al respecto, y vemos que el fichero que crea es con nomvre aleatorio y el servicio que crea tambien, con lo que sin la muestra, a distancia poco podemos hacer, como no sea darte el link de la informacion para que sigas el proceso manual de eliminacion:

http://securityresponse.symantec.com/avcenter/venc/data/w32.toxbot.html

Evidentemente, si tuvieramos la muestra haríamos la utilidad de eliminacion automatica, y ello visto lo que nos indicasm creo que podemos probvar en arrancar en modo seguro con funciones de red, y asi podremos abrir el Internet explorer sin cargar el antivirus, y oidrás disponer del fichero de marras, que en tu caso parece llamarse NETDDECLNT.EXE, pues a ver si lo puedes càpturar y enviarnoslo a virus@satinfo.es , como ya te hemos indicado anteriormente.

Y si no, cabe aun otra manera, que es arrancar normalmente, desactivar el analisis en tiempo real del antivirus y abrir el navegador, a ver si puedes verlo y enviarnoslo.

Y aun se me ocurre una tercera: Con la situacion anterior, moverlo o migrarlo a otra carpeta o a un disquete, lo cual aun estando en uso windows permite hacerlo con sistemas de tecnología NT (XP, W2k), a ver si lo logras, y nos lo envias.

Para enviarlo, si quieres puedes empaquetarlo en un zip con password, con nombre VIRUS, y asi estará encriptado y será invisible a los virus que pudieran interceptarlo en servidores de intenet.

So nos lo envias trabajaremos nosotros, y si no, manualmente habrás de trabajar tú siguiendo las indicaciones descritas en la informacion de symantec al respecto.

saludos

ms, 28-06-2005

Mensaje por **maura63** » 28 Jun 2005, 12:24

Sama escribio:
[quote]por cierto ya instale algunos parches de los que dijo maura ya que al buscar algunos eran boletines pero todo sigue igual [/quote]

Dices algunos...

Ese virus aprovecha en concreto las vulnerabilidades comentadas anteriormente. Comprueba que no te falte ninguna de esas en concreto.

Saludos

maura63

Mensaje por **msc hotline sat** » 28 Jun 2005, 12:39

Efectivamente maura63, debe actualizar los parches para que no vuelva a entrar, pero es que ya lo tenemos dentro !!!

Se me ocurre que si ni con ninguna de las tres maneras indicadas puede llegar a enviarnos el fichero, podría ser que se instale con atributos de NTFS, como ya hemos tenido en otros virus. Si fuera el caso, elecuta el ELITOTAL indicandole ruta y nombre del fichero a desproteger:

ELITOTAL

http://www.zonavirus.com/datos/descargas/99/ELITOTAL.asp

... por si las moscas !!!

saludos

ms, 28-06-2005

Sama · Mensaje por **Sama** » 29 Jun 2005, 09:19

Le baje nuevas definiciones de virus desde symantec sobre este virus y al instalarlas se ve que lo quito ya que ahora el archivo no aparece y el mensajito tampoco pero el hijack sigue viendolo es eso normal?

Mensaje por **maura63** » 29 Jun 2005, 09:22

Que es lo que ve en concreto el hijackthis :?: Que entrada :?:

Saludos

maura63

Sama · Mensaje por **Sama** » 29 Jun 2005, 09:57

esta

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINNT\system32\netddeclnt.exe (file missing)

Mensaje por **msc hotline sat** » 29 Jun 2005, 10:15

Al indicar file missing, esta clave puedes eliminarla sin contemplaciones

Cuando te alertamos al respecto, no debimos darnos cuenta de ello

saludos

ms, 29-06-2005

Mensaje por **msc hotline sat** » 29 Jun 2005, 10:41

Es que primero estaba en proceso:

[quote]
O23 - Service: TurkSpy For RootKit (GencTurK RootKit) - Unknown owner - C:\system.exe (file missing) -

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINNT\system32\netddeclnt.exe -
[/quote]

por eso convenía controlar qué era y por ello te pedimos muestra.

Ahora efectivamente ya no está el fichero ni el proceso en marcha, claro, así que elimina la clave y listos.

"Y muestro el perro, se acabó la rabia", por lo que solucionado el problema. procedemos a cerrar el Tema

saludos

ms, 29-06-2005