Tengo 1 troyano(Gbieh.dll)

Larrealma · Mensaje por **Larrealma** » 09 Jul 2005, 17:46

Hola tengo un problema de hace 4 dias, hice de todo pase 2 antivirus en linea(Norton,Panda),Instale McAffe, Ad-Aware SE, Spybot - Search & Destroy,SpywareBlaster,y finalmente la utilidad Elistara lo detecto como troyano, identificado el achivo(Gbieh.dll y despues de enviarlo a Satinfo) lo elimine(fix) con el HijackThis 1.9, pero el maldito se reproduce como conejo! y no se que mas hacer, les pido una mano por favor!

Logfile of HijackThis v1.99.1

Scan saved at 23:18:33, on 08/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\All Users\Documentos\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.giantcompany.com/purchase.aspx?prodID=70

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Archivos de programa\McAfee\McAfee VirusScan\VSCShellExtension.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\All Users\Documentos\Virus\EliStarA.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: ZoneAlarm.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Ayuda de i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Ayuda de i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - (value not set) (file missing)

O9 - Extra 'Tools' menuitem: Opciones de i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - (value not set) (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: ConferenceRoom Java Client - http://chat.interlatin.com/java/cr.cab

O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by10fd.bay10.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095188747531

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4383/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1539E9E-AB53-4C2B-99B9-377BD95CDA16}: NameServer = 200.105.128.40,200.105.128.41

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe (file missing)

O23 - Service: McShield - Unknown owner - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Archivos de programa\VeriSign\NAVI\naviagent.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **maura63** » 09 Jul 2005, 18:32

Elimina estas entradas con hijackthis, para ello con todos los programas cerrados lasnza hijackthis pulsa scan y despues marcas la casilla de estas entradas y luego pulsa FIX y acepta

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.giantcompany.com/purchase.aspx?prodID=70 -

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) -

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O16 - DPF: ConferenceRoom Java Client - http://chat.interlatin.com/java/cr.cab - Possibly nasty

O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab -

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll -

O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe (file missing) -

O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Archivos de programa\VeriSign\NAVI\naviagent.exe (file missing) -

Saludos

maura63

Larrealma · Mensaje por **Larrealma** » 09 Jul 2005, 19:21

Gracias maura63 por responder tan pronto, hice fix en las entradas, pero no las borra! (yo pense que el problema era la entrada O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll), pero creo q es mas que eso) ahi va el 2do scan. y gracias!

Logfile of HijackThis v1.99.1

Scan saved at 13:13:00, on 09/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

C:\Documents and Settings\All Users\Documentos\Virus\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Archivos de programa\McAfee\McAfee VirusScan\VSCShellExtension.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\All Users\Documentos\Virus\EliStarA.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: ZoneAlarm.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Ayuda de i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Ayuda de i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - (value not set) (file missing)

O9 - Extra 'Tools' menuitem: Opciones de i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - (value not set) (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by10fd.bay10.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095188747531

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4383/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1539E9E-AB53-4C2B-99B9-377BD95CDA16}: NameServer = 200.105.128.40,200.105.128.41

O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe (file missing)

O23 - Service: McShield - Unknown owner - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Archivos de programa\VeriSign\NAVI\naviagent.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Larrealma · Mensaje por **Larrealma** » 09 Jul 2005, 19:30

y olvidaba algo mas, cada vez que reinicio la PC el Elistara se activa indicando la Deteccion del Troyano, pero no lo borra.

Sat Jul 09 13:05:49 2005

EliStartPage v10.01 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\SC-08\CONFIG~1\TEMP\GBIEH.DLL.Muestra EliStartPage v10.01

a "virus@satinfo.es". Gracias.

C:\WINDOWS\DOWNLOADED PROGRAM FILES\GBIEH.DLL --> Renombrado a .VIR

Eliminada Class, BHO y ToolBar "{C41A1C0E-EA6C-11D4-B1B8-444553540000}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 09 Jul 2005, 21:23

Pues haz lo que te pedimos:

"Por favor, envienos una muestra del fichero

C:\DOCUME~1\SC-08\CONFIG~1\TEMP\GBIEH.DLL.Muestra EliStartPage v10.01

a "virus@satinfo.es". Gracias"

y podremos incluir en una nueva version del ELISTARA, la eliminacion del GBIEH.DLLm incluyendo claves de registro y demás

saludos

ms, 9-07-2005

Larrealma · Mensaje por **Larrealma** » 09 Jul 2005, 22:23

Como dije......

Elistara lo detecto como troyano, identificado el achivo(~~[b]~~Gbieh.dll y despues de enviarlo a Satinfo[/b]) lo elimine(fix) con el HijackThis 1.9

Ayer ya lo envie, bueno gracias. (ahora solo esperar la nueva version elistara), (sin zonavirus, no se que haria)(formatear creo) chao. y otra vez gracias.

caito · Mensaje por **caito** » 10 Jul 2005, 02:23

Te convendría poner un nuevo log del hijack en modo normal para ver si ha quedado limpio.

Salu2

Caito

Mensaje por **msc hotline sat** » 10 Jul 2005, 07:19

En la version que haremos mañana lunes, estará contemplado su eliminacion incluyendo las claves de registro que este modificara, que pueden estar dentro y fuera del log que muestra el HJT, ya que este solo muestra un 1 % del registro de sistema

Tras ejecutar la nueva version, puedes postear un nuevo HJT por si quedara algun resto de cualquer otra cosa, especialmente si notas algun problema

Independientemente, [u]arrancando en modo seguro[/u], lanza ahora un HJT y elimina estas claves, si existen:

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\All Users\Documentos\Virus\EliStarA.exe

O9 - Extra button: Ayuda de i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Ayuda de i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - (value not set) (file missing)

O9 - Extra 'Tools' menuitem: Opciones de i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - (value not set) (file missing)

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe (file missing)

O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Archivos de programa\VeriSign\NAVI\naviagent.exe (file missing)

saludos

ms, 10-07-2005

Larrealma · Mensaje por **Larrealma** » 11 Jul 2005, 19:20

Iniciando con F8 en modo seguro, y con la Restauracion de Sistema desactivada lance el HJT marque las entradas, hice fix, luego lance el ElistarA, pero me sigue detectando el troyano, aqui el log....

Logfile of HijackThis v1.99.1

Scan saved at 11:36:44, on 11/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\All Users\Documentos\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Archivos de programa\McAfee\McAfee VirusScan\VSCShellExtension.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\All Users\Documentos\Virus\EliStarA.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: ZoneAlarm.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by10fd.bay10.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095188747531

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4383/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1539E9E-AB53-4C2B-99B9-377BD95CDA16}: NameServer = 200.105.128.40,200.105.128.41

O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe

O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe (file missing)

O23 - Service: McShield - Unknown owner - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe

O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Archivos de programa\VeriSign\NAVI\naviagent.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

y del ElistarA v10.02...

Mon Jul 11 12:58:47 2005

EliStartPage v10.02 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\SC-08\CONFIG~1\TEMP\GBIEH.DLL.Muestra EliStartPage v10.02

a "virus@satinfo.es". Gracias.

C:\WINDOWS\DOWNLOADED PROGRAM FILES\GBIEH.DLL --> Renombrado a .VIR

Eliminada Class, BHO y ToolBar "{C41A1C0E-EA6C-11D4-B1B8-444553540000}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 11 Jul 2005, 19:27

Pues no se han borrado las claves que marcó y dió FIX, si lo hizo con las que le indiqué en mi anterior post.

Efectivamente tenemos el bicho y ELISTARA le indica que nos envie muestra del mismo:

[quote="Elistara"]
Por favor, envienos una muestra del fichero

C:\DOCUME~1\SC-08\CONFIG~1\TEMP\GBIEH.DLL.Muestra EliStartPage v10.02

a "virus@satinfo.es". Gracias.
[/quote]

Hagalo pero mejor envionoslo a zonavirus@satinfo.es indicando en el texto "REF GBIEH" para que podamos contestarle como respuesta de este Tema, gracias

saludos

ms, 11-07-2005

Mensaje por **msc hotline sat** » 11 Jul 2005, 19:40

Veo al revisar el Tema que indica habernos enviado ya la muestra, repitalo pero a zonavirus@satinfo.es pues es la cuenta reservada para este foro, mientras que la otra es la cuenta general donde miles de usuarios nos envian las muestras, y cada día hay cientos de mails para revisar, los cuales se van analizando, pero por lo que veo hoy no ha sido aplicada en la nueva version 10.02:

---v10.02-(11 de Julio del 2005) (Muestras de BB CashBack, EliteBar, Puper, DownLoader.F y para el AltNet segun Panda)

Y para darle prioridad, es por lo que le ofrezco la otra cuenta reservada a este foro.

Por lo que veo es un bicho resistente, pues no deja remover las claves ni aun arrancando en modo seguro. Pruebe de bajar la utilidad ELIRESTR.VBS y arrancar en modo seguro, lanzar dicha utilidad y luego marcar las claves indicadas y darles FIX, no sea que tengamos la edicion de registro interceptada, y la ejecucucion del ELIRESTR lo normalice:

ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp

Y nos cuenta como le ha ido, como respuesta de este Tema, gracias

saludos

ms, 11-07-2005

Larrealma · Mensaje por **Larrealma** » 11 Jul 2005, 22:58

Ejecute ELIRESTR: (modo seguro), luego lance el HJT, pero nada siguen las entradas sin ningun cambio (no se borran),de todas maneras mande la muestra del GBIEH a zonavirus@satinfo.es, ahora no mas me queda esperar un nuevo elistara

Y gracias a ~~[b]~~msc hotline sat[/b] y a todo el equipo ~~[b]~~Zonavirus y Satinfo[/b] :D

Mensaje por **msc hotline sat** » 12 Jul 2005, 06:30

Pues cuando llegue hoy a la oficina nos ponemos manos a la obra.

Te diremos algo al respecto como respuesta de este Tema

saludos

ms, 12-07-2005

Mensaje por **msc hotline sat** » 12 Jul 2005, 10:17

Recibida la muestra de la DLL, y analizada vemos que hay experiencias al respecto con dos BHO, uno protector de seguridad de transferencias que instala el Banco do Brasil al entrar en su web, http://www.bb.com.br y otra

del troyano Troj/Bamer-B con el mismo nombre, lo cual debe eliminarse, segun puede verse en la informacion de:

http://www.file.net/process/gbieh.dll.html

[quote]
External information from Tony Klein: http://www.sysinfo.org/

This spyware BHO (rundll32.dll) is related to Troj/Bamer-B: http://www.sophos.com/virusinfo/analyses/trojbamerb.html

This legitimate BHO (gbieh.dll) is related to G-Buster Browser Defense: http://www.ssitec.com.br/main.asp
[/quote]

Como que esta DLL Ha sido cambiada de clasificacion, de X a L según la anterior informacion de Tony Klein y la actual, vamos a prescindir de la deteccion de esta DLL a partir del ELISTARA v 10.03, y solo con la 10.02 actual, podrá detectarse y eliminarse esta clave, aunque no sea realmente spyware aun siendo BHO, si se arranca en MODO SEGURO EN SOLO SIMBOLO DE SISTEMA, y desde DOS ejecutar el actual ELISTARA.EXE, ya que en este modo el GBIEH.DLL no se habrá cargado como módulo del Explorer y windows permitirá eliminarlo.

Y si no desea eliminarlo, simplemente lance la proxima version del ELISTARA y ya no lo detectará. Y si lo ha eliminado y lo quiere volver a instalar, entre en el Banco do Brasil http://www.bb.com.br y le será implantado, sin pedir permiso alguno segun parece, de lo que hay muchas quejas en Intermet.

Espero que con lo indicado y la informacion del link que adjuntamos, quede aclarada esta incidencia, la cual nos ha aportado experiencia al respecto y permitido mejorar nuestra utilidad ELISTARA.EXE en funcion de las últimas informaciones sobre el particular.

saludos

ms, 12-07-2005

Mensaje por **msc hotline sat** » 12 Jul 2005, 14:05

Subida a esta web la nueva version del ELISTARA.EXE 10.03, con la que ya no detectará el GBIEH.DLL del Banco do Brasil ...

Recuerde que si quiere eliminar la aplicacion que tiene instalada, antes de descargar esta, debe ejecutar la antigua arrancando en modo seguro en solo simbolo de sistema. Incluso podría guardarse una copia de la anterior 10.02 por si algun día le hace falta, ya que posiblemente tenga tratos con el Banco do Brasil y puede requerirla en el futuro.

saludos

ms, 12-07-2005

Larrealma · Mensaje por **Larrealma** » 12 Jul 2005, 16:47

Ok una duda mas, las entradas........

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe (file missing)

O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Archivos de programa\VeriSign\NAVI\naviagent.exe (file missing)

tienen relacion con GBIEH.DLL

Si es asi, estaria este TEMA (SOLUCIONADO), Gracias por todo.

Att Larrealma :D

Mensaje por **msc hotline sat** » 12 Jul 2005, 17:03

Podría ser, si lo va a eliminar, vea si tras lanzar el nuevo ELISTARA 10.03 y eliminar el GBIEH.DLL, tras reiniciar lanza el HJT eliminando estas claves y luego ya no aparecen.

Es posible que con el GBIEH.DLL cargado no haya manera de eliminar las claves indicadas

saludos

ms, 12-07-2005