Virus que duplica carpetas con .exe (TERMINADO)

Josue · Mensaje por **Josue** » 07 Sep 2005, 06:09

Hola que tal!? tengo un problilla con un virus, espero me puedan ayudar. Lo que hace es que cuando inicio windows aparece una ventana con caracteres raros y con titulo "xsk", despues en mi pc abro cualquier carpeta y me crea otra, y si la quiero abrir la que creo, aparece un proceso con el nombre de la carpeta .exe

Les dejo mi Hijackthis, espero que me puedan ayudar, grax:

Logfile of HijackThis v1.99.1

Scan saved at 11:07:35 p.m., on 06/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Sony\VAIO Action Setup\VAServ.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\77cedd8304d756924c737ffc7e42782c\update\update.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\OSCAR1\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F3 - REG:win.ini: load=c:\windows\system32\system32.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\System32\winvbie.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [system32] c:\windows\system32\system32.exe

O4 - HKLM\..\Run: [ñañuofmyheard] c:\winnt\system32\system32.exe

O4 - HKLM\..\RunServices: [Underground Xsk] c:\windows\system32\system32.exe

O4 - HKLM\..\RunServices: [rundll32] c:\winnt\system32\drivers\drivers.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Mezquital Valley] c:\windows\system32\system32.exe

O4 - HKCU\..\Run: [msysdll] c:\winnt\system32\system32.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VAIO Action Setup (Server).lnk = ?

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\googletoolbar.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\googletoolbar.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\googletoolbar.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\googletoolbar.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Archivos de programa\Google\googletoolbar.dll/cmtrans.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.sony-latin.com/registration/vaio

O17 - HKLM\System\CCS\Services\Tcpip\..\{33D87584-7DA6-49B9-816B-E8E2F77C8D03}: NameServer = 200.33.146.194 200.33.146.202

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Unknown owner - C:\Archivos de programa\Trend Micro\PC-cillin 9\PCCPFW.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Unknown owner - C:\Archivos de programa\Trend Micro\PC-cillin 9\Tmntsrv.exe (file missing)

O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Archivos de programa\Sony\VAIO Media Music Server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\UPnPFramework.exe

O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Archivos de programa\Sony\Photo Server\appsrv\PhotoAppSrv.exe

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\UPnPFramework.exe

Mensaje por **msc hotline sat** » 07 Sep 2005, 07:08

Debes arrancar en modo seguro, lanzar el HJT y selecctionar y eliminar con FIX las siguientes claves:

F3 - REG:win.ini: load=c:\windows\system32\system32.exe

O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\System32\winvbie.dll

O4 - HKLM\..\Run: [system32] c:\windows\system32\system32.exe

O4 - HKLM\..\Run: [ñañuofmyheard] c:\winnt\system32\system32.exe

O4 - HKLM\..\RunServices: [Underground Xsk] c:\windows\system32\system32.exe

O4 - HKLM\..\RunServices: [rundll32] c:\winnt\system32\drivers\drivers.exe

O4 - HKCU\..\Run: [Mezquital Valley] c:\windows\system32\system32.exe

O4 - HKCU\..\Run: [msysdll] c:\winnt\system32\system32.exe

O4 - Global Startup: VAIO Action Setup (Server).lnk = ?

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Unknown owner - C:\Archivos de programa\Trend Micro\PC-cillin 9\PCCPFW.exe (file missing)

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Unknown owner - C:\Archivos de programa\Trend Micro\PC-cillin 9\Tmntsrv.exe (file missing)

O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Archivos de programa\Sony\VAIO Media Music Server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)

Ahora bien, pueden haber otras claves al respecto que no sean mostradas por el HJT, por lo que, al ser un virus aun no detectado, conviene que nos envies una muestra del fichero c:\windows\system32\system32.exe

a zonavirus@satinfo.es , anexada a un mail en cuyo texto pongas la referencia "REF JOSUE" y tras analizarlo te informaremos del mismo en respuesta a este Tema

Tras ello, elimina el indicado fichero que promete...

c:\windows\system32\system32.exe

saludos

ms, 7-09-2005

Josue · Mensaje por **Josue** » 07 Sep 2005, 18:16

Graxiax por ayudarme, parece que el c:windows\system32\system32.exe se borro, ya no lo encuentro y el HJT creo qe ya no lo marca. Le pase Norton 2005 y me detecto todas las carpetas creadas con el nombre de Backdoor.trojan. Las elimine y ya no se han vuelto a crear, aunque cando inicia windows antes de entrar se aparece la ventana de titulo "xsk", no se si sea el mismo virus o es otro? Gracias. saludos.

Josue · Mensaje por **Josue** » 07 Sep 2005, 19:13

Ah! tambien encontre uno llamado WinDir.csrss en C:Windows y no lo puedo eliminar ni detener el proceso. que hago??

Mensaje por **msc hotline sat** » 07 Sep 2005, 19:34

El fichero CSRSS.EXE si es del windows está en la carpeta de sstema, o sea en XP, C:\windows\system32

Si esta en la carpeta de windows es un gusano, que podría ser:

http://www.vsantivirus.com/dalbug.htm

Para saberlo, kance un antivirus ONLINE y proceda en consecuencia

https://www.virustotal.com/es/

saludos

ms, 7-09-2005

nota: sobre lo del titulo "xsk" no tiene porquñe tener relacion. Puede ser de cualqueir aplicacion. Vea si tiene algun fichero con este nombre en el disco duro, o vea si con el BUSCAREG encientra alguna clave que contenga esta palabra y nos lo comenta, pero si no le provoca anomnalias, no modifique el registro !!!, solo diganos si lo ha detectado allí y en que clave. ms.

Josue · Mensaje por **Josue** » 08 Sep 2005, 02:19

Encontre un registro de "xsk" y lo que me mostraba en: HKLM/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlongo, elimine las entradas y ya no aparece la ventana al inicio de windows. Solo que no puedo eliminar c:windows\csrss.exe. Lo elimino y cada que inicio windows vuelve a arrancar. Ya desactive 'Restaurar Sisteme', y lo elimine en modo seguro pero al iniciar se vuelve a ejecutar, en estas entradas no esta el csrss.exe

HKLM\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows

\CurrentVersion\RunServices

Como lo elimino??? te agradecere si me sigues ayudando msc hotline sat. saludos

Mensaje por **msc hotline sat** » 08 Sep 2005, 07:59

Ojo que el de la carpeta de sistema debe estar !!!

Si has borrado el de la carpeta de windows, y no está, deja estar la carga del otro que es normal

saludos

nsm 8-09-2005

cyberlolo · Mensaje por **cyberlolo** » 26 Oct 2005, 09:38

un saludo

Mensaje por **msc hotline sat** » 26 Oct 2005, 12:00

Se cierra este Tema por estar ya terminado, y no procede reabrirlo !!!

saludos

ms, 26-10-2005