trojan.cachecachekit (server 2000 server)

[PATOECUADOR]

Hola,



Mira tengo un trojan.cachecahekiy, en un server Windows 2000

que apunta el a c:\\winnt\system32\driv.sys, pero este archivo no existe, el es el que me reporta el sysmantec 9



Ojala, me puedas ayudar

te adjunto el log de hijack

Gracias, por tu pronto ayuda



Logfile of HijackThis v1.99.1

Scan saved at 9:50:44, on 05/09/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\msdtc.exe

C:\Compaq\vcagent\vcagent.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\compaq\hpdiags\hpdiags.exe

C:\WINNT\System32\llssrv.exe

C:\WINNT\system32\r_server.exe

C:\Program Files\Symantec AntiVirus\SavRoam.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\snmp.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe

C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe

C:\WINNT\System32\CpqRcmc.exe

C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe

C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe

C:\WINNT\system32\Dfssvc.exe

C:\WINNT\System32\sysdown.exe

C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe

C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\Atiptaxx.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

E:\Lotus\Domino\nserver.exe

E:\Lotus\Domino\nsrvwrap.exe

E:\Lotus\Domino\nevent.EXE

E:\Lotus\Domino\nUpdate.EXE

E:\Lotus\Domino\nReplica.EXE

E:\Lotus\Domino\nRouter.EXE

E:\Lotus\Domino\nAMgr.EXE

E:\Lotus\Domino\nAdminP.EXE

E:\Lotus\Domino\nCalConn.EXE

E:\Lotus\Domino\nSched.EXE

E:\Lotus\Domino\nHTTP.EXE

E:\Lotus\Domino\nIMAP.EXE

E:\Lotus\Domino\nLDAP.EXE

E:\Lotus\Domino\nPOP3.EXE

E:\Lotus\Domino\nSMTP.EXE

E:\Lotus\Domino\namgr.EXE

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\mdm.exe

C:\Documents and Settings\Administrator.DMCPF\Desktop\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myeni.eni.it

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\RunServices: [winsystems25] spread.exe

O4 - HKLM\..\RunServices: [msconfig38] newexe.exe

O4 - HKLM\..\RunServices: [secures23] mssecure.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=http://myeni.eni.it

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dmcpf.agipecuador.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{CCCF62E2-328A-4003-A132-B06573B9C4B9}: NameServer = 151.96.45.254,10.130.0.5,10.130.0.6,151.96.40.254

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = dmcpf.agipecuador.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = dmcpf.agipecuador.com

O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll

O23 - Service: Backup Exec Remote Agent for Windows NT/2000 (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: HP Insight NIC Agent (CpqNicMgmt) - Hewlett-Packard Company - C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe

O23 - Service: Compaq Remote Monitor Service (CpqRcmc) - Compaq - C:\WINNT\System32\CpqRcmc.exe

O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\Compaq\vcagent\vcagent.exe

O23 - Service: HP Insight Web Agent (CpqWebMgmt) - HP Corporation - C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe

O23 - Service: HP Insight Foundation Agent (CqMgHost) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe

O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe

O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: HP Insight Diagnostics (hpdiags) - Unknown owner - C:\compaq\hpdiags\hpdiags.exe

O23 - Service: Lotus Domino Server (LotusDominoData) - Unknown owner - e:\Lotus\Domino\nservice.exe

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe

[flacoroo]

bajate el spybot desde esta web en la pagina principal en descargas y sigue los siguientes pasos.....



1.- Enciende tu computadora en modo seguro, y deshabilita Restaurar Sistema.(ya que es un servidor y no puedes ponerla en modo seguro....tambien puede hacer la limpieza en modo normal)



2.- Spybot debe estar actualizado.



3.- Abre tu Spybot …sigue estos pasos:



a).- en el menú modo toma la opción avanzado.

b).- entras en la pestaña herramientas

c).- del lado derecho te aparecerán varias opciones, habilitas todas

d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…

e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.

Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs



f).-Después entras en Inicio de sistemas

g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:

1.- deshabiltar todas las que te digan NO NECESARIO…

2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.

3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)

h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.

i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde

j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX



y de ahí corres el spybot y eliminas todo lo que te salga y inmunizas….



nos dices como te fue.....

[msc hotline sat]

Está utilizando I.E.-5 que Microsoft ya no contempla ni hace parches. Actualicelo a I.E. 6 u lance un windowsupdate para el mismo.



AParte, hay dos ficheros sospechosos:



El mssecure.exe

que pacere ser un Troj/Borobot-E ( IRC backdoor Trojan)



y un C:\WINNT\lsass.exe que no es el de seguridad de windows, que está siempre en la carpeta de sistema, sino un posible malware que uitiliza el mismo nombre



Emvuenos estos dos ficheros para analizar, pero vigile que el lsass sea el de C:\winnt, no el oltro





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.





saludos



ms, 6-9-2006