Hijackthis y Bot

[Aquiles]

Hola, ¿le podeis hechar un vistazo a mi informe?. Estoy teniendo problemas con el ordenador, me hace putaditas de vez en cuando (me minimiza pantallas, me las cambia, etc..). Además me aparece un "bot" activo en el administrador de tareas, relacionado con un archivo de windows: vbstub.exe. He pasado el spybot search and... actualizado y no lo detecta. No se como quitarlo. ¿Alguna sugerencia?. Gracias de antemano.

[Aquiles]

Aqui esta el informe (se me olvido ponerlo en el anterior post):



Logfile of HijackThis v1.99.1

Scan saved at 21:02:26, on 13/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\AutoDetector\monitor.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\AVerTV2K\QuickTV.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Jesus\CONFIG~1\Temp\Rar$EX00.187\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Archivos de programa\Archivos comunes\Ulead Systems\AutoDetector\monitor.exe

O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BlazeServoTool] "C:\Archivos de programa\BlazeVideo\BlazeDVD4 Professional\MediaDetector.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV2K\QuickTV.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\mnrdim.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

[msc hotline sat]

Si con el SPYBOT no detecta ni elimina en el fichero vbstub.exe el troyano



http://esp.sophos.com/virusinfo/analyses/trojagenten.html



y en este otro fichero sp2update00.exe que está en C:\windows) tambien parece ser troyano, anexelo en el mail con el otro, pues parece poder serlo tambien:



http://www.liutilities.com/products/wintaskspro/processlibrary/sp2update00/





envienos una muestra de los ficheros vbstub.exe y sp2update00.exe a zonavirus@satinfo.es anexado a un mail en cuyo texto nos indique la referencia AGENTBOT y tras examinarlo implementaremos su control y eliminacion, si procede, en la proxima version del ELISTARA



Y puestos a enviar envienos tambien este MediaDetector.exe, (que está en C:\windows) que podría estar relacionado

con el smitfraud, y la mnrdim.dll que carga en el winlogon notify (está en la carpeta de sistema C:\windows\system32)



Tras examinarlos todos, informaremoa al respecto



saludos



ms, 14-12-2006

[Aquiles]

No encuentro (tampoco staban ocultos) dos de los archivos que me mencionaste (sp2update00.exe y MediaDetector.exe) y no puedo enviaros sbstub.exe por que no me deja adjuntarlo al mail (por ser un posible virus). ¿cómo os los puedo enviar?



Otra pregunta, ¿a qué te refieres con "...cuyo texto nos indique la referencia AGENTBOT..."?



un saludo.

[msc hotline sat]

Desactiva el antivirus, empaqueta este fichero en un zip con password VIRUS y asi lo podrás enviar



Está claro que es bicho !!!



Pasaremos a controlarlo y lo podrás eliminar con nuestras utilidades.



Ya informaremos cuando lo recibamos y lo analicemos



saludos



ms, 14-1-2006

[Aquiles]

:( No puedo comprimirlo porque el compresor lo reconoce como virus y da error.



Le he pasado el BitDefender y me ha reconocido que troyano es, pero no ha conseguido desinfectarlo, sólo lo a puesto en cuarentena. Además me he dado cuenta de que no tengo un virus, sino una plaga de ellos y no puede desinfectar ninguno. No entiendo porque no los puede desinfectar (vaya M de antivirus).



Aqui te dejo el informe por si sirve de algo:



-------------------------------------------------------------

Fichero de Informe de BitDefender

//

// Creado el: 14/01/2006 19:51:30

//

//-----------------------------------------------------------------





Estadísticas



Ruta de análisis: C:\

Carpetas : 3302

Ficheros : 434818

Archivos : 1568

Ficheros empaquetados : 47475

Virus encontrados : 8

Ficheros infectados : 13

Advertencias : 0

Ficheros sospechosos : 0

Ficheros desinfectados : 0

Ficheros eliminados : 1

Ficheros copiados : 0

Ficheros trasladados : 9

Ficheros renombrados : 0

Errores I/O : 28

Tiempo del análisis :01:00:11

Velocidad del análisis (ficheros/segundo) :120



Firmas de virus : 26648

Plugins de análisis : 13

Plugins de archivo : 39

Desempaquetar plugins : 4

Plugins de correo : 6

Plugins de sistema : 1



Opciones de análisis



Detección

[X] Analizar los sectores de arranque

[X] Analizar archivos

[X] Analizar ficheros empaquetados

[X] Analizar e-mail



Tipos de ficheros

[ ] Programas

[X] Todos los ficheros

[ ] Extensiones definidas:

[ ] Excluir extensiones: ;



Acción



Elementos infectados

[ ] Omitir

[X] Desinfectar

[ ] Eliminar

[ ] Copiar en cuarentena

[ ] Mover a cuarentena

[ ] Renombrar

[ ] Preguntar al usuario



Segunda acción

[ ] Omitir

[ ] Eliminar

[ ] Copiar en cuarentena

[X] Mover a cuarentena

[ ] Renombrar

[ ] Preguntar al usuario



Opciones de análisis

[X] Activar advertencias

[X] Análisis heurístico para virus desconocidos

[ ] Mostrar todos los ficheros en log

[X] Fichero de informe: vscan.log

[ ] Añadir al informe existente



Resumen:



C:\Documents and Settings\Jesus\Configuración local\Archivos temporales de Internet\Content.IE5\C1M1U5K5\FEAR%20F[1].E.A.R.%201.0.zip=>(ZIP Sfx g)=>crack.exe Infectado con Trojan.Downloader.Time2Pay.J

C:\Documents and Settings\Jesus\Configuración local\Archivos temporales de Internet\Content.IE5\C1M1U5K5\FEAR%20F[1].E.A.R.%201.0.zip=>(ZIP Sfx g)=>crack.exe La desinfección ha fallado

C:\Documents and Settings\Jesus\Configuración local\Archivos temporales de Internet\Content.IE5\C1M1U5K5\FEAR%20F[1].E.A.R.%201.0.zip=>crack.exe Infectado con Trojan.Downloader.Time2Pay.J

C:\Documents and Settings\Jesus\Configuración local\Archivos temporales de Internet\Content.IE5\C1M1U5K5\FEAR%20F[1].E.A.R.%201.0.zip=>crack.exe La desinfección ha fallado

C:\Documents and Settings\Jesus\Configuración local\Archivos temporales de Internet\Content.IE5\C1M1U5K5\FEAR%20F[1].E.A.R.%201.0.zip Trasladado

C:\Documents and Settings\Jesus\Configuración local\Temp\cln1.tmp Infectado con Trojan.Downloader.Dyfuca.EI

C:\Documents and Settings\Jesus\Configuración local\Temp\cln1.tmp La desinfección ha fallado

C:\Documents and Settings\Jesus\Configuración local\Temp\cln1.tmp Trasladado

C:\Documents and Settings\Jesus\Configuración local\Temp\GLFDGLFD.EXE=>wise0008 Infectado con Trojan.Downloader.TSUpdate.J

C:\Documents and Settings\Jesus\Configuración local\Temp\GLFDGLFD.EXE=>wise0008 Eliminado

C:\Documents and Settings\Jesus\Configuración local\Temp\GLFDGLFD.EXE La actualización del archivo ha fallado

C:\Documents and Settings\Jesus\Configuración local\Temp\jfghjhhfgudk.exe Infectado con Trojan.Downloader.Istbar.MT

C:\Documents and Settings\Jesus\Configuración local\Temp\jfghjhhfgudk.exe La desinfección ha fallado

C:\Documents and Settings\Jesus\Configuración local\Temp\jfghjhhfgudk.exe Trasladado

C:\Documents and Settings\Jesus\Configuración local\Temp\nsh3.tmp\ysb.ini Infectado con Trojan.Downloader.IstBar.OK

C:\Documents and Settings\Jesus\Configuración local\Temp\nsh3.tmp\ysb.ini La desinfección ha fallado

C:\Documents and Settings\Jesus\Configuración local\Temp\nsh3.tmp\ysb.ini Trasladado

C:\Documents and Settings\Jesus\Configuración local\Temp\PccMsi\backup\TB060114.DAT=>(Embedded EXE g) Infectado con Trojan.Dropper.Agent.YZ

C:\Documents and Settings\Jesus\Configuración local\Temp\PccMsi\backup\TB060114.DAT=>(Embedded EXE g) La desinfección ha fallado

C:\Documents and Settings\Jesus\Configuración local\Temp\PccMsi\backup\TB060114.DAT=>(Embedded EXE g) El traslado de los archivos ha fallado

C:\Documents and Settings\Jesus\Escritorio\Barra Lateral\Programas\FEAR F[1].E.A.R. 1.0.zip=>(ZIP Sfx g)=>crack.exe Infectado con Trojan.Downloader.Time2Pay.J

C:\Documents and Settings\Jesus\Escritorio\Barra Lateral\Programas\FEAR F[1].E.A.R. 1.0.zip=>(ZIP Sfx g)=>crack.exe La desinfección ha fallado

C:\Documents and Settings\Jesus\Escritorio\Barra Lateral\Programas\FEAR F[1].E.A.R. 1.0.zip=>crack.exe Infectado con Trojan.Downloader.Time2Pay.J

C:\Documents and Settings\Jesus\Escritorio\Barra Lateral\Programas\FEAR F[1].E.A.R. 1.0.zip=>crack.exe La desinfección ha fallado

C:\Documents and Settings\Jesus\Escritorio\Barra Lateral\Programas\FEAR F[1].E.A.R. 1.0.zip Trasladado

C:\WINDOWS\libHide.dll Infectado con Trojan.Clicker.Delf.DP

C:\WINDOWS\libHide.dll La desinfección ha fallado

C:\WINDOWS\libHide.dll Trasladado

C:\WINDOWS\system.exe Infectado con Trojan.Dropper.Agent.YZ

C:\WINDOWS\system.exe La desinfección ha fallado

C:\WINDOWS\system.exe Trasladado

C:\WINDOWS\system32\mnrdim.dll Infectado con Trojan.Candebe.CZ

C:\WINDOWS\system32\mnrdim.dll La desinfección ha fallado

C:\WINDOWS\system32\mnrdim.dll Trasladado

C:\WINDOWS\vbstub.exe Infectado con Trojan.Clicker.Delf.DP

C:\WINDOWS\vbstub.exe La desinfección ha fallado

C:\WINDOWS\vbstub.exe Trasladado



Ficheros analizados



-------------------------------------------------------------

-------------------------------------------------------------



GRACIAS por tu ayuda.



Saludos.

[msc hotline sat]

Para poderlo empaquetar con password VIRUS, desactiva el antivirus, o arranca en modo seguro, que asi no estará en marcha y no lo interceptará



Luego arranca nornal y envianos el ZIP. qie nadie lo detectará



A su recepcion añadiremos su eliminacion a nuestras utilidades



saludos



ms, 14-1-2006

[Aquiles]

No puedo iniciar en modo seguro porque tengo teclado inalámbrico y no funciona cuando se inicia el ordenador, por lo que no puedo darle a F8. De todas formas, otro correo electrónico me a dejado enviarlos sin tener que comprimirlos (he enviado vbstub.exe y los otros archivos que no me desinfectaba el antivirus). Espero que os llege correctamente el mail.



Un Saludo.

[msc hotline sat]

Bien gracias, pero le hará falta arrancar en modo seguro en muchos casos, como detectar bichos que se ocultan si estan en uso (SPYAXE) o simplemente para eliminar virus y demás, asi que vea como hacerlo en el link indicado, programandolo para ello por soft :



https://foros.zonavirus.com/viewtopic.php?t=5266


[quote="para programar el arranque en modo seguro , se"]
En los casos rebeldes, puede procederse a provocar el arranque en modo seguro a través de software, configurando debidamente los ficheros de inicio, a saber:





Windows XP



Cierre todos los programas.



Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá la "Utilidad de configuración del sistema".



Pulse en la lengüeta "BOOT.INI".



En "Opciones de inicio", marque la casilla "/SAFEBOOT"



Pulse en el botón [ Aceptar ], y en el mensaje siguiente confirme reiniciar el ordenador.



Una vez terminado el proceso que se quería realizar arrancando en modo seguro, para volver a la normalidad el sistema, repita los pasos 1 a 4, pero en ese punto, desmarque la casilla "/SAFEBOOT". Luego confirme los cambios, y reinicie su computadora.
[/quote]

saludos



ms, 15-1-2006

[Aquiles]

Lo tendré encuenta para la proxima vez, me va a venir muy bien saber ese sistema. Gracias.



Una última pregunta: ¿Cómo informais de que ya esta lista la utilidad para eliminar el troyano?, ¿Lo avisais en el propio post?.



Un Saludo.

[msc hotline sat]

Si la muestra llega con la referencia correspondiente, en este caso AGENTBOT, se informa como respueta al Tema en cuestion, pero si llega sin referencia o a otra cuenta como la de virus o sat, si no hay codigo de cliente de SATINFO, se implementa en la utilidad, pues llegan muchas muestras diariamente de usuarios no identificados.



En cualquier caso, en el apartado de ALERTAS VIRICAS se informa de las nuevas versiones de utilidades y las novedades que contemplan



Es norma tambien contestar los envios recibidos agradeciendo el envio de muestras, con lo que el remitente sabe que ha llegadom asi como avisar de muestras a cero bytes o sin fichero anexado, solicitando vuelvan a enviar la muestra en dicho caso



saludos



ms, 15-1-2006



Nota: Tengase en cuenta que en SATINFO se reciben mails de los mas de 159000 usuarios asociados, mas los casi 10000 del foro, mas los no registrados, por lo que son muchos mails recibidos a diario y muchas muestras a procesar... De todas formas intentamos procesarlas en el mismo dia las llegadas hasta el mediodia. y máximo al dia siguiente los lunes, cuando se acumulan las del fin de semana. ms.

[Aquiles]

Vale, estaré atento a las nuevas utildades. [b]GRACIAS[/b] por tu ayuda.



(y perdona por la publicación en paralelo de un tema en el área de descanso)



Saludos,

Aquiles

[msc hotline sat]

Muy bueno el Tema, pero si quieres revivirlo, postea una novedad como respuesta al mismo y ya lo pones de actualidad, pero no abras mas iguales ...



saludos



ms, 15-1-2006