Por favor, ayuda para eliminar--exmodul32.exe (SOLUCIONADO)

Retogenes · Mensaje por **Retogenes** » 21 May 2006, 12:07

Buenos días,

He detectado en mi PC la aparición de unos procesos --exmodul32.exe que se apropian de la CPU y se conectan a internet. Aunque los finalize simpre aparece otro similar.

Antes de leer el foro pasé el Norton 2005, el Ad-Aware SE Professional y realice el chequeo on-line con el Active Scan de Panda, pero ninguno lo ha detectado.

He leído en el foro las instrucciones para solucionar este problema y me he descargado y ejecutado el EliStarA y el HijackThis, pero no se como continuar.

Con vuestro permiso os envío los logs y el fichero Infosat.txt que han generado y pido vuestra ayuda.

******Archivo Infosat resultado de ejecutar el EliStarA ****

Sun May 21 11:25:49 2006

EliStartPage v11.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 21 11:27:28 2006

EliStartPage v11.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\S-1-5-21-2686606606-1798050569-696656156-1006\DC1.EXE --> AutoExtraible

***** Log del Hijackthis ***********

Logfile of HijackThis v1.99.1

Scan saved at 11:30:32, on 21/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Creative\VoiceCenter\AndreaVC.exe

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\stsystra.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe

C:\Archivos de programa\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Corel\Corel Photo Album 6\MediaDetect.exe

C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe

C:\Archivos de programa\No-IP\DUC20.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Orlando\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://support.euro.dell.com/segment.asp?country=es&language=es

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {AE10C79F-B7E1-A015-BF8F-EEF5C9E271C0} - C:\DOCUME~1\Orlando\DATOSD~1\CREATI~1\fork anti.exe (file missing)

O4 - HKLM\..\Run: [VoiceCenter] "C:\Archivos de programa\Creative\VoiceCenter\AndreaVC.exe" /tray

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [REMOTE NEW TEAM SOFT] C:\Documents and Settings\All Users\Datos de programa\managerwebremotenew\Bias meta.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\Archivos de programa\McAfee\SpamKiller\MSKDetct.exe /uninstall

O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [IAAnotif] C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Archivos de programa\Corel\Corel Photo Album 6\MediaDetect.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Creative Detector] "C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe" /R

O4 - HKCU\..\Run: [Cast Live] C:\DOCUME~1\Orlando\DATOSD~1\PLANWI~1\infocashremote.exe

O4 - Startup: No-IP DUC.lnk = C:\Archivos de programa\No-IP\DUC20.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D02DFDE3-89FD-464D-BB9B-EE942BF38E3B}: NameServer = 194.179.1.100,194.179.1.101

O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Archivos de programa\Archivos comunes\Creative Labs Shared\Service\CreativeLicensing.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

*****************************************

Muchas gracias y un saludo,

Mensaje por **msc hotline sat** » 21 May 2006, 21:40

O se trata de una variante que no conocemos o tienes un rootkit que oculta el proceso y fichero en cuestion:

C:\WINDOWS\system\smss.exe

fijate que no decimos system32, que es el normal, sino solo system, que es donde se esconde el malware del exmodule, del que conocemos y eliminamos ya algunas variantes, pero por lo visto la tuya no.

Envianos una muestra de este fichero:

~~[b]~~C:\WINDOWS\system\smss.exe[/b]

a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques como referencia "REF EXMODULE" y tras analizarlo informaremos y lo implementaremos en nuestra proxima version del ELISTARA

La verdad es que nos ha sorprendido que el ELISTARA ni te haya pedido muestra... Nos tememos la presencia de un Rootkit que nos lo oculte, añadido, por lo que si no lo encuentras, mira arancando en modo seguro, y en dicha firma lanza tambien el ELISTARA, y si no hau manera, al menos elimina esta clave para que no se cargue:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

saludos

ms, 21-5-2006

Retogenes · Mensaje por **Retogenes** » 22 May 2006, 14:56

Gracias por tu ayuda.

Os he enviado el archivo que me pides por correo y he ejecutado de nuevo el ELISTARA en modo seguro, pero tampoco lo detecta.

Cada vez que reinicio el PC el --exmodul32.exe aparece al poco tiempo.

¿Cual es el siguiente paso?. ¿Borro el archivo o borro la clave indicada?.

un saludo,

Mensaje por **msc hotline sat** » 22 May 2006, 15:32

Ya está subida a la web la nueva version del ELITRIIP. Con ella lograrás (espero) detectarlo, cpntrolalo y eliminarlo.:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Comentanos el resultado, gracias

saludos

ms, 22.5.2006

Nota, al igual que el ELISTARA, el ELITRIIP tambien crea log de salida en el c\infosat.txt

Retogenes · Mensaje por **Retogenes** » 22 May 2006, 22:07

GENIAL!!!

He seguido los pasos que me indicaste y los --exmodul32.exe han desaparecido. He reiniciado 3 veces y no se ejecutan.

Al ejecutar el ELITRIIP ha salido un primer mensaje de : "Eliminado gusano, IRCBOT". Despues de la exploración este es el Infosat.txt:

**********************************

Sun May 21 11:25:49 2006

EliStartPage v11.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 21 11:27:28 2006

EliStartPage v11.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\S-1-5-21-2686606606-1798050569-696656156-1006\DC1.EXE --> AutoExtraible

Mon May 22 14:36:01 2006

EliStartPage v11.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 22 14:37:34 2006

EliStartPage v11.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\S-1-5-21-2686606606-1798050569-696656156-1006\DC1.EXE --> AutoExtraible

Mon May 22 14:38:50 2006

EliStartPage v11.72 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\S-1-5-21-2686606606-1798050569-696656156-1006\DC1.EXE --> AutoExtraible

Mon May 22 20:44:52 2006

EliTriIP v2.19 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"

***********************************

Ha eliminado el archivo smss.exe de system y la entrada y el problema se ha solucionado.

¡MUCHAS GRACIAS Y ENHORABUENA POR VUESTRO TRABAJO!.

No se puede ser más rápido, eficaz, claro y bien documentado.

Un saludo.

Mensaje por **maura63** » 22 May 2006, 22:12

Pues nos alegramos de ello y sera nuestro PATER informatico el que cante el REPONSO del bichejo.

Saludos

maura63

Mensaje por **msc hotline sat** » 23 May 2006, 06:51

Amen. Y que descanse (en paz o no) el que lo está mutando, que ya son varios los especimenes de exmodule diferentes que tenemos...

Es uno de los miles de backdoor de IRC (IRCBOT) que está de moda..., pero ya lo tenemos controlado !

Y soluciomado el problema, procedemos a cerrar el Tema

saludos

ms, 23.5.2006

Mensaje por **msc hotline sat** » 24 May 2006, 12:18

nota postcierre:

[quote="msc"]Con el nombre de Backdoor CMQ lo pasamos a controlar con el ELITRIIP.EXE, por lo que para la posterioridad, lo del ..exmodul32 eliminarlo con el ELITRIIP actualizado:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp
[/quote]

(Para los que buscan soluciones con el buscador del foro)

SALUDOS

MS, 24-5-2006