variante modificada de win32/medbot.bd 9

Chanel · Mensaje por **Chanel** » 25 Ago 2006, 01:09

Hola, ya se que algun otro usuario ha puesto un post con este troyano, ya lo mire y ya fui a la pagina que indicabais para pasar un antivirus en linea, pero ese escaneo ha dado como resultado que no tengo ningun troyano sin embargo el antivirus uso el nod32 sigue saltando, me los sigue mandado a la cuarentena y aunque lo elimine me sigue saliendo automaticamante en el mismo sitio.... como puedo hacer para eliminarlo definitivamante por que no hay forma de hacerlo siempre aparece nuevemante.

gracias por anticipado (SOLUCIONADO)

Mensaje por **msc hotline sat** » 25 Ago 2006, 12:11

Puede ser que tengas, ademas, un dropper que lo regenere o un downloader que lo descargue

Posteanos el log del HJT y, tras analizarlo, te informaremos

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

asakudos

ms, 25-8-2006

Chanel · Mensaje por **Chanel** » 26 Ago 2006, 14:55

Hola hice lo que me dijistes y el resultado que me da es este...

Logfile of HijackThis v1.99.1

Scan saved at 14:55:10, on 26/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Fmctrl.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Armor2net\Armor2net Personal Firewall\Armor2net.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Archivos de programa\Icecast2 Win32\icecastService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ondasdeltiempo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: A2NPopUpKiller Class - {8A321C7D-9CED-45A8-870D-DAE843A45FD0} - C:\Archivos de programa\Armor2net\Armor2net Personal Firewall\PopUpKiller.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Armor2net] C:\Archivos de programa\Armor2net\Armor2net Personal Firewall\Armor2net.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Icecast Media Server (Icecast) - Unknown owner - C:\Archivos de programa\Icecast2 Win32\icecastService.exe" "C:\Archivos de programa\Icecast2 Win32 (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

espero que os sirva de algo a ver si hay manera de eliminar el dichoso troyano.

Saludos y disculpar por la repeticion del post, debi de darle dos veces a enviar.

Mensaje por **msc hotline sat** » 26 Ago 2006, 19:36

Podría ser este fichero que lanzas en esta clave:

O23 - Service: Icecast Media Server (Icecast) - Unknown owner - C:\Archivos de programa\Icecast2 Win32\icecastService.exe" "C:\Archivos de programa\Icecast2 Win32 (file missing)

El cual debe estar oculto porque indica "file missing", pero lo tienes porque está residente en las aplicaciones en uso:

C:\Archivos de programa\Icecast2 Win32\icecastService.exe

Dinos si conoces de algo este fichero, y si no, configura Windows para ver todos los ficheros, incluso los de sistema, t lo renombras de .EXE a .VIR, de forma que al reiniciar ya no lo encontrará y no lo podrá poner en uso.

Si tras ello ya no se regenera, nos envias copia del marrano para pasar a controlarlo, pero si tras ello y limpiar los troyanos, vuelven a aparecer, renombra de nuevo el .VIR a .EXE, dejandolo como estaba...

Si conoces la aplicacion, dinos lo que es, porque lo desconocemos

En cualquier caso nos comentas el resultado, gracias

saludos

ms, 26-8-2006

Nota:

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Chanel · Mensaje por **Chanel** » 27 Ago 2006, 13:24

Hola, referente al programa que dices, si se cual, es un servidor que se utiliza para emitir por radio en internet, hare lo qeu me indicas a ver si desaparece el dichoso troyano que me tiene ya un poco frita, en cuanto haga lo que me indicas te lo digo.

Saludos

Mensaje por **msc hotline sat** » 27 Ago 2006, 13:56

Podria ser una reinfeccion desde internet. Ademas de la prueba con la prueba del ICECAST, e indepedientemente (no las dos juntas), desenchufa el cable de internet y dinos si asi tambien te pasa, y sabremos, si no es el ICECAST, si no es un dropper, pues si lo fuera aun SIN iNTERNET SE REGENERARIA y si es ui downloader necesita internet...

Ya veremos ...

saludos

ms. 27-8-2006

Chanel · Mensaje por **Chanel** » 29 Ago 2006, 12:49

Hola de nuevo, bueno te explico, ya hice lo que me dijistes con el icecast y seguia apareciendo, o sea que tube el ordenador desconectado de internet dos dias y no aparecio, acabo de conectarlo de nuevo, si aparece te lo comunicare y te enviare el dichoso archivo que se llama... setup.exe, dime en todo caso si lo adjunto a un mensaje como este u os lo envio por correo.

Un saludo

Mensaje por **msc hotline sat** » 29 Ago 2006, 13:20

Buena señal si no incordia, dejamos el Tema abierto para que nos mantengas informados, y esperamos las muestras,

saludos

ms. 29-8-2006

Chanel · Mensaje por **Chanel** » 29 Ago 2006, 23:09

bueno... parece que aqui esta de nuevo y ahora con otra terminacion... me tiene frita eh!!!!!

Mensaje por **msc hotline sat** » 30 Ago 2006, 14:52

El SETUP.RAR contiene un SETUP.EXE de 46180 bytes. Es un fiochero PE comprimido con UPX que descomprimido pasa a 180 kB y hay rutinas de dowloader y podria ser de la familia MEDBOT

Hpy ya no es posible incluirlo en el ELISTARA , pues ya estña compiñada la version 12.25 u se está comprobando, pero mañana cpn la 12.26 se controlará

saludos

ms, 30-8-2006

Chanel · Mensaje por **Chanel** » 31 Ago 2006, 10:58

hola de nuevo, ya se que dentro del rar hay un exe fue la unica manera de enviaroslo, puesto que si no era comprimido no habia forma de subirlo, lo que si me gustaria preguntarte, es si ese dichoso troyano puede cambiar el mismo su terminacion, o si es de otro tipo distinto, puesto que al pricipio saltaba como....variante modificada de win32/medbot.BT y ahora esta saltando como posible variante del win32/medbot.BE; te lo digo porque si es asi, no se cual de los dos te envie para enviarte el que esta saltando ahora a ver si lo podeis incluir en el elistara ese que no se que es imagino que algun programa.

Saludos

Mensaje por **msc hotline sat** » 31 Ago 2006, 11:50

Con el ELITRIIP que estamos haciendo hoy (v 2.41) se controlara como uno de tantos IRCBOt esta variante de MEDBOT

Esta tarde te la podrás descargar y probar, y mira si te elimina los dos, pues pueden ser variantes del mismo, y si uno de ellos no es controlado, nos envias muestra y pasaremos a controlarlo

Es que puede ser que sea cazado por ser una variante con la misma cadena de deteccion, aunque no sea el mismo,. y en tal caspo no hace falta añadirlo

Tras lanzar dicha utilidad, nos posteas el C:\infosat.txt para ver el resultado del proceso, gracias

saludos

ms, 31-8-2006

Sobre el ELISTARA es otra utilidad para troyanos, puedes probar ambas:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

ms.

Mensaje por **msc hotline sat** » 31 Ago 2006, 16:05

YA PUEDE PROBAR LAS NUEVAS VERSIONES

saludos

ms, 31-8-2006

Chanel · Mensaje por **Chanel** » 31 Ago 2006, 19:56

Gracias voy a elo en cuanto tenga lo qeu me dijistes te lo pongo.

Saludos

Mensaje por **msc hotline sat** » 31 Ago 2006, 20:28

Tienes las dos utilidades en la web... qué te falta ???

ms,

Chanel · Mensaje por **Chanel** » 31 Ago 2006, 20:31

nada no me falta nada, te paso los resultado que dio esto:

Thu Aug 31 13:32:59 2006

EliStartPage v12.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Favoritos%\Software"

Eliminados Ficheros Temporales del IE

Thu Aug 31 13:33:59 2006

EliStartPage v12.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-1715567821-2000478354-725345543-1003\DC50.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-1715567821-2000478354-725345543-1003\DC51.EXE --> AutoExtraible

Thu Aug 31 20:04:55 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Thu Aug 31 20:05:35 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

Thu Aug 31 20:20:15 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Thu Aug 31 20:20:53 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

bueno tu diras si ves algo raro, elimino un hotbar pero no encontro nada mas.

Saludos

Chanel · Mensaje por **Chanel** » 31 Ago 2006, 20:56

bueno te digo mas, no lo han encontrado, lo cazo denuevo el antivirus y lo restaure a la carpeta de mis documentos para poder enviartelo de nuevo, porque no hay forma de acabar con, esto es todo un expediente x, vamos que ahora mismo lo tengo delante de mis narices y no se como exterminarlo jajajaja, en fin te lo subo de nuevo como archivo adjunto en rar.

Saludos

Mensaje por **msc hotline sat** » 31 Ago 2006, 21:37

Creo que no se detecta porque no lo tienes, gracias a que el antivirus impide que se copie en el disco duro !

La informacion al respecto segun Sophos dice:

[quote="SOPHOS"]analyses

Troj/Medbot-G

Trojan

Summary

Summary Description Recovery Advanced Prevalence: low high

Name Troj/Medbot-G

Type Trojan

Affected operating systems Windows

Side effects Installs itself in the Registry

Aliases Win32/Medbot.BE

Proxy-Horst.gen

Win32/Medbot.BB

Protection Download virus identity (IDE) file

Protection available since 30 August 2006 22:46:24 (GMT)

Detected by All versions of Sophos Anti-Virus

Included in our products from October 2006 (4.10)

More information on IDE files What are IDE files?

How to use IDE files

Get the latest IDE files

Description

Summary Description Recovery Advanced This section helps you to understand how it behaves

Troj/Medbot-G is a Trojan for the Windows platform.

Troj/Medbot-G includes functionality to access the internet and communicate with a remote server via HTTP.

Recovery

Summary Description Recovery Advanced This section tells you how to remove the threat.

Please follow the instructions for removing Trojans.

Advanced

Summary Description Recovery Advanced This section contains the description and advanced technical information

Troj/Medbot-G is a Trojan for the Windows platform.

Troj/Medbot-G includes functionality to access the internet and communicate with a remote server via HTTP.

When first run Troj/Medbot-G copies itself to <Windows system folder>\smss.exe and creates the file <Windows system folder>\nvsvcd.exe.

The following registry entry is created to run Troj/Medbot-G on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

.nvsvc

<Windows system folder>\smss.exe /w

The file nvsvcd.exe is registered as a new system driver service named "Windows Log", with a display name of "Windows Log" and a startup type of automatic, so that it is started automatically during system startup. Registry entries are created under:

HKLM\SYSTEM\CurrentControlSet\Services\Windows Log\

|Get reports on the latest virus threats delivered to your computer [/quote]

Es posible que tengas un downloader que lo descargue o un dropper que lo genere, lo cual lo impide tu antivirus, y si no hubiera sido el caso, el ELISTARA actual lo eliminaía, pero es que parece que el antivius lo ha impedido

Prueba, sin antivirus residente, de copiar el fichero en el disco duro y luego pasale el ELISTARA, ya veras como lo elimina

Vuelve a postearnos log actualizado del HJT y le buscaremos las cosquillas al gato...

saludos

ms, 31-8-2006

Chanel · Mensaje por **Chanel** » 31 Ago 2006, 23:51

ok, seguire tus instrucciones y cuando haya hecho lo que me dices te posteo nuevamante los datos

Gracias por echarme una mano, aunqueentiendo qeu esto ya resultara un poco pesado para vosotros.

Saludos

Chanel · Mensaje por **Chanel** » 01 Sep 2006, 04:49

Bueno vamos a ver....desconecteel antivirus tal y como me dijistes, restaure los dos dichos troyanos a una carpeta, intente copiarlos C pero me dijo que naranjas de la china.. o sea que los meti en un rar y me dejo copiarlos, pase el elistara y no encontro nada, pero despues pase el elitrip y encontro un dropeer que era uno de los dos, te pongo el log mas abajo, asi qeu yame tocaron mucho las narices y cogi el tune up utility y lo elimine en modo seguro a ver si deesa forma me los he cargado ya de una vez, aun asi despues pase el hijackthis o sea que te pongo tambien el resultado, una vez te haya puesto todo eso, volvere a conectar el antivirus a ver si deverdad me los he cargado o me siguen tomando el pelo jeje.

Saludos.

Thu Aug 31 13:32:59 2006

EliStartPage v12.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Favoritos%\Software"

Eliminados Ficheros Temporales del IE

Thu Aug 31 13:33:59 2006

EliStartPage v12.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-1715567821-2000478354-725345543-1003\DC50.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-1715567821-2000478354-725345543-1003\DC51.EXE --> AutoExtraible

Thu Aug 31 20:04:55 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Thu Aug 31 20:05:35 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

Thu Aug 31 20:20:15 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Thu Aug 31 20:20:53 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

Thu Aug 31 20:44:11 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Aug 31 20:44:49 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

Fri Sep 01 04:28:44 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Sep 01 04:29:23 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

Fri Sep 01 04:34:27 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Sep 01 04:34:32 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

Fri Sep 01 04:35:26 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Sep 01 04:35:30 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

Fri Sep 01 04:36:18 2006

EliTriIP v2.41 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\pc\Mis documentos\Dc2.exe --> Eliminado, BackDoor.CMQ (dropper)

Fri Sep 01 04:37:45 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Sep 01 04:37:49 2006

EliStartPage v12.26 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

Resultados del Hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 4:43:24, on 01/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Fmctrl.EXE

C:\Archivos de programa\Armor2net\Armor2net Personal Firewall\Armor2net.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Archivos de programa\Icecast2 Win32\icecastService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

c:\archivos de programa\quintessential player\qcdplayer.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ondasdeltiempo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: A2NPopUpKiller Class - {8A321C7D-9CED-45A8-870D-DAE843A45FD0} - C:\Archivos de programa\Armor2net\Armor2net Personal Firewall\PopUpKiller.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Armor2net] C:\Archivos de programa\Armor2net\Armor2net Personal Firewall\Armor2net.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Icecast Media Server (Icecast) - Unknown owner - C:\Archivos de programa\Icecast2 Win32\icecastService.exe" "C:\Archivos de programa\Icecast2 Win32 (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

bueno ya lo tienes todo, ahora a ver que pasa.

Mensaje por **msc hotline sat** » 01 Sep 2006, 08:11

Efectivamente, el ELITRIIP te detectó un dropper (Generador de troyanos)

Y con el ELISTARA no controlamos RAR, pero eso de que no pudiste copiar el EXE sin el antinvirus residente ...???

C:\Documents and Settings\pc\Mis documentos\Dc2.exe --> Eliminado, BackDoor.CMQ (dropper

Paso a analizar el log:

Mensaje por **msc hotline sat** » 01 Sep 2006, 09:14

Pues confirmanos que estas aplicaciones las hayas instalado voluntariamente::

C:\Archivos de programa\Icecast2 Win32\icecastService.exe

C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Archivos de programa\Armor2net\Armor2net Personal Firewall\Armor2net.exe

Y si en todas estas conforme, este log está limpio

saludos

ms, 1-9-2006

Chanel · Mensaje por **Chanel** » 01 Sep 2006, 14:34

Hola de nuevo, a ver que igual yo me explique mal teniendo en cuenta la hora, el elitrip detecto el dichoso dropper ese, pero el elistara, incluso estando descomprimido en el mismo sitio que el dropper puesto que los restaure a la misma carpeta, sin el antivirus residente no lo encontro el elistara, o sea que por eso lo comrpimi y lo copie directamante a c a ver si de esa manera habia forma de que lo detectara.

Los programas que mencionas los instale yo, el primero es un servidor de streaming que sirve para emitir por internet, puesto que pertenezco a una emisora de radio que asi lo hace, los dos segundos son una base de datos que utiliza el sam broadcaster( programa que se usa para emitir por intenet) y el cuarto es un firewall que llevo usando toda la vida y que tengo en todos los ordenadores que hay en casa.

Bueno si tu ves el log limpio, digo que sera porque a base de daros la lata se ha solucionado, con lo cual te doy las gracias por la atencion y larapidez con la que siempre me has atendido, ahi es donde se notan los buenos profesiones.

Muchas gracias por todo, espero que no vuelva a aparecer mas el dichoso troyanos.

Si tu ya lo consideras oportuno puedes cerrar el tema.

Muchas gracias nuevamante por todo.

Mensaje por **msc hotline sat** » 01 Sep 2006, 16:01

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 1-9-2006

nota:

De todas formas el lunes, en SATIMFO, revisaremos el fichero que nos enviastes u si no lo controla el actual ELISTARA 12.26, lo hará la 12.27 del lunes (es que los viernes tarde no trabajamos) Cuando tengas la 12.27 , pruebala por si acaso... ms.

Mensaje por **msc hotline sat** » 04 Sep 2006, 09:30

Nota Post cierre:

Por decision con ADMIN se inhabilita el poder agregar ficheros con extensiones RAR a efectos de no poder ser utilizados para enviar muestras de virus. Estas deben ser enviadas por mail, segun se indica:

[quote]

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

[/quote]

saludos

ms, 4-9-2006

variante modificada de win32/medbot.bd 9

variante modificada de win32/medbot.bd 9

scaneo hijackthis