Virus

lupusellobo · Mensaje por **lupusellobo** » 14 Nov 2005, 00:53

Hola gente necesito ayuda tenia la maquina llena de virus pero aparentemente el antivirus que instale ya me los saco pero por las dudas de que quede algo aca les pego el log

Logfile of HijackThis v1.99.1

Scan saved at 0.18.09, on 14/11/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Compaq\Easy Access Button Support\StartEAK.exe

C:\Programmi\Eset\nod32kui.exe

C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE

C:\COMPAQ\CPQINET\CPQInet.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Compaq\EAKDRV\EAUSBKBD.EXE

C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe

C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe

C:\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [WCOLOREAL] C:\Programmi\COMPAQ\Coloreal\coloreal.exe

O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\Compaq\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [MICROSFT MX UPDATE SUPPORT] taskmngrs.exe

O4 - HKLM\..\Run: [MNI.UWFX5T_0001_LP1710] "C:\Documents and Settings\Biglia\Impostazioni locali\Temporary Internet Files\Content.IE5\ZZ73CMVA\WinFixer2005ScannerInstallITA[1].exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Windows Registry Repair Pro] C:\Programmi\3B Software\Windows Registry Repair Pro\Windows Registry Repair Pro.exe -X

O4 - HKLM\..\RunServices: [MICROSFT MX UPDATE SUPPORT] taskmngrs.exe

O4 - HKLM\..\RunServices: [Service] msnmgr.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?

O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QmlnbGlh\command.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

Gracias y disculpen las molestias.

Mensaje por **msc hotline sat** » 14 Nov 2005, 06:32

Elimina estas claves:

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QmlnbGlh\command.exe (file missing)

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

y no te olvides de actualizar los parches de microsoft, que te faltan todos los del paquete de SP2 y posteriores. Lanza un windows update !!!

Tras todo ello, reinicias y nos cuentas el resultado, ciomoi respuesta de este Tema, gracias

saludos

ms, 14-11-2005

lupusellobo · Mensaje por **lupusellobo** » 14 Nov 2005, 09:51

Gracias hize lo que me dijistes pero estas dos no las elimina, prove en modo seguro y siguen ahi.

son estas:

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QmlnbGlh\command.exe (file missing)

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

los elimino pero apenas hago el scan de nuevo estan ahi no los elimina.

Los busque y estan en las carpetas el primero en C:\WINDOWS\QmlnbGlh y es un file vbscript

y el otro en c\ wind\ system32

si elimino los file directamente sucede algo.

Gracias y saludos.

Mensaje por **msc hotline sat** » 14 Nov 2005, 10:09

Si dice FILE MISSING es que no encuentra el fichero

No sé lo que son estos VBS que dices que encuentras ???

Mira si puedes enviarnoslos a zonavirus@satinfo.es anexados a un mail em cuyo texto indiques referencia REF LUPUS y seguiremos como respuesta a este Tema

saludos

ms, 14-11-2005

Mensaje por **msc hotline sat** » 14 Nov 2005, 10:17

Y fijarse que el CSRSS.EXE lo lanzaba desde C:\windows , no desde la carpeta de sistema que es en la que está nromalmente este fichero de windows, por lo que está claro que se trataba de un gusano, posiblemente de un ciadoor:

http://www.vsantivirus.com/back-ciadoor12.htm

y sobre el COMMAND.EXE era un adware,. el CommAd, ya controlado por el ELISTARA, pero del que te ha quedado este resto.

No sé lo que serán estos vbs que dices, tras analizarlos ya te informaremos

saludos

ms, 14-11-2005

lupusellobo · Mensaje por **lupusellobo** » 14 Nov 2005, 12:43

Ya mande los archivos para su analisis.

saludos y gracias

Mensaje por **msc hotline sat** » 14 Nov 2005, 18:13

EsteVBS es una utilidad de acceso y quizas desinstalacion del adware CommAd, obligado segun leyes de copyright de adwares.

En texto llano, el script reza así:

[quote]On Error Resume Next

res = MsgBox("Are you sure you wish to remove the application: Command?" _

& Chr(13) & "Removing this application may cause dependent applications to stop functioning.", _

vbYesNo+vbExclamation, "Confirm Application Delete")

If res = vbYes Then

Set WSHShell = CreateObject("WScript.Shell")

Set WshShell = WScript.CreateObject("WScript.Shell")

WshShell.Run "http://command.adservs.com/uninstall.php",3

Set WshShell = Nothing

End If
[/quote]

y el otro CSRSS.EXE no es virico, posiblemente sea el original del XP, sin parches, como se está usando en esta máquina el XP...

Comparelo con el que tiene en la carpeta de sistema, donde tiene el original del sistema operativo (el gusano con este nombre estaría en la de windows)

saludos

ms, 14-11-2005

lupusellobo · Mensaje por **lupusellobo** » 14 Nov 2005, 22:43

ok gracias pero me parece que voy a formatear todo por que me esta dando muchos problemas, no me deja instalar el moden adsl entre otros, asi que lo mejor es formatear e instalar todo nuevo.

saludos y gracias

Mensaje por **msc hotline sat** » 15 Nov 2005, 09:49

Antes mira de controlar el problema del COMMAND.EXE. por si es suficiente y te ahorras formatear con lo que conlleva... , asi como para saber como controlar este COMMAND.EXE si otra vez te vuelve a afectar.

Tu decides.

saludos

ms, 15-11-2005